Der EuGH hat das Safe-Harbor Abkommen zwischen den USA und der Europäischen Union für ungültig erklärt. Die auf das Safe-Harbor-Abkommen gestützte Übermittlung personenbezogener Daten ist ab sofort nicht mehr zulässig. Verstöße hiergegen können von den zuständigen Datenschutzbehörden mit hohen Bußgeldern geahndet werden. Eine Überprüfung bestehender Verträge, die sich auf Safe-Harbor stützen, sollte umgehend erfolgen. Gerne können Sie uns ansprechen.

Im Einzelnen:

1. Hintergrund

Der Jurist und Datenschutzaktivist Max Schrems hatte im Juli 2013 Beschwerde bei irischen Datenschutzbeauftragten gegen die Datenweitergabe der Facebook Ireland Ltd., der europäischen Tochter des US-Konzerns eingereicht.  Schrems machte geltend, dass die Datenschutzbestimmungen in den USA nicht den europäischen Mindestanforderungen entsprechen würden und eine Weitergabe der Daten etwa an die NSA oder andere Behörden nicht nachzuvollziehen, geschweige denn zu verhindern sei.

Der irische Datenschutzbeauftragte wies die Beschwerde mit dem Hinweis zurück, dass zwischen Europa und den USA das sogenannte Safe-Harbor-Abkommen bestehe. Das Safe-Harbor-Abkommen ist eine genau genommen eine Entscheidung der Europäischen Kommission im Bereich des Datenschutzes.  Diese Entscheidung ermöglicht es Unternehmen personenbezogene Daten unter Berücksichtigung der europäischen Datenschutzrichtlinien aus europäischen Staaten in die USA zu übermitteln. Dieses Abkommen wurde im Jahr 2000 durch die EU Kommission ins Leben gerufen, nachdem die Kommission zu dem Schluss gekommen war, dass das Datenschutzniveau in den USA angemessen sei. Schrems erhob gegen die Zurückweisung seiner Beschwerde Klage beim irischen High Court und dieser legte dem Europäischen Gerichtshof (EuGH) die Frage vor, ob der Datenschutzbeauftragte an die Feststellungen der Kommission zum Safe-Harbor-Abkommen gebunden sei. Im Rahmen dieser Vorlagefrage vertritt Generalanwalt Bot in seinen Schlussanträgen die Auffassung, die Entscheidung der Kommission hindere die nationalen Behörden nicht daran, die Übermittlung der Daten europäischer Nutzer in die USA auszusetzen. In einer Pressemitteilung des EuGH heißt es dazu:

“Aus den sowohl vom irischen High Court als auch von der Kommission selbst getroffenen Feststellungen ergibt sich nämlich, dass das Recht und die Praxis der Vereinigten Staaten es gestatten, die übermittelten  personenbezogenen   Daten  von  Unionsbürgern  in  großem  Umfang  zu sammeln, ohne dass sie über einen wirksamen gerichtlichen Rechtsschutz verfügen. Diese Tatsachenfeststellungen belegen, dass die Entscheidung der Kommission keine ausreichenden Garantien enthält. Aufgrund dieses Fehlens von Garantien wurde sie in einer Weise umgesetzt, die nicht den Anforderungen der Richtlinie und der Charta entspricht.

Der Generalanwalt ist ferner der Ansicht, dass der Zugang der amerikanischen Nachrichtendienste zu den übermittelten Daten einen Eingriff in das Recht auf Achtung des Privatlebens und in das Recht auf den Schutz personenbezogener Daten bedeutet. Desgleichen bedeute der Umstand, dass die Unionsbürger keine Möglichkeit haben, zur Frage des Abfangens und der Überwachung ihrer Daten in den Vereinigten Staaten gehört zu werden, einen Eingriff in das von der Charta geschützte Recht der Unionsbürger auf einen wirksamen Rechtsbehelf.

Der Generalanwalt sieht in diesem Eingriff in die Grundrechte einen Verstoß gegen den Grundsatz der Verhältnismäßigkeit, insbesondere weil die von den amerikanischen Nachrichtendiensten  ausgeübte  Überwachung  massiv  und  nicht  zielgerichtet  ist.  Der Zugang zu personenbezogenen Daten, über den die amerikanischen Nachrichtendienste verfügen, erfasst nämlich in generalisierter Weise alle Personen und alle elektronischen Kommunikationsmittel  sowie  sämtliche  übertragenen  Daten  (einschließlich  des  Inhalts  der Kommunikationen), ohne jede Differenzierung, Einschränkung oder Ausnahme anhand des im Allgemeininteresse liegenden Ziels, das verfolgt wird. Unter diesen Umständen kann nach Ansicht des Generalanwalts nicht davon ausgegangen werden, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, zumal die Regelung über den sicheren Hafen in der Entscheidung der Kommission  keine  Garantien  enthält,  die  geeignet  sind,  einen  massiven  und  generalisierten Zugang zu den übermittelten Daten zu verhindern. Denn keine unabhängige Behörde ist in der Lage, in den Vereinigten Staaten zu kontrollieren, ob staatliche Akteure wie die amerikanischen Sicherheitsdienste gegenüber Unionsbürgern gegen die Grundsätze des Schutzes personenbezogener Daten verstoßen.

