Der Europäische Gerichtshof (EuGH) hat in der Rechtssache C-362/14 Maximilian Schrems v. Data Protection Commissioner entschieden. Der Gerichtshof entschied erwartungsgemäß, dass die Safe Harbor Entscheidung der Kommission vom 26. Juli 2000 (2000/520/EG) („Safe Harbor Entscheidung”) ungültig ist, da die USA kein angemessenes Datenschutzniveau gewährleistet.
In seinem Urteil hat der EuGH zahlreiche Anforderungen an eine datenschutzkonforme Übermittlung von personenbezogenen Daten vorgelegt, die zukünftig zu beachten sind. Einige davon sorgen derzeit für hohe Rechtsunsicherheit. Hierzu 5 Fragen – und 5 Antworten.
1. Was ist die Safe Harbor-Entscheidung der EU-Kommission?
Sobald personenbezogene Daten ins Ausland übermittelt werden, stellt sich die Frage, nach welcher gesetzlichen Grundlage dies datenschutzrechtlich erlaubt ist (§§ 4b, 4c BDSG). Innerhalb der EU bzw. des Europäischen Wirtschaftsraums ist die Übermittlung relativ problemlos möglich, weil dort ein harmonisiertes europäisches Datenschutzrecht existiert. Sobald die Daten aber in Staaten außerhalb des Europäischen Wirtschaftsraums übermittelt werden sollen, wird es schwierig: Artikel 25 Abs. 1 der Datenschutzrichtlinie 95/46/EG („DSRL“) erlaubt die Datenübermittlung in solche „Drittstaaten” nur, wenn dort ein angemessenes Schutzniveau gewährleistet ist.
Genau um dieses angemessene Schutzniveau geht es in der Safe Harbor-Entscheidung der Kommission (Entscheidung 2000/520/EG). Die Kommission hat in dieser Entscheidung am 26. Juli 2000 ein solches Schutzniveau gemäß Artikel 25 Abs. 6, 31 Abs. 2 DSRL „festgestellt” – mit Bindungswirkung auch für die Datenschutzbehörden der Mitgliedsstaaten.
Auf Basis der Safe Harbor-Entscheidung konnten sich Unternehmen, die personenbezogene Daten in die USA übermitteln, auf die Einhaltung von „Grundsätzen” (Anhang I) sowie den dazu ergangenen „Häufig Gestellten Fragen (FAQ)” (Anhang II) verpflichten. Laut der EU-Kommission konnte so ein angemessenes Schutzniveau für die Datenübermittlung in die USA gewährleistet werden, was den Datenfluss in die USA legitimierte.
2. Welche Entscheidungsgründe machen die Safe Harbor Entscheidung ungültig?
Der EuGH stützt seine Entscheidung auf eine Prüfung der Safe Harbor-Entscheidung selbst. Er hat also keine eigene Bewertung des Datenschutzniveaus in den USA vorgenommen, sondern lediglich geprüft, ob die Entscheidung der Kommission die seiner Ansicht nach relevanten Punkte überhaupt berücksichtigt hat. Bereits hier sieht er Fehler, die zu einer Ungültigkeit der Safe Harbor-Entscheidung führen. Konkret:
3. Muss nun jede Übertragung von personenbezogenen Daten in die USA ausgesetzt werden?
Nein, eine Übermittlung personenbezogener Daten ist (grundsätzlich) auch ohne eine Safe Harbor-Zertifizierung möglich. Sie unterliegt nach dem Urteil des EuGH aber gegebenenfalls höheren Anforderungen.
Folgende Alternativen sind denkbar:
4. Sind die verbleibenden Übermittlungsvarianten rechtssicher?
Grundsätzlich sind die in Frage 3 dargestellten Alternativen denkbar. Das Problem ist aber: Viele der Kritikpunkte, die der EuGH gegen die Safe Harbor-Entscheidung gerichtet hat, lassen sich auch auf die anderen Alternativen übertragen. Denn auch bei den Standardvertragsklauseln und den BCRs kann nicht garantiert werden, dass amerikanische Behörden keinen uneingeschränkten Zugriff auf personenbezogene Daten bekommen. Demzufolge gäbe es auch bei den Standardvertragsklauseln und BCRs kein angemessenes Datenschutzniveau – eine Übermittlung der Daten wäre unzulässig.
Ob dies wirklich der Fall ist, muss aber erst noch diskutiert werden. Denn anders als die Safe Harbor-Entscheidung enthalten die Standardvertragsklauseln (und auch BCR, die von den Datenschutzbehörden genehmigt werden müssen) effektive Schutzmechanismen für die Grundrechte der betroffenen Personen. Hier sind z.B. sehr genaue Regeln zur Datensicherheit, zu externen Kontrollen (Audits) und auch zu Rechtsschutzmöglichkeiten vorgesehen. Der Kernpunkt der Kritik des EuGH ist allerdings auch dort nicht adressiert: Auch die Standardvertragsklauseln und die BCR können nichts daran ändern, wenn US-Behörden auf Basis ihres nationalen Rechts auf die Daten zugreifen (dies erfolgt nach aktuellem Stand aber ohnehin auch innerhalb Europas).
