EuGH kippt Safe Harbor Abkommen

Die Konsequenzen des Facebook-Urteils

08.10.2015 von Michael Rath und Christian Kuss

Der Europäische Gerichtshof hat am 6. Oktober 2015 das so genannte Safe Harbor Abkommen für ungültig erklärt. In der Folge muss die Rechtsgrundlage für einen Transfer personenbezogener Daten zwischen der Europäischen Union und den Vereinigten Staaten von Amerika zum Teil auf neue Füße gestellt werden.

In dem Rechtstreit zwischen dem Österreicher Max Schrems und Facebook hat der Europäische Gerichtshof (EuGH) gestern sein Urteil verkündigt. Gegenstand des Rechtsstreits war die Frage, ob die europäische Tochtergesellschaft von Facebook in Irland personenbezogene Daten rechtmäßig auf Server von Facebook in die USA übermitteln und dort verarbeiten durfte. Schrems hatte diese Übermittlung auf Grundlage der Enthüllungen von Edward Snowden über die Praxis der US-Nachrichtendienste angegriffen, weil nach seiner Ansicht das Recht und die Praxis der USA keinen ausreichenden Schutz für personenbezogene Daten vor dem Zugriff der Nachrichtendienste bietet.

Die Richter des Europäischen Gerichtshofes haben in Luxemburg ein Urteil zum Safe Harbor Abkommen getroffen.

Schrems hatte daraufhin bei der irischen Datenschutzbehörde, die für die datenschutzrechtliche Kontrolle der irischen Facebook-Niederlassung zuständig ist, Beschwerde eingereicht. Die Datenschutzbehörde hat sich in der Sache jedoch nicht mit seinem Vorbringen beschäftigt, sondern seine Beschwerde mit der Begründung abgelehnt, das Safe Harbor Abkommen mit den USA biete einen ausreichenden Schutz für personenbezogene Daten in den USA. An diese Entscheidung sei die irische Datenschutzbehörde gebunden und müsse daher die Beschwerde nicht weitergehend prüfen. Gegen diese Ablehnung seiner Beschwerde ist Schrems gerichtlich vorgegangen und schließlich vor dem EUGH gelandet.

Bedeutung des Safe Harbor Abkommens

Wenn beispielsweise ein Unternehmen personenbezogene Daten an eine andere Stelle außerhalb der Europäischen Union übermitteln will, bedarf dies neben den üblichen Rechtmäßigkeitsvoraussetzungen zum Beispiel einer Einwilligung oder einer gesetzlichen Erlaubnis, zusätzlicher Gewährleistungen eines angemessenen Datenschutzniveaus im Empfängerland.

Dies trägt dem Umstand Rechnung, dass die personenbezogenen Daten, wenn diese die Europäische Union verlassen haben, in einem Umfeld verarbeitet werden, das dem Datenschutz gegebenenfalls nicht in gleichem Maß Rechnung trägt. Die personenbezogenen Daten der Betroffenen wären dann also schlechter geschützt, als dies bei einer Verarbeitung innerhalb der Europäischen Union der Fall wäre.
Deshalb verlangt das europäische Datenschutzrecht, dass im Empfängerland ein angemessenes Datenschutzniveau herrscht.

Für die USA ist ein solches angemessenes Datenschutzniveau nicht festgestellt worden. Deshalb hat man das so genannte Safe Harbor Abkommen als Vehikel für den Datenschutz erstellt. Das Abkommen enthält Grundsätze zum Umgang mit personenbezogenen Daten. Diese Grundsätze werden jedoch nicht für die USA insgesamt verbindlich, sondern nur für Unternehmen die sich - freiwillig - an die Safe Harbor Grundsätze halten und entsprechend registrieren lassen. Damit werden diese Unternehmen zum "sicheren Hafen" für europäische Daten.

Was Unternehmen zur EU-Datenschutzreform beachten müssen

Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps.

Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden.

"Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können.

Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor.

Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können.

Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.

Prüfungskompetenz der nationalen Datenschutzbehörden

Der Rechtstreit zwischen Schrems und der irischen Datenschutzbehörde betraf in erster Linie gar nicht die Wirksamkeit des Safe Harbor Abkommens. Vielmehr sollte die Frage beantwortet werden, ob die irische Datenschutzbehörde die Beschwerde von Schrems hätte weitergehend prüfen müssen, oder ob durch die Entscheidung der Europäischen Kommission über das Safe Harbor Abkommen, in der ein angemessenes Datenschutzniveau festgestellt wurde, eine solche weitergehende Prüfung ausgeschlossen ist.

