Safe Harbor-Entscheidung des EuGH – einfach erklärt
Was ist geschehen:
Der Europäische Gerichtshof (EuGH) hat am 06.10.2015 in der Sache C-362/14 Maximillian Schrems / Data Protection Commissioner eine Entscheidung der EU-Kommission zum sog. Safe Harbor-Abkommen für unwirksam erklärt. Nach dieser Entscheidung der EU-Kommission aus dem Jahre 2000 sei eine Datenübermittlung an Stellen/Unternehmen der USA datenschutzkonform, sofern sich die US-Unternehmen den Anforderungen des „Safe Harbor“-Abkommens zwischen EU und USA fügen.
Mithin ist eine Datenübermittlung an Behörden oder Unternehmen in den USA, welche sich auf das Safe Harbor-Abkommen stützt, nicht mehr zulässig.
Hintergrund zum Safe Harbour-Abkommen:
Das Safe Harbor-Abkommen ermöglichte eine Zertifizierung von US-Unternehmen hinsichtlich der Einhaltung bestimmter Datenschutzstandards. Da nach europäischem und deutschem Datenschutzrecht eine Datenübermittlung in sog. Drittstaaten (außerhalb der EU) nur erfolgen darf, wenn das Empfängerland bzw. das die Daten empfangende Unternehmen/Behörde ein „angemessenes Datenschutzniveau“ erfüllt (§ 4b BDSG), ermöglichte die Zertifizierung nach den Safe Harbor-Kriterien eine „unkomplizierte“ Datenübermittlung an ein Unternehmen oder eine andere zertifizierte Stelle in den USA. Nach Safe Harbor zertifizierte Unternehmen können auf den Webseiten des US-Departments of Commerce eingesehen werden
Das Safe Harbor-Abkommen war allerdings in den vergangenen Jahren in die Kritik geraten, da die europäischen Datenschutzaufsichtsbehörden festgestellt hatten, dass es sich bei der US-Zertifizierung nach Safe Harbor um eine Selbstzertifizierung der Unternehmen handelt, welche auch keiner wesentlichen Kontrolle unterlag. Daher durfte man sich als datenexportierende Stelle nicht „blind“ auf eine Safe Harbor-Zertifizierung verlangen, sondern musste sich selbst von der Einhaltung eines angemessenen Datenschutzniveaus und der Einhaltung der vereinbarten Maßnahmen zum Datenschutz versichern.
Nach den Veröffentlichungen von Edward Snowden im Jahr 2013 und der Erkenntnis, dass US-Behörden und Geheimdienste in wesentlich umfangreicherem Maße und beinahe unbegrenzt auf die Daten auch von EU-Bürgern zugreifen, welche von US-Unternehmen gespeichert und verarbeitet wurden, hielten die deutschen Datenschutzaufsichtsbehörden eine Datenübermittlung auf Grundlage von Safe Harbor nunmehr kaum noch für vertretbar.
Im Wesentlichen stützt der EuGH seine Entscheidung darauf, dass die Safe Harbor-Regelung nicht den in der Praxis weitgehenden Zugriff von US-Behörden aufgrund „Erfordernissen der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten“ auf personenbezogene Daten der EU-Bürger beschränkt und dass es hiergegen für die betroffenen Personen keinen effektiven Rechtsschutz gibt, sich gegen solche Zugriffe zu wehren und Zugang zu den sie betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken.
Was bedeutet die Safe Harbor-Entscheidung für mein Unternehmen?
Sofern personenbezogene Daten an eine Stelle in den USA übermittelt werden und dies auf Grundlage des Safe Harbor-Abkommens geschieht, sollte eine solche Datenübermittlung auf eine andere rechtliche Grundlage gestellt werden oder alternativ das Erfordernis einer solchen Datenübermittlung kritisch hinterfragt werden. Es muss damit gerechnet werden, dass die Datenschutzaufsichtsbehörden eine auf Safe Harbor basierende Datenübermittlung als Verstoß gegen die Regelungen des Bundesdatenschutzgesetzes (BDSG) werten und dies ggf. mit Bußgeldern sanktionieren.
Was ist zu tun?
Wer die Warnungen der Datenschutzaufsichtsbehörden der letzten Jahre beachtet hat, hat entweder Alternativen zu einer Datenverarbeitung in den USA (oder anderen sog. unsicheren Drittstaaten) oder eine Datenübermittlung an Stellen in den USA auf andere rechtliche Grundlagen gestellt. In diesem Fall besteht erst einmal kein akuter Handlungsbedarf.
Wer unsicher ist, sollte kritisch prüfen, ob personenbezogene Daten in die USA übermittelt werden und dies auf Grundlage des Safe Harbor-Abkommens geschieht. Nicht vergessen werden sollten hierbei Dienstleistungen von US-Unternehmen, welche personenbezogene Daten von Ihren Mitarbeitern oder Kunden verarbeiten wie etwa Cloud-Dienste, Newsletterdienste oder auch sonstige Online-Dienste. In diesen Bereichen wird von US-Unternehmen aufgrund der einfachen Handhabung oftmals auf die Safe Harbor-Regularien zugegriffen.
Im Übrigen gilt es auch, die Positionierung der Datenschutzaufsichtsbehörden abzuwarten. Diese haben angekündigt, in Kürze Empfehlungen und Lösungsmöglichkeiten vorschlagen.
Rechtliche Alternativen zu einer Datenübermittlung in die USA anstelle einer Rechtfertigung mittels „Safe Harbor“ werden in einem gesonderten Beitrag aufgeführt.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe