Datenübermittlung zwischen Europa und den USA: Europäischer Gerichtshof erklärt Safe Harbor-Abkommen für unzulässig

Home  /  Blog  /  Datenübermittlung zwischen Europa und den USA: Europäischer Gerichtshof erklärt Safe Harbor-Abkommen für unzulässig

Datentransfer von und nach Übersee: Welche Konsequenzen hat das aktuelle Urteil für deutsche Unternehmen?

Ein Urteil mit enormer Schlagkraft: am 6. Oktober 2015, hat der Europäische Gerichtshof (EuGH) in Luxemburg das Safe Harbor-Abkommen zwischen den USA und der EU für ungültig erklärt. Der Grund: Persönliche Daten europäischer Nutzer seien in den USA nicht ausreichend vor dem Zugriff durch US-Behörden geschützt.

Der Entscheidung, die in den vergangenen Wochen wie ein Paukenschlag durch die Digitalbranche dröhnt, geht ein jahrelanger Rechtsstreit zwischen dem österreichischen Juristen Max Schrems und dem irischen Data Protection Commissioner voraus. Herr Schrems hatte den mangelnden Datenschutz bei Facebook kritisiert und forderte den Comissioner auf, Facebook die Übermittlung seiner personenbezogenen Daten in die USA zu untersagen. Nachdem die Beschwerde ergebnislos abgelehnt wurde, erhob Herr Schrems gegen die Entscheidung Klage beim obersten Gericht in Irland. Der High Court setzte das Verfahren aus und legte die Sache dem EuGH zur Entscheidung vor.

Das Urteil
Das Safe Harbor-Abkommen ist ungültig, da die Europäische Kommission nicht berechtigt ist, über die Rechtmäßigkeit der Datenübermittlungen in Drittstaaten anstelle der nationalen Datenschutzbehörden zu entscheiden. Die nach der Snowden-Affaire offensichtliche Zugriffsmöglichkeit von US-Behörden auf Daten von EU-Bürgern verletzt zudem das Grundrecht auf Achtung des Privatlebens. Ferner kann kein EU-Bürger die Löschung seiner Daten verlangen und durchsetzen, weshalb ein effektiver Rechtschutz fehlt.

Das Safe Harbor-Abkommen in Kürze
Damit ein Datentransfer in die datenschutzrechtlich unsichere USA aus der EU möglich ist, wurde das Safe Harbor-Modell entwickelt. Das Safe Harbor-Abkommen sollte EU-Unternehmen die Übermittlung personenbezogener Daten in die USA in Übereinstimmung mit der EU-Datenschutzrichtlinie ermöglichen.

Die Auswirkungen in Deutschland
Die Ausführungen des EuGH, die sich im konkreten Fall mit der Übermittlung personenbezogener Daten zwischen Facebook Ireland und der Facebook Inc. in den USA beziehen, haben gravierende Folgen für alle EU und US-Unternehmen. Künftig könnten ausschließlich die nationalen Datenschutzbehörden in eigener Zuständigkeit prüfen, ob die Daten einer Person in den USA, ausreichend geschützt sind. Daher ist es bereits abzusehen, dass die jeweiligen Datenschutzbehörden gestärkt von der Entscheidung des EUGH die Zulässigkeit der Übermittlung personenbezogener Daten sehr genau unter die Lupe nehmen werden.

Die Zulässigkeit beurteilt sich im Wege einer zweistufigen Prüfung, in welcher zunächst das angemessene Datenschutzniveau neben der generellen Zulässigkeit der Datenübermittlung gemäß §§ 28, 29 Bundesdatenschutzgesetz geprüft wird.

Die Alternativen: Zahlreiche deutsche Unternehmen nutzen Dienste, die ihren Standort in den USA haben – vor allem im Bereich Onlinemarketing. Nach dem Ende von Safe Harbor müssen dringend neue Regeln her. Die EU-Kommission und die US-Regierung arbeiten bereits an einer neuen Vereinbarung, bis zu deren Verabschiedung und Umsetzung wird es aber mit Sicherheit noch eine Weile dauern. Wer bis dahin weiter mit US-Unternehmen zusammenarbeitet, kann neben den Corporate Binding Rules des US-Unternehmen auf eine Alternative setzen: die EU-Standardvertragsklausel.

EU-Standardvertragsklauseln: Safe Harbor-Ausweg?
Die EU-Standardklauseln sind auf Grund eines Beschlusses der Europäischen Kommission vom 05. Februar 2010 verfasst worden, um die Übermittlung personenbezogener Daten an Auftragsdatenverarbeiter in Drittländer konform zu den Anforderungen der EU-Datenschutzrichtlinie gestalten zu können. Sie sollen als angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte nach Art. 26 Absatz 2 der EU-Richtlinie gelten.

Die Verwendung der Standardklauseln schafft alleine kein angemessenes Datenschutzniveau kann aber eine Ausnahmegenehmigung der Datenschutzbehörden rechtfertigen und macht ein entsprechendes Genehmigungsverfahren als bloße Förmelei obsolet.