Der EuGH hat nunmehr eindeutig erklärt, dass die Datenschutzbehörden zu einer weitergehenden Prüfung verpflichtet sind. Eine derartige Entscheidung der Europäischen Kommission kann die Befugnisse der nationalen Datenschutzbehörden weder beseitigen noch auch nur beschra?nken. Auch wenn die Europäische Kommission eine solche Entscheidung erlassen habe, müssen die nationalen Datenschutzbehörden daher, wenn sie mit einer Beschwerde befasst werden, unabhängig prüfen können, ob bei der Übermittlung der Daten einer Person in ein Drittland die in der Richtlinie aufgestellten Anforderungen gewahrt werden. Jedoch sind die nationalen Datenschutzbehörden nicht befugt, eine solche Kommissionentscheidung für ungültig zu erklären. Treten also Zweifel an der Rechtmäßigkeit einer solchen Entscheidung auf, müssen die Betroffen oder die Datenschutzbehörden die Rechtmäßigkeit der Entscheidung durch die Gericht überprüfen lassen. Letztlich musste somit der EuGH urteilen, ob eine Entscheidung der Europäischen Kommission gültig ist.

Gültigkeit von Safe Harbor

Mit dieser Aussage hätte der EuGH es auf sich beruhen lassen können und die Sache an die nationalen Gerichte zurückgeben können. Der EuGH hat jedoch auch über die Wirksamkeit des Safe Harbor Abkommens geurteilt und diese Abkommen letztlich für ungültig erklärt. Als Gründe benannte das Gericht, dass sich das Abkommen nur an Unternehmen, nicht aber an Behörden in den USA richtet. Die Behörden, insbesondere die Nachrichtendienste, sind also nicht zur Einhaltung der Datenschutzgrundsätze verpflichtet. Außerdem haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der USA Vorrang vor den Grundsätzen des Safe Harbor Abkommens.

Damit sind Unternehmen, die sich den Safe Harbor Grundsätzen verschrieben haben, dennoch verpflichtet, diese angewendet zu lassen, soweit diese Grundsätze im Konflikt mit jenen höherrangigen Interessen stehen. Letztlich werden dadurch Eingriffe der US-Behörden in die Grundrechte der europäischen Bürger gestattet. Und dies ohne dass die Entscheidung der Europäischen Kommission feststellt, dass es in den USA effektive Schutzmechanismen zur Wahrung der Interessen der europäischen Bürger gibt - etwa einen wirksamen gerichtlichen Rechtsschutz oder ein Informationsrecht über Art und Weise der Datenverarbeitung. Deshalb erklärt der EuGH die Entscheidung der Europäischen Kommission für ungültig.

Konsequenzen

Die irische Datenschutzbehörde muss nunmehr prüfen, ob die Übermittlung personenbezogener Daten durch die irische Tochtergesellschaft von Facebook auf die Server in den USA ausgesetzt werden muss, weil in den USA kein angemessenes Schutzniveau vorherrscht. Neben dem (für ungültig erklärtem) Safe Harbor Abkommen besteht zum Beispiel die Möglichkeit, ein angemessenes Schutzniveau durch die so genannten Standardvertragsklauseln zu erreichen. Aber auch die Standardvertragsklauseln folgen einem ähnlichen Mechanismus, wie das Safe Harbor Abkommen. Sie verpflichten also insbesondere nicht die Behörden im Empfängerland. Daher ist es wohl nur eine Frage der Zeit, bis auch diese Entscheidungen der Europäischen Kommission in Bezug auf die Standardklauseln dem EuGH zur Prüfung vorgelegt wird.

Unternehmen sind mit dem Urteil aufgerufen, die Rechtsgrundlagen für einen etwaigen transatlantischen Datenaustausch zu überprüfen. Soweit dabei das Safe Harbor Abkommen als Rechtsgrundlage herangezogen wird, wird man kurzfristig auf eine andere Rechtsgrundlage, etwa die zuvor erwähnten Standardvertragsklauseln, abstellen müssen. Dies bedeutet einen hohen administrativen Aufwand für die jeweiligen Unternehmen, da eine Vielzahl von Verträgen geschlossen werden muss.

Zum Video: Die Konsequenzen des Facebook-Urteils