Das Ende der Safe-Harbor-Regelung zwischen EU und USA und seine Folgen für Bürger und Unternehmen
Am 6. Oktober 2015 erklärte der Europäische Gerichtshof (EuGH) in der Rechtssache Maximilian Schrems gegen den EU-Datenschutzkommissar (Fall C-362/14) die Safe-Harbor-Regelung zwischen der EU und den USA für ungültig.
Diese im Jahr 2000 zwischen dem US-Handelsministerium und der Europäischen Union vereinbarte Regelung gestattete bisher US-Unternehmen unter Einhaltung der Datenschutzrichtlinie von 1995 die Datenübermittlung aus der EU in die USA. Die Europäische Kommission hatte 2000 festgestellt, die Vereinigten Staaten von Amerika würden ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten. Die Safe-Harbor-Regelung enthielt eine Reihe von Prinzipien zum Schutz personenbezogener Daten, denen sich amerikanische Unternehmen freiwillig unterwerfen konnten. Bisher haben 4.400 Unternehmen die Möglichkeit gemäß der Safe-Harbor-Regelung zur Datenübermittlung in die USA wahrgenommen.
Das EuGH-Urteil ist online hier abrufbar, die zugehörige Pressemitteilung finden Sie hier.
Worum geht es in dieser Rechtssache?
Herr Schrems, ein österreichischer Staatsangehöriger, nutzt seit 2008 Facebook. Wie bei allen anderen in der Europäischen Union wohnhaften Nutzern von Facebook werden die Daten, die Herr Schrems Facebook liefert, von der irischen Tochtergesellschaft von Facebook ganz oder teilweise an Server, die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Schrems legte bei der irischen Datenschutzbehörde eine Beschwerde ein, weil er im Hinblick auf die von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten, insbesondere der National Security Agency (NSA), der Ansicht war, dass das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor Überwachungstätigkeiten der dortigen Behörden böten. Die irische Behörde wies die Beschwerde insbesondere mit der Begründung zurück, die Kommission habe in ihrer Entscheidung vom 26. Juli 2000 festgestellt, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten gewährleisteten.
Schrems berief gegen die Entscheidung des Data Protection Commissioner vor dem irischen High Court. Der High Court entschied auf Aussetzung des Verfahrens und Weiterleitung zur Vorabentscheidung an den Europäischen Gerichtshof.
Der Europäische Gerichtshof urteilte, die so genannte Safe-Harbor-Regelung sei ungültig, weil sie US-Behörden den routinemäßigen Zugang zu Online-Informationen von Europäern erlaubt. Der EuGH führte weiter aus, die Dokumente von Edward J. Snowden, einem früheren Auftragnehmer der National Security Agency, würden klar zeigen, dass amerikanische Geheimdienste fast uneingeschränkten Zugang zu den Daten haben, womit die Datenschutzrechte europäischer Bürger verletzt werden.
Was sind die nächsten Schritte nach diesem Urteil?
Das EuGH-Urteil tritt mit sofortiger Wirkung in Kraft und erklärt die gegenwärtige Safe-Harbor-Regelung für ungültig. In diesem Urteil wird die irische Datenschutzbehörde aufgefordert, die Klage von Max Schrems mit der gebotenen Sorgfalt zu prüfen und nach Abschluss der Untersuchungen zu entscheiden, ob nach der Europäischen Datenschutzrichtlinie eine Übermittlung von Daten europäischer Facebook-Nutzer in die USA ausgesetzt werden sollte, weil dieses Land kein adäquates Schutzniveau für personenbezogene Daten bietet.
Welche praktischen Auswirkungen hat das Urteil für US-Unternehmen, die bisher gemäß der Safe-Harbor-Regelung personenbezogene Daten von EU-Bürgern in die USA übermittelt haben?
Wir wissen, dass das jüngste Urteil des Europäischen Gerichtshofs die Safe-Harbor-Regelung für ungültig erklärt. In strikter Auslegung bedeutet dies, dass bei der Übermittlung personenbezogener Daten von EU-Bürgern in die USA nicht mehr davon auszugehen ist, dass dieses Land einen „sicheren Hafen“ darstellt, weil die entsprechende Regelung für ungültig erklärt wurde.
