5 Fragen zum Safe Harbor-Urteil des EuGH
Der Europäische Gerichtshof (EuGH) hat in der Rechtssache C-362/14 Maximilian Schrems v. Data Protection Commissioner entschieden. Der Gerichtshof entschied erwartungsgemäß, dass die Safe Harbor Entscheidung der Kommission vom 26. Juli 2000 (2000/520/EG) („Safe Harbor Entscheidung”) ungültig ist, da die USA kein angemessenes Datenschutzniveau gewährleistet.
In seinem Urteil hat der EuGH zahlreiche Anforderungen an eine datenschutzkonforme Übermittlung von personenbezogenen Daten vorgelegt, die zukünftig zu beachten sind. Einige davon sorgen derzeit für hohe Rechtsunsicherheit. Hierzu 5 Fragen – und 5 Antworten.
1. Was ist die Safe Harbor-Entscheidung der EU-Kommission?
Sobald personenbezogene Daten ins Ausland übermittelt werden, stellt sich die Frage, nach welcher gesetzlichen Grundlage dies datenschutzrechtlich erlaubt ist (§§ 4b, 4c BDSG). Innerhalb der EU bzw. des Europäischen Wirtschaftsraums ist die Übermittlung relativ problemlos möglich, weil dort ein harmonisiertes europäisches Datenschutzrecht existiert. Sobald die Daten aber in Staaten außerhalb des Europäischen Wirtschaftsraums übermittelt werden sollen, wird es schwierig: Artikel 25 Abs. 1 der Datenschutzrichtlinie 95/46/EG („DSRL“) erlaubt die Datenübermittlung in solche „Drittstaaten” nur, wenn dort ein angemessenes Schutzniveau gewährleistet ist.
Genau um dieses angemessene Schutzniveau geht es in der Safe Harbor-Entscheidung der Kommission (Entscheidung 2000/520/EG). Die Kommission hat in dieser Entscheidung am 26. Juli 2000 ein solches Schutzniveau gemäß Artikel 25 Abs. 6, 31 Abs. 2 DSRL „festgestellt” – mit Bindungswirkung auch für die Datenschutzbehörden der Mitgliedsstaaten.
Auf Basis der Safe Harbor-Entscheidung konnten sich Unternehmen, die personenbezogene Daten in die USA übermitteln, auf die Einhaltung von „Grundsätzen” (Anhang I) sowie den dazu ergangenen „Häufig Gestellten Fragen (FAQ)” (Anhang II) verpflichten. Laut der EU-Kommission konnte so ein angemessenes Schutzniveau für die Datenübermittlung in die USA gewährleistet werden, was den Datenfluss in die USA legitimierte.
2. Welche Entscheidungsgründe machen die Safe Harbor Entscheidung ungültig?
Der EuGH stützt seine Entscheidung auf eine Prüfung der Safe Harbor-Entscheidung selbst. Er hat also keine eigene Bewertung des Datenschutzniveaus in den USA vorgenommen, sondern lediglich geprüft, ob die Entscheidung der Kommission die seiner Ansicht nach relevanten Punkte überhaupt berücksichtigt hat. Bereits hier sieht er Fehler, die zu einer Ungültigkeit der Safe Harbor-Entscheidung führen. Konkret:
- Befugnisse der nationalen Datenschutzbehörden dürfen weder beseitigt noch beschränkt werden: Die Safe Harbor-Entscheidung hat nach Auffassung des EuGH in die Unabhängigkeit der nationalen Datenschutzbehörden eingegriffen. Diese müssen aber laut dem EuGH in völliger Unabhängigkeit prüfen können, ob eine Entscheidung der Kommission (hier die Safe Harbor-Entscheidung) den Anforderungen der Datenschutzrichtlinie entspricht (Rn. 99-104 des Urteils).
