UPDATE: Safe Harbor gekippt

UPDATE: Safe Harbor gekippt

Gründe und Konsequenzen der EuGH-Entscheidung zur Unwirksamkeit von Safe Harbor

Ansprechpartner

Verwandte Inhalte

Der Europäische Gerichtshof (EuGH) erklärte am 6.10.2015 mit einem Urteil in der Rechtssache Maximilian Schrems die Entscheidung der Europäischen Kommission für ungültig, in der festgestellt wird, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten. Zudem haben die deutschen Aufsichtsbehörden für den Datenschutz die Konsequenzen für Unternehmen  am 21. Oktober 2015 ihre Position für Transfers personenbezogener Daten konkretisiert. 

Bisher konnten Unternehmen personenbezogene Daten aus EU-Ländern in die USA übertragen, wenn die empfangende Stelle sich öffentlich gegenüber der Federal Trade Commission (FTC) auf datenschutzrechtliche Prinzipien und häufig gestellte Fragen verpflichtet hatte. Durch die Entscheidung besteht diese Möglichkeit nicht mehr. 

Unternehmen müssen nun durch andere Maßnahmen dafür sorgen, dass seitens der empfangenden Stelle in den Vereinigten Staaten ein angemessenes Datenschutzniveau besteht. Ansonsten ist eine Übermittlung rechtswidrig.

 

Hintergrund

Maximilian Schrems hatte, nachdem er sich zuvor erfolglos an die lokalen Datenschutzaufsichtsbehörden gewandt hatte, 2014 in Irland Klage eingereicht, da Facebook einen umfangreichen Bestand seiner personenbezogenen Daten, die auf Servern in Irland gespeichert waren, in die USA übermittelt hatte, so, wie es viele in Europa ansässige Unternehmen tun.

Gemäß Art. 25 und 26 der Europäischen Datenschutzrichtlinie ist eine Übermittlung personenbezogener Daten in Drittstaaten allerdings nur dann zulässig, wenn diese über ein dem EU-Recht vergleichbares Datenschutzniveau verfügen (sog. „angemessenes Datenschutzniveau“). Ob ein solches vorliegt, ist im Einzelfall zu entscheiden. Herbeigeführt werden kann dies etwa durch individualvertragliche Vereinbarungen oder mittels der Verwendung sogenannter EU-Standardvertragsklauseln. Zudem kann die Kommission der Europäischen Union die Angemessenheit des Datenschutzniveaus „feststellen“, wenn Drittstaaten durch innerstaatliche Rechtsvorschriften oder internationale Verpflichtungen ein angemessenes Datenschutzniveau gewährleisten.

Anforderungen, die ein solches Schutzniveau gewährleisten sollten, wurden in der sogenannten Safe Harbor Entscheidung der EU-Kommission festgelegt. Diese besagte, dass in den Vereinigten Staaten ansässige Unternehmen über ein angemessenes Datenschutzniveau verfügen, wenn sie sich öffentlich gegenüber der FTC zur Einhaltung von sieben von dieser aufgestellten Prinzipien und 15 häufig gestellten Fragen verpflichteten. Im Jahr 2000 stellte die Kommission deshalb fest, dass hinsichtlich der Übermittlung von personenbezogenen Daten in die USA ein angemessenes Datenschutzniveau besteht, soweit die datenempfangenden Stellen sich auf die Safe Harbor Grundsätze verpflichten. Entsprechend konnten Unternehmen in den EU-Mitgliedsstaaten personenbezogene Daten an nach Safe Harbor verpflichtete Unternehmen in den Vereinigten Staaten übermitteln, wenn die übrigen Anforderungen des nationalen Datenschutzrechts erfüllt waren. Nationale Kontrollstellen der Mitgliedsstaaten, bspw. die deutschen Datenschutzaufsichtsbehörden, konnten diese Entscheidung der Kommission bisher lediglich akzeptieren und eine entsprechende Übermittlung zulassen.

Zurück zum Fall: Nachdem die irischen Datenschutzbehörden einer Beschwerde des Herrn Schrems nicht abhalfen, suchte dieser gerichtlichen Rechtsschutz. Der hiermit befasste irische High Court wandte sich mit der Frage an den Europäischen Gerichtshof, ob er durch die Safe Harbor-Entscheidung der Europäischen Kommission vollständig gebunden war oder die Beschwerde prüfen durfte und die Datenübermittlung ggf. aussetzen konnte. 

Entscheidung und Erwägungsgründe

Der Europäische Gerichtshof führt in seiner Entscheidung aus, dass die Kommission bei der Feststellung der Angemessenheit des Datenschutzniveaus der Vereinigten Staaten nach dem Safe Harbor Abkommen wesentliche Punkte nicht geprüft hat. Dies betrifft unter anderem, ob und unter welchen Umständen staatliche Stellen nach US-Recht Zugriff auf diese Daten verlangen können und ob dagegen Rechtsschutzmöglichkeiten für die Betroffenen bestehen. Ob letztlich in den USA ein angemessenes Datenschutzniveau bestehen kann, wurde durch den EuGH nicht abschließend beurteilt. Allein die Tatsache aber, dass die vorgenannten Punkte nicht geprüft wurden, führt nach Auffassung des Gerichts dazu, dass die Safe Harbor Entscheidung insgesamt als ungültig anzusehen ist. 

