Vor wenigen Tagen hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder in einer gemeinsamen Pressemitteilung erklärt, dass ab sofort keine Datenübermittlungen in die USA genehmigt würden, solange nicht die genauen Zugriffsmöglichkeiten U.S.-amerikanischer Geheimdienste geklärt seien.
Dieser Beitrag beschäftigt sich mit der Thematik, wann Datenübermittlungen in Drittstaaten der Genehmigungen durch die Aufsichtsbehörden bedürfen oder ob geltende Beschlüsse und Abkomme der EU-Kommission durch die Aufsichtsbehörden ausgesetzt werden könnten.
Der Inhalt im Überblick
Reaktion in den Medien
Darauf hin wurde verschiedentlich in zahlreichen Medien wie u.a. bei heise.de berichtet, dass Aufsichtsbehörden Datentransfers von Unternehmen in die USA stoppen würden. Anderweitig wurde berichtet, dass die Aufsichtsbehörden
keine neuen Genehmigungen mehr für Firmen nach dem Safe-Harbor-Abkommen
erteilen würden.
Derartige Meldungen sind jedoch inhaltlich falsch.
Wann ist eine Genehmigung notwendig?
Denn eine Genehmigung durch Aufsichtsbehörden sieht das deutsche Datenschutzrecht nur in bestimmten Fällen vor, nämlich wenn ausreichende Garantien zum Schutz des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte zwischen Datenexporteur und -importeur vertraglich vereinbart werden oder Gegenstand von verbindlichen Unternehmensregelungen, den sog. Binding Corporate Rules sind.
Sofern zwischen Datenexporteur und -importeur die von der EU-Kommission festgelegten Standardvertragsklauseln vereinbart werden bzw. sich der Datenimporteur in den USA den zwischen der EU-Kommission und den USA vereinbarten Safe Harbor-Prinzipien unterwirft, sind weitergehende Genehmigungen bezüglich einer Datenübermittlung grundsätzlich nicht erforderlich.
Aussetzung von Safe Harbor und der Standardvertragsklauseln?
Im Rahmen der Pressemitteilung weist die Konferenz darauf hin,
dass die nationalen Aufsichtsbehörden die Datenübermittlung dorthin aussetzen können, wenn eine „hohe Wahrscheinlichkeit“ besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind.
Dieser Fall ist jetzt eingetreten. […]
Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird. Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.
Rechtlicher Hintergrund
Die Androhung zur Aussetzung durch die deutschen Datenschutzbeauftragten basiert augenscheinlich auf Art. 3 Abs. 1 der Kommissionsentscheidung 2000/520/EG, wonach es nationalen Aufsichtsbehörden erlaubt ist, Datenübermittlung basierend auf Safe Harbor unter bestimmten Voraussetzungen auszusetzen.
Nach dem Wortlaut der Vorschrift ist jedoch nicht eine Aussetzung des Safe Harbor-Abkommens insgesamt, sondern die Datenübermittlung an ein einzelnes Unternehmen, also im Einzelfall erfasst. Dies betrifft Fälle, in denen die hohe Wahrscheinlichkeit besteht, dass ein datenimportierendes Unternehmen in den USA die Vorgaben des Safe Harbor-Abkommens verletzt.
Hinsichtlich der Standardvertragsklauseln sehen die Art. 4 Abs. 1 der jeweiligen Kommissionsentscheidungen vor, dass die zuständigen Kontrollstellen in den Mitgliedstaaten zum Schutz von Privatpersonen bei der Verarbeitung ihrer personenbezogenen Daten die Datenübermittlung in Drittländer unter bestimmten Voraussetzungen aussetzen können. Allerdings bezieht sich die Aussetzung auch im Fall der Standardvertragsklauseln auf die Datenübermittlung im konkreten Einzelfall.
Konsequenzen
Die Ankündigung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder wird vermutlich zunächst keine Auswirkungen auf den zurzeit praktizierten Datenaustausch insbesondere mit U.S.-Unternehmen haben.
Unabhängig davon ist vor allem die Frage nach der Sicherheit von U.S.-amerikanischen Datenhäfen vor dem Hintergrund des PRISM-Skandals jedoch mehr als gerechtfertigt.