- Nationale Gesetze dürfen das Schutzniveau nicht unterlaufen: Der EuGH stellt fest, dass ein angemessenes Schutzniveau nicht vorhanden ist, wenn die Safe Harbor-Grundsätze lediglich für eine Selbstzertifizierung von US-Unternehmen gelten, jedoch nicht für amerikanische Behörden. Das Recht des Drittstaats selbst muss den Schutz gewährleisten und effektive Schutzmechanismen enthalten (Rn. 81-83).
- Kein uneingeschränkter Eingriff nationaler Behörden in Grundrechte: Laut dem EuGH ist es nicht mit dem Wesensgehalt des Grundrechts auf Achtung des Privatlebens vereinbar, wenn amerikanische Behörden ohne jegliche Differenzierung, Einschränkung oder Ausnahme Zugriff auf die Daten der Betroffenen haben. Die Kommission hätte keine generelle Ausnahmeklausel für den Zugriff von US-Behörden auf die Daten zum Schutz der „nationalen Sicherheit” zulassen dürfen. Sie hätte vielmehr prüfen müssen, ob das US-Recht staatliche Eingriffe in die Grundrechte der betroffenen Personen effektiv begrenzt (Rn. 84-88).
- Keine Gewährleistung von Rechtsschutzmechanismen: Die Kommission hätte sicherstellen müssen, dass betroffenen Personen bei Eingriffen in ihre Grundrechte ein effektiver Rechtsschutz zur Verfügung steht, um ihre datenschutzbezogenen Rechte durchzusetzen (z.B. Berichtigung oder Löschung). Der Gerichtshof bemängelt, dass derartige Rechtsschutzprinzipien in der Safe Harbor-Entscheidung nicht gewährleistet sind (Rn. 89).
3. Muss nun jede Übertragung von personenbezogenen Daten in die USA ausgesetzt werden?
Nein, eine Übermittlung personenbezogener Daten ist (grundsätzlich) auch ohne eine Safe Harbor-Zertifizierung möglich. Sie unterliegt nach dem Urteil des EuGH aber gegebenenfalls höheren Anforderungen.
Folgende Alternativen sind denkbar:
- Gesetzliche Ausnahmen (Art. 26 Abs. 1 DSRL): Ausnahmsweise kann die Übermittlung personenbezogener Daten zulässig sein, sofern eine der Ausnahmen nach Art. 26 (1) (a)-(f) DSRL zutrifft. Wenn die Übermittlung personenbezogener Daten zum Beispiel zum Abschluss oder zur Erfüllung eines Vertrages notwendig ist, dürfen diese Daten in die USA übermittelt werden. Dasselbe gilt, wenn die betroffene Person (z.B. ein Facebook-Nutzer) der Datenübermittlung zustimmt. Eine wirksame Einwilligung muss allerdings bestimmten formellen Vorschriften entsprechen (z.B. § 4a BDSG, § 13 Abs. 2 TMG). Insbesondere muss eine Einwilligung zweifelsfrei auf einer „freiwilligen Entscheidung” beruhen (§ 4a Abs. 1 Satz 1 BDSG). Eine Einwilligung kann außerdem jederzeit widerrufen werden – die Datenübermittlung ist dann nicht mehr zulässig. Bei Datentransfers von Beschäftigtendaten ist eine Einwilligung der betroffenen Beschäftigten ohnehin keine sichere Möglichkeit: Die Freiwilligkeit einer Einwilligung ist (je nach Fallkostellation) im Beschäftigungsverhältnis nicht immer zweifelsfrei und wäre in seinem solchen Fall nicht gültig.
- EU Standardvertragsklauseln: Gemäß Art. 26 Abs. 4 DSRL hat die Kommission Standardvertragsklauseln entwickelt, die ein angemessenes Datenschutzniveau sicherstellen. Nach dem Urteil des EuGH wird nun diskutiert, ob die Standardvertragsklauseln noch ein angemessenes Datenschutzniveau gewährleisten. Dazu weitere Details in Frage 4.
