Fachartikel & News

Daten­schutz: Die Safe-Har­bor- Ent­schei­dung des EuGH

Der Euro­päi­sche Gerichts­hof (EuGH) hatte mit dem viel beach­te­ten Urteil vom 6. Okto­ber 2015 nach Vor­lage des iri­schen High Courts ent­schie­den, dass das Safe-Har­bor-Abkom­men kein aus euro­päi­scher Sicht ange­mes­se­nes Daten­schutz­ni­veau bil­det und die (iri­sche) Daten­schutz-Auf­sichts­be­hörde die recht­li­che Befug­nis hat, eine Daten­über­mitt­lung auf Basis des Safe-Har­bor-Abkom­mens zu unter­sa­gen.


Sach­ver­halt

Dem Urteil ist eine Beschwerde des Öster­rei­chers Max Schrems vor­aus­ge­gan­gen, ob die iri­sche Daten­schutz­be­hörde prü­fen muss, ob Face­book per­so­nen­be­zo­gene Daten in die USA über­tra­gen darf. Die Behörde hielt sich nicht für zustän­dig, dies zu prü­fen. Zum einen sei Face­book den Safe-Har­bor-Regeln unter­wor­fen und zum ande­ren würde Face­book die Safe-Har­bor- Bedin­gun­gen ein­hal­ten.

Hin­ter­grund

Die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten in ein außer­eu­ro­päi­sches Land ist nach dem Daten­schutz­recht nur dann erlaubt, wenn dort ein ange­mes­se­nes Schutz­ni­veau für die Daten gewähr­leis­tet ist. In den USA bestand kein ange­mes­se­nes Daten­schutz­ni­veau. In Staa­ten ohne ein ange­mes­se­nes Daten­schutz­ni­veau kann ein sol­ches den­noch ange­nom­men wer­den, wenn eine Ver­ein­ba­rung mit der EU besteht, die ein ange­mes­se­nes Daten­schutz­ni­veau sicher­stellt. Dabei muss sich die Daten emp­fan­gende Stelle der Ver­ein­ba­rung unter­wer­fen. Das Safe-Har­bor-Abkom­men ist eine sol­che Ver­ein­ba­rung.

Pro­ble­ma­tisch ist vor allem der US Patriot Act, der ame­ri­ka­ni­schen Ermitt­lungs­be­hör­den weit­rei­chende Ein­griffs­rechte gibt. Das Safe-Har­bor-Abkom­men hat der EuGH schließ­lich für unwirk­sam erklärt. Damit ent­fällt die Ver­mu­tung der Ein­hal­tung der euro­päi­schen Daten­schutz­re­ge­lun­gen und das Safe-Har­bor-Abkom­men stellt keine aus­rei­chende Grund­lage für eine Daten­über­tra­gung in die USA durch Unter­neh­men wie Face­book mehr dar.

In sei­ner Pres­se­mit­tei­lung vom 6. Okto­ber teilte der EuGH abschlie­ßend mit: „Die­ses Urteil hat zur Folge, dass die iri­sche Daten­schutz­be­hörde die Beschwerde von Herrn Schrems mit aller gebo­te­nen Sorg­falt prü­fen und am Ende ihrer Unter­su­chung ent­schei­den muss, ob nach der Richt­li­nie die Über­mitt­lung der Daten der euro­päi­schen Nut­zer von Face­book in die Ver­ei­nig­ten Staa­ten aus­zu­set­zen ist, weil die­ses Land kein ange­mes­se­nes Schutz­ni­veau für per­so­nen­be­zo­gene Daten bie­tet.“

Prak­ti­sche Kon­se­quen­zen

Sämt­li­che ame­ri­ka­ni­schen Anbie­ter von Online-Tools – um einige bekannte Unter­neh­men zu nen­nen wie Ama­zon Cloud Ser­vices, Apple, Drop­box, Google, Mail­chimp Micro­soft, Sales­force oder Skype – sind betrof­fen. Ent­schei­dend ist jedoch, ob per­so­nen­be­zo­gene Daten in die USA über­tra­gen wer­den. Bei­spiele für Anbie­ter, die per­so­nen­be­zo­gene Daten über­tra­gen, sind Cloud-Anbie­ter, Anbie­ter von Hos­ting-Sys­te­men und von Web­sei­ten-Ana­ly­se­tools.

