Der Gerichtshof der Europäischen Union (EuGH) hat heute die sogenannte Safe-Harbor-Regelung für ungültig erklärt und folgte damit dem Antrag des Generalanwalts Yves Bot. Hierbei handelte es sich um eines der wichtigsten Regelungen im Verhältnis Europa und den Vereinigten Staaten auf dem Gebiet des Datenschutzes und regelte in einer Vielzahl von Grundsätzen den Schutz personenbezogener Daten.
Der Inhalt im Überblick
Was vor der Klage passiert ist
Der Kläger Maximilian Schrems wandte sich im Sommer 2014 an das oberste irische Zivilgericht. Dem gingen nach den Enthüllungen der Tätigkeiten der NSA durch Edward Snowden zahlreiche Beschwerden bezüglich der Weitergabe der gespeicherten Daten von Facebook in die USA voran, denen nach Auffassung Schrems nur ungenügend nachgekommen war. Dieser bat den EuGH um Prüfung, ob sich eine nationale Datenschutzbehörde über die Entscheidung der Kommission hinwegsetzen kann. Safe Harbor beruhte auf Regeln des US-Handelsministeriums und einer Entscheidung der EU-Kommission aus dem Jahr 2000.
Was sagt das Urteil?
Im Kern führt der EuGH aus, dass die Kommission mit den Feststellungen in ihrer Entscheidung, dass ein Drittland ein angemessenes Schutzniveau hinsichtlich der übermittelten personenbezogenen Daten gewährleistet, die Befugnisse der nationalen Datenschutzbehörden „weder beseitigen noch auch nur beschränken können“ und stärkt insoweit die nationalen Datenschutzbehörden. Ungeachtet der Entscheidung der Kommission müssten die nationalen Datenschutzbehörden, wenn sich diese mit einer Beschwerde befassen, in völliger Unabhängigkeit prüfen, ob bei der Übermittlung von Personendaten in ein Drittland den Anforderungen der Datenschutzrichtlinie genügt wird.
Weiter wird festgestellt, dass auch bei den amerikanischen Unternehmen, die sich der Safe-Harbor-Regelung unterworfen haben, nicht auszuschließen sei, dass amerikanische Behörden aufgrund nationaler Gesetze auf aus Europa stammende personenbezogene Daten zugreifen können. Diese ermögliche Eingriffe in die Grundrechte der betroffenen Person.
Der Gerichtshof führt weiter aus, dass eine die Behörden gestattende Regelung, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, „den Wesensgehalt des Grundrechts auf Achtung der Privatlebens verletzt.“ Darüber finde eine Verletzung des Grundrechts auf wirksamen gerichtlichen Rechtsschutz statt, denn es fehle für den Bürger an einer Möglichkeit, mit Hilfe eines Rechtsbehelfs u.a. die Berichtigung oder Löschung der Daten zu erwirken.
Die Folge der Entscheidung
Als Folge der Entscheidung des EuGH muss die irische Datenschutzbehörde nun prüfen, ob die Beschwerde des Klägers zutrifft, also ob die USA für personenbezogene Daten ein angemessenes Schutzniveau bieten.
Gerade für kleinere und mittelständische Unternehmen, die sich bis dato auf Safe Harbor verlassen haben und keine große Rechtsabteilung unterhalten, hat diese Entscheidung weitreichende Konsequenzen. Ebenso für deutsche Unternehmen, die auf Dienste amerikanischer Unternehmen zurückgreifen.
Wie soll man sich nun verhalten?
Die Frage lautet nun, wie sich deutsche und europäische Unternehmen verhalten sollen, wenn weiterhin mit amerikanischen Unternehmen zusammenarbeiten wollen oder müssen und dabei auch künftig personenbezogene Daten in die USA übermittelt werden sollen.
In Betracht kommen neben der stets möglichen Einwilligung der Betroffenen nach § 4a BDSG die:
- Binding Corporate Rules
Bei den BCR handelt es sich um verbindliche Konzernregelung zum Datenschutz. Diese stellen mitunter eine geeignete Alternative zu der bisherigen Safe-Harbor-Regelung dar, sind aber nicht für alle praxistauglich. Zu den Anforderungen sowie den Vor- und Nachteilen finden Sie hier eine gute Übersicht. - EU-Standardvertragsklauseln
Die EU-Standardvertragsklauseln bieten nach dem heutigen Urteil die beste Möglichkeit. Dabei hat die EU-Kommission für die Übermittlung von personenbezogenen Daten in Drittländer Standardvertragsklauseln festgelegt, mit welchen die Einhaltung eines angemessenen Datenschutzniveaus sichergestellt werden soll. Eine Übersicht, auf welche Punkte dabei zu achten sind, finden Sie hier. Bei der Bearbeitung dieses komplexen Vertragswerkes kann Ihnen ein fachkundiger externer Datenschutzbeauftragter zur Seite stehen.
Erwähnt werden muss hier aber auch, dass bei der Verwendung dieser Standardvertragsklauseln ebenfalls kein Schutz vor den staatlichen Zugriffen amerikanischer Behörden auf übermittelte personenbezogene Daten erreicht wird und in Folge dessen, dieses Instrument der Europäischen Kommission ebenfalls gekippt werden kann.
Wer eine Lösung zum Versenden und Speichern von großen Daten in der Cloud eines deutschen Anbieters sucht, sollte sich mal TeamBeam anschauen.
Den Dienst gibt es als kostenlose und als Profi-Variante vor allem für Freelancer und Unternehmen.
Das EuGH hat bereits festgestellt – und so auch vile Kommentierungen im Netz, dass es in den USA kein angemessenes Datenschutzniveau gibt. Dieses resultiert verstärkt durch den Patriot Act und fehlenden gesetzlichen Regelungen, die die 3Buchstaben Firmen begrenzen. Für amerikanische Unternehmen die in Europa tätig sind und deren Personaldaten in den USA liegen, dürften weder BCR’s noch EU Standardverträge ausreichend sein. Hier wird nur ein Verlagern der Daten nach Europa die Lösung sein.
US-Firmen reagieren auf Safe Harbor-Urteil