EUGH: Safe Harbor Abkommen ist unwirksam

Mit dem „Safe Harbor Abkommen“ (Dazu hier bei uns) soll eine Datenübermittlung in die USA aus dem europäischen Raum ermöglicht werden. Nachdem der Generalanwalt bereits geäußert hatte, dass er Zweifel an der Wirksamkeit des Abkommens hat, hat am 06.10.2015 dann – sehr zeitnah nach dem Antrag des Generalanwalt – der EUGH (C-362/14) entschieden, dass das Safe Harbor Abkommen unwirksam ist. Dies hat durchaus einige beachtliche Konsequenzen.

Die Entscheidung des EUGH in Sachen Safe Harbor

Der EUGH hat am 06. Oktober 2015 entschieden, dass die Entscheidung der Kommission  in Sachen „Safe Harbor“ ungültig ist. Laut Pressemitteilung sieht der EUGH keinen Weg, die Kontrollbefugnis der nationalen Datenschutzbehörden durch die EU-Kommission zu beschneiden:

In seinem heutigen Urteil führt der Gerichtshof aus, dass die Existenz einer Entscheidung der Kommission, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für übermittelte gewährleistet, die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union und der verfügen, weder beseitigen noch auch nur beschränken kann. Der Gerichtshof hebt insoweit das durch die Charta garantierte Recht auf den Schutz personenbezogener Daten sowie die den nationalen Datenschutzbehörden durch die Charta übertragene Aufgabe hervor.

Der Gerichtshof stellt zunächst fest, dass keine Bestimmung der Richtlinie die nationalen Datenschutzbehörden an der Kontrolle der Übermittlungen personenbezogener Daten in Drittländer hindert, die Gegenstand einer Entscheidung der Kommission waren. Auch wenn die Kommission eine solche Entscheidung erlassen hat, müssen die nationalen Datenschutzbehörden daher, wenn sie mit einer Beschwerde befasst werden, in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung der Daten einer Person in ein Drittland die in der Richtlinie aufgestellten Anforderungen gewahrt werden. Der Gerichtshof weist allerdings darauf hin, dass er allein befugt ist, die Ungültigkeit eines Unionsrechtsakts wie einer Entscheidung der Kommission festzustellen. Ist eine nationale Behörde oder die Person, die sie angerufen hat, der Auffassung, dass eine Entscheidung der Kommission ungültig ist, muss diese Behörde oder diese Person folglich die nationalen Gerichte anrufen können, damit diese, falls sie ebenfalls Zweifel an der Gültigkeit der Entscheidung der Kommission haben, die Sache dem Gerichtshof vorlegen können. Letztlich hat somit der Gerichtshof darüber zu befinden, ob eine Entscheidung der Kommission gültig ist. (…)

Die Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken.

Inzwischen liegt auch der Volltext der Entscheidung vor und ich verstehe sie so, dass die Kompetenz nun bei den jeweiligen Datenschutzbeauftragten der Mitgliedsstaaten liegt und eben die standardisierte europaweite Lösung weggefallen ist. Die erste Sorge, dass die Standardverträge auch gekippt sein könnten hat sich aus meiner Sicht nicht bestätigt.

Konsequenzen für Unternehmen aus der Safe-Harbor-Entscheidung

Die Konsequenzen sind aus meiner Sicht recht weitreichend, da mit der Unwirksamkeit von „Safe Harbor“ nun Datenübermittlungen in die USA alleine auf dieser Basis nicht mehr funktionieren können. Da zudem geklärt ist, dass die Zuständigkeit nationaler Aufsichtsbehörden nicht durch eine solche Vereinbarung ausgehebelt werden kann, muss man damit rechnen, dass hier zunehmend Kontrollen stattfinden. Gerade Cloud-Dienste, insbesondere wenn hier besondere personenbezogene Daten wie Gesundheitsdaten gespeichert werden, sollten ein ganz erhebliches Interesse wecken. Auch eventuell getroffene Aufragsdatenverarbeitungen sollten geprüft und überdacht werden (Informationen zur Auftragsdatenverarbeitung hier bei uns). Ich sehe dabei Konsequenzen nicht nur für Unternehmen aus den USA, sondern eben auch für diejenigen, die dort Daten speichern wollen – eben über Cloud-Dienste etwa – aber auch bei massenhaften Datenübertragungen wie Google Adwords oder Google Analytics, es wird spannend welche Konsequenzen man hier ziehen möchte.

Im Übrigen verweise ich gerne auf die sehr ausführliche Darstellung der Konsequenzen bei CR-Online. Ich sehe dabei ebenfalls, dass eigentlich nur noch der Weg verbleibt, Einwilligungen seiner Nutzer bzw. Kunden einzuholen (so etwa §4c Abs.1 Nr.1 BDSG) – die aber als Basis kaum tauglich sind, da regelmäßig widerrufbar. Jedenfalls wer sensible Daten speichert und die Wahl hat (ich denke vor allem an KMU) sollte insgesamt überdenken, ob die Speicherung über Cloud-Dieste in den USA der richtige Weg ist. All dies wird allerdings sicherlich auch nicht von heute auf morgen zu Konsequenzen führen, aber in den nächsten Wochen wird mit einiger Bewegung zu rechnen sein.

Lösung aus dem Safe-Harbor-Problem?

Eine zeitnahe Möglichkeit der Lösung könnte darin liegen, dass US-Unternehmen die Daten verarbeiten sich bewusst Niederlassungen in Europa schaffen und entweder gleich Daten in der EU speichern auf hiesigen Servern und/oder sich dann eben über die dort zuständige Datenschutzbehörde mit einer entsprechenden Genehmigung absichern. Eine solche Genehmigung kann in Deutschland etwa nach §4c Abs.2 BDSG erteilt werden (dazu hier bei uns). In jedem Fall stehen US-Unternehmen unter Zugzwang, da bei einer Speicherung durch Dritte bei Ihnen ein Datenschutzverstoss im Raum steht.

Für Nutzer solcher Dienste wird die Vereinbarung über die EU-Standardverträge weiterhin der Weg zur Nutzung sein, allerdings ist hier zu sehen, dass die meisten Dienste so etwas gar nicht anbieten und viele Nutzer schon bisher rechtswidrig gehandelt haben. Speziell Google bietet hier aber einzelne Lösungen an, mit denen man sich nun umso mehr beschäftigen muss.

Daneben könnten die Datenschutzbeauftragten in einem gemeinsamen Beschluss Voraussetzungen für einen angemessenen Datenschutzstandard vereinbaren um bundes- und europaweit ein einheitliches Prozedere zu ermöglichen. Aktuell erscheint es mir aber nicht so, dass Datenschützer ein Interesse daran haben, eine Datenspeicherung in den USA besonders einfach zu gestalten. Eine Übersicht denkbarer Szenarien gibt es inzwischen von Heidrich bei Heise.

Hinweis: Beachten Sie, dass für die Anwendbarkeit nationalen Datenschutzrechts ohnehin ausreichend ist, eine einfache Niederlassung im jeweiligen Nationalstaat vorzuhalten! Es ist davon auszugehen, dass in den nächsten Monaten daher massiv die datenschutzrechtlichen Aufsichtsbehörden ihren Fokus auf die Einhaltung ihrer jeweiligen gesetzlichen Regelungen lenken.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.