Folgerichtig sprachen die Richter den nationalen Datenschutzbehörden das Recht zu, derartige Feststellungen der Kommission zu prüfen. Verbindliche Entscheidungen über die Zulässigkeit der Übermittlung personenbezogener Daten in die USA müssten jedoch gerichtlich geklärt werden. Nationale Gerichte müssten entsprechende Fragestellungen dem Europäischen Gerichtshof zur Entscheidung vorlegen.

Umsetzung durch deutsche Aufsichtsbehörden

Mittlerweile haben sich auch die deutschen Aufsichtsbehörden für den Datenschutz zum Safe-Harbor Urteil positioniert und die Möglichkeiten von datenschutzkonformen Datentransfers in die USA weiter eingeschränkt. Damit verblieben für Unternehmen nur noch wenige Möglichkeiten für Transfers personenbezogener Daten in die USA. 

  • Safe Harbor Mechanismus ist mit dem Urteil des EuGH nicht mehr möglich, Aufsichtsbehörden kündigen für Kenntnis von Transfers personenbezogener Daten auf dieser Basis sofortige Untersagungsverfügungen an. 
  • Binding Corporate Rules, also verbindliche Unternehmensregeln, werden für Datentransfers in die USA nicht mehr genehmigt, gleiches gilt für sog. genehmigungspflichtige Datenexportverträge. Die Aufsichtsbehörden äußern bisher nicht die Absicht, bestehende Regelungen zu kassieren. Unklar bleibt die Frage, wie deutsche Aufsichtsbehörden mit von anderen Mitgliedsstaaten nach dem Safe-Harbor-Urteil genehmigten Binding Corporate Rules umgehen werden.  
  • Standardvertragsklauseln werden ebenfalls kritisch betrachtet, aber mit Blick auf die Äußerung der Art. 29. Gruppe, bestehend aus Vertretern der nationalen Datenschutzbehörden der Mitgliedsstaaten der Europäischen Union, ist davon auszugehen, dass bis zum 31. Januar 2016 keine umfassenden Zwangsmaßnahmen umgesetzt werden und bis dahin diese eine mögliche Rechtsgrundlage für Transfers von personenbezogenen Daten in die USA darstellen. 
  • Einwilligungen zur Übermittlung personenbezogener Daten werden nur in engen Ausnahmefällen als zulässige Rechtsgrundlage gewertet. Sie sollen aber nicht einen dauerhaften/regelmäßigen Datentransfer rechtfertigen können. 

Die Aufsichtsbehörden für den Datenschutz fordern betroffene Unternehmen auf, „unverzüglich ihre Verfahren zum Datentransfer datenschutzgerecht zu gestalten.“

Konsequenzen

Aktuell speichern über 5.000 US-Unternehmen personenbezogene Daten aus Europa. Auch wenn es unwahrscheinlich erscheint, dass Datenschutzbehörden sofort diesbezügliche Untersagungen einleiten, könnten diese ab sofort entsprechende Übermittlungen als Datenschutzverstoß sanktionieren. Bei Unternehmen, die Daten in die Vereinigten Staaten übermitteln, besteht deshalb umgehend Handlungsbedarf.

Jedes Unternehmen sollte nun folgende Fragen klären:

  • Werden personenbezogene Daten in die USA übermittelt? 
  • Auf welcher Rechtsgrundlage geschieht dies? 
  • Was sind gegebenenfalls bestehende Handlungsalternativen? 

Zunächst sollten alle Unternehmen prüfen, ob und welche personenbezogenen Daten sie auf Basis des Safe Harbor Abkommens in die Vereinigten Staaten übermitteln. Dabei sollte auch die Übermittlung durch dritte Parteien, wie Cloud Anbieter oder sonstige externe Datenverarbeiter bedacht werden. Werden Daten in die USA übermittelt, sollten die Unternehmen gemeinsam mit ihren amerikanischen Partnern Alternativen erarbeiten. 

Wer nicht über bestehende Binding Corporate Rules oder einen genehmigten Datenexportvertrag verfügt, wird kurzfristig und vorübergehend bis Ende Januar 2016 auf die Standardvertragsklauseln zurückgreifen können, in absoluten Einzelfällen auch auf Einwilligungen. Klar wird aber auch, dass mit der Einlassung der deutschen Aufsichtsbehörden eine wirklich belastbare Rechtsgrundlage für Unternehmen aktuell nicht mehr besteht. Vor dem Hintergrund der klaren Positionierung der deutschen Aufsichtsbehörden sind Unternehmen dazu angehalten, auch kurzfristig den Transfer von personenbezogenen Daten in die USA auf ein Mindestmaß zu beschränken und möglicherweise bestehende Datentransfers umzugestalten. Rechtssicherheit kann nur die von vielen Seiten angemahnte politische Lösung mit den USA bringen. Bis dahin dürfen deutsche Unternehmen aber nicht auf eine Schonfrist der Aufsichtsbehörden vertrauen, sondern müssen proaktiv ihre Datenschutz-Compliance auch für Datentransfers in die USA sicherstellen. 

Wie Maßnahmen für Ihr Unternehmen aussehen können und wie diese kurzfristig effizient umgesetzt werden können, erarbeiten wir gerne gemeinsam mit Ihnen. Sprechen Sie uns an.

KPMG Forensic News

Forensic

Es kann jedes Unternehmen treffen: Betrug, Untreue, Unterschlagung, Bilanzfälschung, Korruption, Wettbewerbs- & Kartellverstöße und Spionage.

 
Lesen Sie mehr

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden

KPMG's neue digitale Plattform

KPMG's neue digitale Plattform