Safe-Harbor-Abkommen wird für ungültig erklärt

Der EuGH hat in der sog. Schrems-Entscheidung entschieden, dass die Vereinbarung zwischen der EU und den USA, die eine Übermittlung von personenbezogenen Daten an Unternehmen in den USA ermöglichen soll („Safe-Harbor“), unwirksam ist. Eine Datenübermittlung auf Grundlage dieser Vereinbarung ist daher unzulässig.

Hintergrund

Grundsätzlich ist eine Übermittlung personenbezogener Daten zu Unternehmen außerhalb der EU bzw. des EWR (neben weiteren Voraussetzungen) nur zulässig, wenn diese Unternehmen ein angemessenes Datenschutzniveau gewährleisten. Dies muss grundsätzlich durch das übermittelnde Unternehmen sichergestellt und geprüft werden. Gemäß dem Safe-Harbor-Abkommen wurde ein solches angemessenes Datenschutzniveau ohne weitere Prüfung für US-amerikanische Unternehmen unterstellt, die sich durch eine Art Selbstverpflichtung den Prinzipien des Abkommens unterwarfen und sich in eine Liste des US-Handelsministeriums eintragen ließen.

Ausgangspunkt der Entscheidung ist ein in der Presse viel beachteter und seit 2011 schwelender Rechtsstreit zwischen dem österreichischen Juristen Max Schrems und Facebook. Schrems hatte sich darüber beschwert, dass Facebook seine Daten in die USA übermittelt und dort auch speichert. Hierzu hatte er den irischen Datenschutzbeauftragten (am europäischen Sitz von Facebook) aufgefordert, gegen Facebook tätig zu werden. Dieser weigerte sich mit Hinweis auf das Safe-Harbor-Abkommen.

EuGH, Urteil v. 6.10.2015, C-362/14

Der EuGH entschied, dass Entscheidung der Europäischen Kommission über das Safe-Harbor-Abkommen mit der Grundrechtecharta der EU unvereinbar sei. Der in den Safe-Harbor-Regelungen enthaltene Vorbehalt, der einen nahezu vorbehaltlosen Zugriff von staatlichen Stellen auf die personenbezogenen Daten ermögliche, lasse eine generelle Feststellung eines angemessenen Schutzniveaus bei US-amerikanischen Unternehmen gerade nicht zu. Zudem würden die Befugnisse der nationalen Aufsichtsbehörden durch das Abkommen zu weit eingeschränkt. Es sei zumindest erforderlich, dass auf die Eingabe einer betroffenen Person die Angemessenheit des Schutzniveaus im Einzelfall von den Aufsichtsbehörden geprüft werden könne.

Anmerkung

Der EuGH hat sich mit seiner Entscheidung letztlich einer Kritik angeschlossen, die von einigen deutschen Datenschutzaufsichtsbehörden bereits seit längerer Zeit geäußert wird. Nichtsdestotrotz kann die Entscheidung getrost als Paukenschlag bezeichnet werden. Die Folgen für Unternehmen (und auch die Aufsichtsbehörden) sind derzeit noch nicht absehbar.

Entgegen mancher Pressemeldung hat der EuGH nicht entschieden, dass eine Datenübermittlung in die USA generell nicht zulässig sei. Dies sei vielmehr im Einzelfall durch die übermittelnden Unternehmen und in der Konsequenz auch von den Aufsichtsbehörden zu prüfen.

Unternehmen, die Daten in die USA (zum Beispiel auch zu anderen Konzernunternehmen) übertragen wollen, sind nach der Entscheidung des EuGH noch stärker in der Verantwortung. Sie müssen nun neben allen anderen Voraussetzungen auch noch prüfen, ob der Datenempfänger ein angemessenes Datenschutzniveau bietet. Ob dies allein durch den Abschluss entsprechender Verträge gewährleistet werden kann, darf angesichts der Deutlichkeit, in der der EuGH die Überwachungsmaßnahmen der US-amerikanischen Geheimdienste kritisiert hat, bezweifelt werden.

Betroffen von dieser Neuentwicklung sind in ganz besonderem Maße auch IT-Dienstleistungen (wie beispielsweise Cloud-Lösungen) US-amerikanischer Unternehmen, auch wenn die Vertragspartner möglicherweise einen Sitz in der EU haben. Unternehmen, die sich bislang auf die „Safe-Harbor“-Zertifizierung der Anbieter verlassen haben, sollten ihr Datenschutzkonzept daher schnellstmöglich überprüfen lassen.

Rechtsanwälte Dr. Frank Jungfleisch, Sebastian Hoegl, LL.M. (Wellington), Friedrich Graf von Westphalen & Partner, Freiburg

Schlagworte zum Thema:  Datenaustausch, Europäische Union, Datenschutz