Wie mit der Problematik jetzt umzugehen ist, ist derzeit noch offen. Die EU-Kommission hat in einer offiziellen Stellungnahme festgestellt, dass ihrer Auffassung nach die Standardvertragsklauseln und BCRs weiterhin als Instrument für den internationalen Übermittlung genutzt werden können.
Andererseits werden aus dem Lager der nationalen Datenschutzbehörden Stimmen laut, die die Wirksamkeit der Standardvertragsklauseln anzweifeln. Dass sie hierzu die Möglichkeit haben, hat der EuGH ja gerade erst betont. Die Datenschutzbehörde von Schleswig-Holstein z.B. hat aktuell ein Positionspapier veröffentlicht (PDF), in dem sie die Auffassung vertritt, dass Standardvertragsklauseln gekündigt werden müssen, soweit darüber Daten in die USA übermittelt werden. Die Art. 29-Arbeitsgruppe, in der die EU-Datenschutzbehörden sich koordinieren, hat demgegenüber bisher noch keine eigene Meinung vorgelegt.
Hinsichtlich dieser Auseinandersetzung darf nicht vergessen werden, dass auch die Standardvertragsklauseln Entscheidungen der Kommission sind, denen ebenfalls eine gewisse Bindungswirkung für die Mitgliedsstaaten zukommt (Art. 26 Abs. 4 DSRL). Auch für die Standardvertragsklauseln gilt außerdem das Verwerfungsmonopol des EuGH. Eine Datenschutzbehörde kann die Rechtmäßigkeit solcher Klauseln also zwar anzweifeln, aber sie kann sie nicht selbst verwerfen, sondern nur ein Rechtsverfahren zu deren Überprüfung einleiten.
Es bleibt den Datenschutzbehörden aber unbenommen, nun sehr kritisch zu prüfen, ob die Standardvertragsklauseln korrekt umgesetzt sind. Außerdem sehen die Kommissionsentscheidungen selbst Rechte und Pflichten vor, innerhalb der Standardvertragsklauseln sicherzustellen, dass ein adäquates Datenschutzniveau im Drittstaat gewährleistet ist. Sowohl die Datenschutzbehörden als auch die jeweils betroffenen Unternehmen in den EU-Staaten („Datenexporteure”) können unter bestimmten Umständen die Standardvertragsklauseln kündigen, aussetzen oder für unwirksam erklären. Ob sie dies im Fall der USA nun auch müssen, ist eine offene Frage, die evtl. demnächst Gegenstand rechtlicher Auseinandersetzungen sein wird.
5. Wie geht es nun weiter?
Es ist bereits bekannt, dass der irische High Court, an den der EuGH nun zurückverwiesen hat, abschließend am 20. Oktober 2015 urteilen wird. Überraschungen sind nicht mehr zu erwarten, denn der EuGH hat zu den Vorlagefragen deutliche Antworten geliefert.
Viel spannender ist die Frage, wie eine Datenübermittlung in die USA nun zukünftig rechtskonform ausgestaltet werden kann. Wie bereits oben angesprochen, ist die Zukunft der Standardvertragsklauseln und BCRs für die Datenübermittlung in die USA noch nicht sicher. Würden diese beiden Optionen aber wegfallen, hätte dies weitreichende Auswirkungen, insbesondere für Unternehmen, deren Geschäftsmodell von einer Datenübermittlung in die USA abhängig ist, z.B. Cloud-Provider.
Der EuGH stellt in seiner Urteilsbegründung mehrmals deutlich klar, dass das EU-Datenschutzrecht auch im Lichte der Art. 7 (Achtung des Privat- und Familienlebens), Art. 8 (Schutz personenbezogener Daten) und Art. 47 (Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht) der EU-GrCh ausgelegt werden muss. So macht der EuGH deutlich, dass die Auslegung der einschlägigen Normen der Datenschutzrichtlinie nicht ausreicht. Die EU-Grundrechte dürfen somit nicht nur als „Beiwerk“ bestehenden EU-Rechts angesehen werden.
Dieser starke Bezug auf die Grundrechtscharta wird Auswirkungen auf verschiedene zukünftige Rechtsbestimmungen haben, die gerade verhandelt werden. So werden vermutlich die Trilog-Verhandlungen zur Datenschutzgrundverordnung auf die Anforderungen des Urteils eingehen. Und auch auf das umstrittene transatlantische Freihandelsabkommen TTIP könnte das Urteil Auswirkungen haben: Der im Abkommen intendierte freie und uneingeschränkte Datenfluss muss ebenfalls den datenschutzrechtlichen Anforderungen genügen. Vor allem aber wird es nun um die Frage gehen, ob es ein „Safe Harbor II” geben kann. Falls dies erfolgen soll, dann wohl nur um den Preis, dass die USA die Zugriffsmöglichkeiten ihrer Sicherheitsbehörden (vor allem der NSA) auf europäische personenbezogene Daten weiter einschränken. Ausgeschlossen ist dies nicht.
Bis dahin müssen die betroffenen Unternehmen aber ihre Praxis umstellen – und dabei mit selbstbewussten Datenschutzaufsichtsbehörden umgehen. Das wird für keinen der Beteiligten eine leichte Aufgabe.