Trotzdem sollte es US-Unternehmen möglich sein, Daten von EU-Bürgern in die USA zu übermitteln, indem sie auf andere Mechanismen wie Standardvertragsklauseln, so genannte BCR, also unternehmensweit geltende Richtlinien, und Ausnahmeregelungen zurückgreifen. Standardvertragsklauseln sind vorformulierte Klauseln, die von der Europäischen Kommission herausgegeben werden und der Erleichterung der Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in Drittländer dienen, deren Datenschutzniveau von der Europäischen Kommission für die Verarbeitung personenbezogener Daten als nicht adäquat erklärt wurde. Diese Klauseln treffen entsprechende Vorkehrungen für einen ausreichenden Datenschutz.
BCR sind verbindliche unternehmensweit geltende Richtlinien wie etwa ein Verhaltenskodex, den multinationale Konzerne einführen, um ihre weltweite Politik im Hinblick auf die internationale Übermittlung personenbezogener Daten im Unternehmen an Einrichtungen in Ländern ohne adäquaten Datenschutz festzulegen. So gewährleisten diese BCR, dass jede Datenübermittlung zum Wohl der Gruppe auf einem angemessenen Datenschutzniveau erfolgt. Bei Genehmigung nach dem EU-Kooperationsverfahren bieten BCR Unternehmen ein ausreichendes Schutzniveau, um von den nationalen Datenschutzbehörden Genehmigungen zur Datenermittlung zu erhalten. Es ist jedoch darauf hinzuweisen, dass BCR keine Grundlage für Datenübermittlungen außerhalb des jeweiligen Konzerns darstellen.
Die EU-Datenschutzregeln beinhalten einige Ausnahmeregelungen, nach denen personenbezogene Daten unter anderem folgendermaßen rechtskonform übermittelt werden können[1]:
- Im Zuge einer Vertragserfüllung [so werden meine personenbezogenen Daten, wenn ich ein Hotel in den USA buche, zur Vertragserfüllung dorthin übermittelt];
- Bei Vorliegen wichtiger Gründe von öffentlichem Interesse [z.B. Kooperation der Behörden im Kampf gegen Betrug, Kartelle etc.];
- Bei vitalen Interessen des Datensubjekts [so können in lebensbedrohlichen Situationen personenbezogene Daten wie Krankengeschichten im Interesse des oder der Betroffenen grenzüberschreitend übermittelt werden];
- Oder mangels anderer Gründe mit der freiwilligen und informierten Einwilligung des oder der Betroffenen;
Pragmatisch betrachtet wurde nach der Ungültigkeitserklärung der Safe-Harbor-Regelung zwar keine offizielle Übergangsfrist gewährt, doch ist von US-Unternehmen, die personenbezogene Daten von EU-Bürgern in die USA übermitteln, aufgrund der hohen Zahl der betroffenen Transaktionen wohl nicht zu erwarten, dass sie diese Praxis sofort einstellen.
Der Vizepräsident der EU-Kommission Frans Timmermans, der mit der Umsetzung des Urteils beauftragt wurde, und EU-Justizkommissarin Vera Jourová waren bemüht, die Befürchtungen der Unternehmen zu zerstreuen. Ihre offizielle Pressemitteilung kann hier abgerufen werden. Sie erklärten, die Unternehmen könnten personenbezogene Daten von Europäern auch über andere Mechanismen wie Standardvertragsklauseln, verbindliche Unternehmensregeln (BCR) und Ausnahmebestimmungen in die USA übermitteln.
Wie wird sich dieses Urteil auf die laufenden Diskussionen über ein neues Safe-Harbor-Abkommen, auf die EU-Datenschutzreform und auf das Rahmenabkommen für die Strafverfolgungsbehörden zwischen EU und USA auswirken?
Frans Timmermans, erster Vizepräsident der Europäischen Kommission, und EU-Kommissarin Vera Jourová erklärten, die Europäische Kommission stehe mit den USA seit zwei Jahren in Verhandlungen über eine Neufassung der bestehenden Safe-Harbor-Regelung. Diese Verhandlungen laufen noch, doch ihr Ziel ist es, „die Gespräche mit den Vereinigten Staaten über ein neues und sicheres Rahmenabkommen zur Übermittlung personenbezogener Daten über den Atlantik zu vertiefen“.
