Datenübermittlungen ohne Safe-Harbor?

Dem EuGH wurde die Frage vorgelegt, ob das Safe-Harbor-Abkommen Datenübermittlungen in die USA weiterhin rechtfertigen kann. Konkret stand zur Debatte, ob Datenschutzbehörden einen Export personenbezogener Daten in die USA auch dann prüfen müssen, wenn sich das datenimportierende Unternehmen auf die Einhaltung einer EU-Kommissions-Entscheidung beruft. Dies hat der Europäische Gerichtshof (EuGH) in seiner heutigen Entscheidung bejaht und das Safe Harbor-Abkommen für ungültig erklärt. Wir empfehlen vor diesem Hintergrund, verstärkt nach europäischen Alternativen zu US-amerikanischen Cloud-, Mail-, Chat- und anderen Diensten Ausschau zu halten. Für Unternehmen, die auf US-amerikanische Dienstleister angewiesen sind, besteht gleichwohl kein Grund zur Panik, da ein Datenexport auf Basis der EU-Standardvertragsklauseln nach unserer Auffassung auch weiterhin rechtskonform möglich ist.

Wie kam es zur Entscheidung des Gerichts?

Der Streit um die Verarbeitung europäischer personenbezogener Daten in den USA konzentriert sich seit einigen Jahren auf die großen US-amerikanischen Datenverarbeiter Google, Apple und Facebook. Der österreichische Datenschutzaktivist und Facebooknutzer Max Schrems wollte sich vor dem Hintergrund der PRISM-Spähaffäre nicht länger damit abfinden, dass Facebook Daten europäischer Nutzer nicht (nur) in Europa, sondern auch in den USA verarbeitet – wo sie dem Zugriff US-amerikanischer Unternehmen nahezu schutzlos ausgeliefert sind. Schrems Beschwerde bei der irischen Datenschutzbehörde DPC blieb erfolglos, woraufhin er vor dem irischen High Court klagte. Dieser hielt die Einschätzung der Behörde, wonach eine Prüfung angesichts des ausgehandelten Safe-Harbor-Abkommens unterbleiben könne, für fraglich und wandte sich an den EuGH, der nun über das Abkommen entschied.

Das Safe-Harbor-Abkommen wurde im Jahr 2000 zwischen der Europäischen Kommission und den USA geschlossen und sollte einen sicheren Datentransfer in die USA auf Basis einer freiwilligen Selbstzertifizierung des datenimportierenden Unternehmens ermöglichen. Bei den USA handelt es sich aus Sicht der europäischen Datenschützer um ein sogenanntes „unsicheres Drittland“, da hier kein dem europäischen Recht vergleichbares Schutzniveau besteht. So dürfen US-amerikanische Behörden ohne gerichtlichen Beschluss auf in den USA gespeicherte Daten zugreifen. Dem Betroffenen steht ferner kein Recht zur Auskunft über die zu ihm gespeicherten Daten zur Verfügung. An dieser Sachlage änderte auch das Safe-Harbor-Abkommen nichts, weshalb es von Datenschützern seit seinem Inkrafttreten kritisiert wurde. Nach Bekanntwerden der Spähaktivitäten US-amerikanischer Geheimdienste mehrten sich die Stimmen in Politik, Wirtschaft und Zivilgesellschaft, die die Aussetzung der Vereinbarung mit den USA forderten.

Was bemängelte das Gericht an dem Abkommen?

Nach Ansicht des EuGH schützt das Abkommen nur in unzureichendem Maße das in der europäischen Grundrechtecharta verankerte Persönlichkeitsrecht der Betroffenen. Das Abkommen verpflichte lediglich die US-Unternehmen, die dem Abkommen freiwillig beiträten; einen Schutz vor US-Behörden biete es nicht in ausreichendem Umfang. Die Tatsache, dass US-Behörden ohne jegliche Hürde auf die exportierten Daten zugreifen können, sei, so der EuGH, nicht mit dem europäischen Grundrecht auf Achtung des Privatlebens vereinbar. Ferner widerspreche die fehlende Möglichkeit des Betroffenen, gegen den stets möglichen behördlichen Datenzugriff Rechte geltend zu machen, dem Grundrecht auf wirksamen gerichtlichen Rechtsschutz, der wiederum zum Wesen eines Rechtsstaats gehöre.

Was wurde noch beschlossen?

Ausgangspunkt des Verfahrens vor dem EuGH war die Frage, ob eine europäische Datenschutzbehörde die Prüfung einer Datenverarbeitung mit Verweis auf eine von der EU-Kommission getroffene Entscheidung – in diesem Fall: das Safe-Harbor-Abkommen – ablehnen kann. Auch hier gab das Gericht einen negativen Bescheid. Die Datenschutzbehörden seien qua Gesetz unabhängig und daher verpflichtet, möglichen Datenschutzverletzungen auch dann nachzugehen, wenn diese sich vor dem Hintergrund einer Kommissionsentscheidung als unbedenklich darstellten.

Was ist zu tun?

Für europäische Unternehmen, die neben einer Prüfung der Safe-Harbor-Zertifizierung auch die EU-Standardvertragsklauseln mit ihrem US-amerikanischen Vertragspartner abgeschlossen haben, besteht zunächst einmal kein Grund zur Sorge. Die Standardvertragsklauseln waren nicht Gegenstand der EuGH-Entscheidung. Die Europäische Kommission hat zudem bereits erste Maßnahmen angekündigt, die den Beschlüssen des Urteils gerecht werden sollen. Věra Jourová, die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung erläuterte in einer ersten Pressekonferenz am Nachmittag die weiteren Schritte. Danach seien (1) ausreichende Schutzvorkehrungen bei künftigen Übermittlungen sicherzustellen, (2) die Übermittlungen in die USA bereits aus wirtschaftlichen Gesichtspunkten trotz der EuGH-Entscheidung fortzuführen und (3) ein einheitliches Vorgehen der nationalen Aufsichtsbehörden anzustreben. Jourová betonte die wirtschaftliche Bedeutung von Datenexporten in die USA. Sie habe sich daher bereits mit der Vereinigung der europäischen Datenschutzbehörden abgestimmt, um das Handeln zu koordinieren. Darüber hinaus werde bereits an einem „safer“ Safe Harbor gearbeitet. Bis dahin sollten europäische Unternehmen, so die Kommissarin, für einen Datenexport in die USA die Standardvertragsklauseln, Binding Corporate Rules oder andere gesetzliche Erlaubnistatbestände verwenden. Wir werden Sie über aktuelle Entwicklungen in der Sache auf dem Laufenden halten.

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.