- Binding Corporate Rules (BCR): BCRs sind verbindliche Richtlinien, die Unternehmen bei sich implementieren können, um für konzerninterne Übermittlungen personenbezogener Daten in unsichere Drittstaaten das erforderliche Datenschutzniveau sicherzustellen. Die Artikel-29-Datenschutzgruppe hat hierzu mehrere Arbeitspapiere erstellt, in denen die zugehörigen Prozesse erläutert werden. Die Implementierung von BCR ist für Unternehmen aber zeitaufwändig und erfordert die Mitwirkung der Datenschutzbehörden – eine kurzfristige Lösung für Unternehmen, die von der EuGH-Entscheidung betroffen sind, sind sie somit nicht. Auch bei den BCRs ist außerdem noch offen, ob sie nach dem EuGH Urteil noch ein wirksames Instrument für die Datenübermittlung in die USA darstellen (weitere Details in Frage 4).
4. Sind die verbleibenden Übermittlungsvarianten rechtssicher?
Grundsätzlich sind die in Frage 3 dargestellten Alternativen denkbar. Das Problem ist aber: Viele der Kritikpunkte, die der EuGH gegen die Safe Harbor-Entscheidung gerichtet hat, lassen sich auch auf die anderen Alternativen übertragen. Denn auch bei den Standardvertragsklauseln und den BCRs kann nicht garantiert werden, dass amerikanische Behörden keinen uneingeschränkten Zugriff auf personenbezogene Daten bekommen. Demzufolge gäbe es auch bei den Standardvertragsklauseln und BCRs kein angemessenes Datenschutzniveau – eine Übermittlung der Daten wäre unzulässig.
Ob dies wirklich der Fall ist, muss aber erst noch diskutiert werden. Denn anders als die Safe Harbor-Entscheidung enthalten die Standardvertragsklauseln (und auch BCR, die von den Datenschutzbehörden genehmigt werden müssen) effektive Schutzmechanismen für die Grundrechte der betroffenen Personen. Hier sind z.B. sehr genaue Regeln zur Datensicherheit, zu externen Kontrollen (Audits) und auch zu Rechtsschutzmöglichkeiten vorgesehen. Der Kernpunkt der Kritik des EuGH ist allerdings auch dort nicht adressiert: Auch die Standardvertragsklauseln und die BCR können nichts daran ändern, wenn US-Behörden auf Basis ihres nationalen Rechts auf die Daten zugreifen (dies erfolgt nach aktuellem Stand aber ohnehin auch innerhalb Europas).
Wie mit der Problematik jetzt umzugehen ist, ist derzeit noch offen. Die EU-Kommission hat in einer offiziellen Stellungnahme festgestellt, dass ihrer Auffassung nach die Standardvertragsklauseln und BCRs weiterhin als Instrument für den internationalen Übermittlung genutzt werden können.
Andererseits werden aus dem Lager der nationalen Datenschutzbehörden Stimmen laut, die die Wirksamkeit der Standardvertragsklauseln anzweifeln. Dass sie hierzu die Möglichkeit haben, hat der EuGH ja gerade erst betont. Die Datenschutzbehörde von Schleswig-Holstein z.B. hat aktuell ein Positionspapier veröffentlicht (PDF), in dem sie die Auffassung vertritt, dass Standardvertragsklauseln gekündigt werden müssen, soweit darüber Daten in die USA übermittelt werden. Die Art. 29-Arbeitsgruppe, in der die EU-Datenschutzbehörden sich koordinieren, hat demgegenüber bisher noch keine eigene Meinung vorgelegt.