Die Anbie­ter reagie­ren nun auf ver­schie­de­nen Wegen. So wird Micro­soft die Dienste Azure, Office 365 und CRM Online zukünf­tig auch aus zwei deut­schen Rechen­zen­tren anbie­ten, deren Zugang T-Sys­tems wird dabei als Treu­hän­der über­wa­chen wird. Andere Anbie­ter bie­ten häu­fig den Abschluss von Stan­dard­ver­trags­klau­seln an.

Alter­na­ti­ven zum Safe-Har­bor-Abkom­men

Um ein ange­mes­se­nes Daten­schutz­ni­veau sicher­zu­stel­len, gibt es ver­schie­dene Mög­lich­kei­ten. Die in der Fach­li­te­ra­tur am meis­ten benann­ten Alter­na­ti­ven sind:

  • die aus­drück­li­che Ein­wil­li­gung der Daten­über­mitt­lung in die USA,
  • die Ver­wen­dung von EU-Stan­dard­ver­trags­klau­seln, mit denen sich der Dienst­leis­ter ver­trag­lich den wesent­li­chen Rege­lun­gen der EU zum Daten­schutz unter­wirft oder
  • der Ein­satz von Dienst­leis­tern, die Daten in der EU, dem EWR oder in siche­ren Dritt­län­dern spei­chern. Dies erfolgt durch Ver­wen­dung von Bin­ding Cor­po­rate Rules, also der recht­lich ver­bind­li­chen Imple­men­tie­rung von Unter­neh­mens­re­ge­lun­gen (Pri­vacy Policy) zum Umgang mit per­so­nen­be­zo­ge­nen Daten im Kon­zern.

Erste Hand­lungs­emp­feh­lun­gen

Als ers­ten Schritt soll­ten Sie sich eine Liste der Dienst­leis­ter erstel­len, die per­so­nen­be­zo­gene Daten in die USA auf Grund­lage des Safe-Har­bor-Abkom­mens über­mit­teln. Die EU-Daten­schutz­be­hör­den haben eine Art Schon­frist bis Ende Januar 2016 aus­ge­spro­chen und Stan­dard­ver­trags­klau­seln aus­drück­lich als zunächst wei­ter­hin ver­wend­bar erklärt. Die Posi­tio­nie­rung der deut­schen Daten­schutz­auf­sichts­be­hör­den, die bis­her unein­heit­lich war, sollte unbe­dingt beob­ach­tet wer­den. So hatte Anfang Okto­ber 2015 das Unab­hän­gige Lan­des­zen­trum für Daten­schutz (ULD) aus Schles­wig-Hol­stein Beden­ken gegen die von der EU-Kom­mis­sion emp­foh­le­nen Aus­weich­maß­nah­men geäu­ßert.

In einem Posi­ti­ons­pa­pier hat die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­be­hör­den des Bun­des und der Län­der vom 21.10.2015 Unter­neh­men auf­ge­for­dert, unver­züg­lich ihre Ver­fah­ren zum Daten­trans­fer daten­schutz­ge­recht zu gestal­ten. Lei­der bleibt im Posi­ti­ons­pa­pier offen, wie dies in der Pra­xis erfol­gen soll. Aber auch Bun­des­re­gie­rung, Bun­des­tag, Kom­mis­sion, Rat und Par­la­ment der EU wur­den auf­ge­for­dert, für Rechts­si­cher­heit zu sor­gen. Die Kon­fe­renz hat zudem ange­kün­digt, aus­schließ­lich auf Safe Har­bor gestützte Daten­über­mitt­lun­gen in die USA zu unter­sa­gen und stellt auch die Zuläs­sig­keit der Daten­trans­fers in die USA auf der Grund­lage der ande­ren hier­für ein­ge­setz­ten In­strumente wie die Stan­dard­ver­trags­klau­seln oder die ver­bind­li­chen Unter­neh­mens­re­ge­lun­gen infrage.


Bei Fra­gen spre­chen Sie uns gerne an.

This is a unique website which will require a more modern browser to work! Please upgrade today!