Angesichts eines solchen Befunds der Verletzung von Grundrechten der Unionsbürger hätte die Kommission nach Auffassung des Generalanwalts die Anwendung der Entscheidung aussetzen müssen, auch wenn sie derzeit mit den Vereinigten Staaten Verhandlungen führt, um die festgestellten Verstöße abzustellen. Der Generalanwalt weist im Übrigen darauf hin, dass die Kommission gerade deshalb beschlossen hat, Verhandlungen mit den Vereinigten Staaten aufzunehmen, weil sie zuvor zu der Erkenntnis gelangt war, dass das von diesem Drittland im Rahmen der Regelung über den sicheren Hafen gewährleistete Schutzniveau nicht mehr angemessen ist und dass die Entscheidung aus dem Jahr 2000 nicht mehr der tatsächlichen Lage entspricht.”

2. Entscheidung

Der EuGH teilt diese Einschätzung und hat in seiner Entscheidung vom 06. Oktober 2015  unter anderem das Safe-Harbor-Abkommen für ungültig erklärt. Begründet wird dies wie folgt:

Zunächst hat der EuGH festgestellt, dass die nationalen Datenschutzbehörden prüfen können, ob bei der Übermittlung von personenbezogenen Daten ins EU-Ausland die Anforderungen an das europäische Datenschutzniveau im Zielland erfüllt sind. Dies gilt auch dann, wenn die EU-Kommission diesem Drittland bereits ein angemessenes Schutzniveau bescheinigt hat. Diese Entscheidung binde die Datenschutzbehörden nicht abschließend.

Bestehen Zweifel an der Gültigkeit der Entscheidung der Kommission, muss die Behörde oder ggf. auch die Person, die die Behörde angerufen hat, das nationale Gericht anrufen und dieses muss die Sache dann dem Gerichtshof vorlegen. Über die Gültigkeit der Entscheidung befindet also abschließend der Gerichtshof.

Im vorliegenden Fall hat der Gerichtshof weiter festgestellt, dass die Kommission bei Ihrer Entscheidung, dem Safe-Harbor-Abkommen, nicht das tatsächliche Schutzniveau der Vereinigten Staaten geprüft hat, sondern vielmehr nur die Regelungen des Abkommens. Bereits bei dieser Prüfung hätte die Kommission feststellen müssen, dass dieses Abkommen nur diejenigen Unternehmen bindet, die sich ihm auf freiwilliger Basis unterwerfen. Ferner bindet es gerade nicht die amerikanischen Behörden. So haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses sowie die Durchführung der Gesetze der Vereinigten Staaten ohne jede Einschränkung Vorrang. Die US-Behörden können also Zugriffe auf personenbezogen Daten europäischer Bürger mit Schutzinteressen der Vereinigten Staaten rechtfertigen. Ein Mindestmaß an administrativem oder gerichtlichem Rechtsschutz gegen solche Eingriffe gibt es nicht.

Es entspricht nicht dem Schutzniveau der Union, wenn die generelle Speicherung aller personenbezogenen Daten gestattet ist, ohne eine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen. Ferner widerspricht es dem Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz, wenn keine Möglichkeit für den Bürger besteht, Zugang zu den personenbezogenen Daten zu erhalten, oder diese löschen zu lassen.

3. Folgen

Die Übermittlung von personenbezogenen Daten in die Vereinigten Staaten ist nun nicht mehr durch das Safe-Harbor-Abkommen gerechtfertigt. Unternehmen, die zum Beispiel ihre Auftragsdatenverarbeitung durch US-Firmen durchführen lassen, setzen sich nun der Gefahr von Ordnungsgeldern aus. Die umfasst ebenfalls die Einbindung von Social Media Plugins, die Nutzung von Google Analytics sowie vergleichbarer Analysetools, die auf der eigenen Website eingebunden sind.

Insbesondere aufgrund der durch das Urteil erzeugten öffentlichen Aufmerksamkeit dürfte es in der näheren Zukunft zu vermehrten Kontrollen der Datenschutzbehörden kommen. In diesem Zusammenhang ist auch auf unseren Artikel zur Auftragsdatenverarbeitung hinzuweisen.

Eine mögliche Sofortmaßnahme wären Verträge nach den EU Standardvertragsklauseln. Allerdings kann das ggf. auch nur eine Übergangslösung sein, da diese Klauseln ebenfalls keine Beschränkung von Zugriffen der US Behörden vorsehen. Es besteht also die Gefahr, dass die nationalen Aufsichtsbehörden diese Regelungen in Zukunft ebenfalls nicht als angemessenes Schutzniveau für personenbezogene Daten anerkennen.

Allerdings lässt sich die Unzulässigkeit der Datenübermittlung voraussichtlich nur abschließend umgehen, wenn das Unternehmen die Zustimmung seiner Kunden zur Weitergabe der Daten eingeholt hat. Die Einwilligung der Betroffenen ist aktuelle die einzige Möglichkeit zukunftssicher Daten in die USA übermitteln zu können.

Wir prüfen gerne Ihre bestehenden Verträge und unterbreiten bei Bedarf und Notwendigkeit Lösungsvorschläge.