Hinsichtlich dieser Auseinandersetzung darf nicht vergessen werden, dass auch die Standardvertragsklauseln Entscheidungen der Kommission sind, denen ebenfalls eine gewisse Bindungswirkung für die Mitgliedsstaaten zukommt (Art. 26 Abs. 4 DSRL). Auch für die Standardvertragsklauseln gilt außerdem das Verwerfungsmonopol des EuGH. Eine Datenschutzbehörde kann die Rechtmäßigkeit solcher Klauseln also zwar anzweifeln, aber sie kann sie nicht selbst verwerfen, sondern nur ein Rechtsverfahren zu deren Überprüfung einleiten.
Es bleibt den Datenschutzbehörden aber unbenommen, nun sehr kritisch zu prüfen, ob die Standardvertragsklauseln korrekt umgesetzt sind. Außerdem sehen die Kommissionsentscheidungen selbst Rechte und Pflichten vor, innerhalb der Standardvertragsklauseln sicherzustellen, dass ein adäquates Datenschutzniveau im Drittstaat gewährleistet ist. Sowohl die Datenschutzbehörden als auch die jeweils betroffenen Unternehmen in den EU-Staaten („Datenexporteure”) können unter bestimmten Umständen die Standardvertragsklauseln kündigen, aussetzen oder für unwirksam erklären. Ob sie dies im Fall der USA nun auch müssen, ist eine offene Frage, die evtl. demnächst Gegenstand rechtlicher Auseinandersetzungen sein wird.
5. Wie geht es nun weiter?
Es ist bereits bekannt, dass der irische High Court, an den der EuGH nun zurückverwiesen hat, abschließend am 20. Oktober 2015 urteilen wird. Überraschungen sind nicht mehr zu erwarten, denn der EuGH hat zu den Vorlagefragen deutliche Antworten geliefert.
Viel spannender ist die Frage, wie eine Datenübermittlung in die USA nun zukünftig rechtskonform ausgestaltet werden kann. Wie bereits oben angesprochen, ist die Zukunft der Standardvertragsklauseln und BCRs für die Datenübermittlung in die USA noch nicht sicher. Würden diese beiden Optionen aber wegfallen, hätte dies weitreichende Auswirkungen, insbesondere für Unternehmen, deren Geschäftsmodell von einer Datenübermittlung in die USA abhängig ist, z.B. Cloud-Provider.
Der EuGH stellt in seiner Urteilsbegründung mehrmals deutlich klar, dass das EU-Datenschutzrecht auch im Lichte der Art. 7 (Achtung des Privat- und Familienlebens), Art. 8 (Schutz personenbezogener Daten) und Art. 47 (Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht) der EU-GrCh ausgelegt werden muss. So macht der EuGH deutlich, dass die Auslegung der einschlägigen Normen der Datenschutzrichtlinie nicht ausreicht. Die EU-Grundrechte dürfen somit nicht nur als „Beiwerk“ bestehenden EU-Rechts angesehen werden.
Dieser starke Bezug auf die Grundrechtscharta wird Auswirkungen auf verschiedene zukünftige Rechtsbestimmungen haben, die gerade verhandelt werden. So werden vermutlich die Trilog-Verhandlungen zur Datenschutzgrundverordnung auf die Anforderungen des Urteils eingehen. Und auch auf das umstrittene transatlantische Freihandelsabkommen TTIP könnte das Urteil Auswirkungen haben: Der im Abkommen intendierte freie und uneingeschränkte Datenfluss muss ebenfalls den datenschutzrechtlichen Anforderungen genügen. Vor allem aber wird es nun um die Frage gehen, ob es ein „Safe Harbor II” geben kann. Falls dies erfolgen soll, dann wohl nur um den Preis, dass die USA die Zugriffsmöglichkeiten ihrer Sicherheitsbehörden (vor allem der NSA) auf europäische personenbezogene Daten weiter einschränken. Ausgeschlossen ist dies nicht.
Bis dahin müssen die betroffenen Unternehmen aber ihre Praxis umstellen – und dabei mit selbstbewussten Datenschutzaufsichtsbehörden umgehen. Das wird für keinen der Beteiligten eine leichte Aufgabe.