Mit Bezug auf die EU-Datenschutzreform und das Rahmenabkommen für die Strafverfolgungsbehörden zwischen EU und USA erläuterten sie, beides liege gut im Plan und werde voraussichtlich noch in diesem Jahr zum Abschluss gebracht. Die Datenschutzreform mit der Verabschiedung einer neuen EU-Richtlinie anstelle der bisherigen Datenschutzrichtlinie soll unter anderem die Befugnisse der nationalen Datenschutzbehörden stärken, die eine wesentliche Rolle für das Datenschutzrecht des Einzelnen spielen. Der Ansicht beider EU-Vertreter nach entspricht dies vollinhaltlich dem jüngsten Urteil in der Rechtssache Schrems.
Das Rahmenabkommen zwischen EU und USA unterscheidet sich von der Safe-Harbor-Regelung. Für sich genommen ermöglicht es keine Datenübermittlungen. Stattdessen gibt es hohe Datenschutzstandards für die Zusammenarbeit zwischen Polizei- und Strafverfolgungsbehörden vor. Die beiden EU-Vertreter erklären, das Rahmenabkommen werde den Schutz personenbezogener Daten europäischer Bürger in den USA verbessern, weil es europäischen Bürgern in den USA bei Datenschutzverstößen das Beschreiten des Rechtswegs ermögliche, sobald der US-Kongress den zugehörigen Gesetzesentwurf verabschiedet.
Abschließend führten Timmermans und Jourová aus, die Europäische Kommission werde mit den nationalen Datenschutzbehörden daran arbeiten, das Gerichtsurteil (in der Rechtssache Schrems) in der gesamten Europäischen Union in gleicher Weise umzusetzen. Sie endeten wie folgt: „Da die Bürger zuverlässigen Schutz und die Unternehmen Rechtssicherheit brauchen, sollte die Regelung dazu betragen, ein Flickwerk potenziell widersprüchlicher Entscheidungen der nationalen Datenschutzbehörden zu verhindern und Vorhersagbarkeit für Bürger und Unternehmen gleichermaßen zu gewährleisten.“
Wie sollen nun Unternehmen bis zur Klärung der Rechtslage vorgehen?
Während das neue Safe-Harbor-Abkommen zwischen der EU und den USA verhandelt wird, und bis zum Abschluss der EU-Datenschutzreform sollten Unternehmen, die bisher im Rahmen der Safe-Harbor-Regelung personenbezogene Daten aus der EU in die USA übermittelt haben, auf alternative Mechanismen wie Standardvertragsklauseln, verbindliche Unternehmensregeln (BCR) und Ausnahmeregeln, wie oben beschrieben, zurückgreifen. Wir schlagen außerdem vor, dass Unternehmen Instruktionen und Genehmigungen von den jeweiligen nationalen Datenschutzbehörden der Länder, in denen sie tätig sind, einholen.
Wenn sich Unternehmen etwa in der EU in einem Rechtsstreit befinden, der die Dienste eines Ediscovery-Anbieters erfordert, oder wenn sie personenbezogene Daten von EU-Bürgern zumindest verarbeiten und hosten müssen, empfehlen wir landesinterne Lösungen innerhalb der EU, um so jedenfalls die EU-Datenschutzvorschriften einzuhalten. In der Praxis bedeutet dies etwa, wenn ein deutsches Unternehmen von seinen Mitarbeitern an mehreren Standorten in Deutschland mit der Hilfe eines Ediscovery-Anbieters Daten einholen muss, dass diese Daten in einem deutschen Rechenzentrum verarbeitet und gehostet werden, um den strengen deutschen und europäischen Datenschutzbestimmungen gerecht zu werden. Die Daten verlassen Deutschland also gar nicht. Unserer Ansicht nach erhöht das jüngste Urteil in der Rechtssache Schrems den Bedarf an lokalen Lösungen, bei denen die Daten im Zuge der Verarbeitung und des Hostens für die elektronische Suche im jeweiligen Land der betroffenen Datentreuhänder und vor allem in der EU bleiben. Wenn Daten dieser europäischen Datentreuhänder die Europäische Union verlassen und in die USA übermittelt werden müssen, so sollte dies im Rahmen der oben beschriebenen alternativen Mechanismen geschehen.
[1] Weitere Ausnahmeregelungen sind Artikel 26 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr zu entnehmen.