Urteil des Europäischen Gerichtshofs: “Safe-Harbor-Abkommen” unwirksam – Auswirkungen und Handlungsempfehlungen

 

© momius - Fotolia.com

© momius – Fotolia.com

Mit Urteil vom 06.10.2015 (AZ: C-362/14) hat der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen für rechtlich unwirksam deklariert, da es nach Ansicht der Richter gegen das geltende Europäische Datenschutzrecht verstößt. Dieses Urteil hat nunmehr weitreichende Auswirkungen auf künftige unternehmerische Entscheidungen, die es nunmehr gilt, richtig zu treffen.

Die folgenden Ausführungen sollen hierbei eine Handlungsempfehlung und einen Überblick bieten:

Um was handelt es sich beim Safe-Harbor-Abkommen?

Insoweit ein Unternehmen personenbezogene Daten in einen Nicht-EU-Staat übermitteln möchte, so ist dies grundsätzlich nur in den Fällen erlaubt, wenn in dem datenempfangenden Staat ein entsprechendes angemessenes Schutzniveau für die übertragenen Daten gewährleistet ist.

Da es für Unternehmen im Einzelfall sehr umfassend und zeitaufwendig wäre, jeden Einzelfall der Datentransaktion zu überprüfen, wurde durch die EU-Kommission im Jahre 2000 das bezeichnete Safe-Harbor-Abkommen verabschiedet. Gemäß diesem Abkommen kann unterstellt werden, dass sämtliche US-amerikanischen Firmen, die sich im Rahmen ihrer Teilnahme zu den Regelungen des Safe-Harbor-Abkommens verpflichten, automatisch über ein Datenschutzniveau verfügen, das aus europäischer Sicht als ausreichend und sicher betrachtet werden kann. Das Safe-Harbor-Abkommen wurde jedoch in der jüngsten Vergangenheit des Öfteren zahlreicher Kritik unterzogen, unter anderem auch durch entsprechende Deutsche Aufsichtsbehörden. Durch die Behörden wurde vor allem kritisiert, dass die verschiedenen beteiligten US-Unternehmen durch die amerikanischen US-Behörden selbst gar nicht bis kaum einer entsprechenden Kontrolle unterzogen wurden, so dass das dem Safe-Harbor-Abkommen zugrunde liegende Sicherheitsvolumen so nicht in allen Fällen unterstellt werden kann.

Aus diesen Gründen hat der EuGH in seinem viel beachteten Urteil nunmehr das Safe-Harbor-

Abkommen für unwirksam erklärt. Somit stellt das Abkommen keine rechtliche Grundlage für u. a. deutsche Unternehmen dar, personenbezogene Daten in die USA bedenkenlos transferieren zu können.

Welche Alternativen zum Safe-Harbor-Abkommen gibt es?

Theoretisch stehen Unternehmern mehrere Alternativen und Möglichkeiten zur Verfügung, die Grundsätze des nunmehr für unzulässig erklärten Safe-Harbor-Abkommens aufzufangen. Diese sind u. a.:

– eine entsprechende ausdrückliche Einwilligung durch den Nutzer

– die Verwendung von EU-Standard-Vertragsklauseln oder

– oder die Aufstellung von Binding Corporate Rules

Jedoch sei in diesem Zusammenhang bereits an dieser Stelle erwähnt, dass es sich bei den aufgeführten Möglichkeiten um keine in der Praxis tatsächlich verwendbaren Lösungen handelt. Es soll zwar Einzelfälle geben, in denen dies anders gesehen werden kann, aber für die meisten betroffenen Unternehmen stellen die aufgeführten Möglichkeiten reine Theorie dar, da diese in der Praxis kaum bis gar nicht umzusetzen sind.

Warum dies so ist, soll im Folgenden kurz erläutert werden:

1.) Einwilligung durch den Nutzer

Die Rechtsprechung setzt seit einiger Zeit voraus, dass für eine wirksame Einwilligung durch den Nutzer fast nicht erfüllbare Anforderungen unterstellt werden. So muss der Nutzer etwa über Art, Umfang und Reichweite seiner Einwilligung informiert werden. Ausschließlich dann wenn der Nutzer in dieser Weise umfassend informiert wird, kann die erteilte Einwilligung überhaupt eine Wirksamkeit entfalten. Der zu verwendende Text zur Einwilligung ist daher so konkret wie möglich zu fassen. Hierbei sind pauschale oder allgemeine Formulierungen unter keinen Umständen ausreichend.

Ein weiteres Problem der bezeichneten Einwilligung ist ebenso, dass der Nutzer seine erteilte Einwilligung zu jedem Zeitpunkt widerrufen kann. Sofern der Nutzer einen Widerruf der Einwilligung erklärt, so ist das Unternehmen gezwungen, entsprechend zu reagieren und die verwendeten Daten umgehend zu löschen.

Allein aus diesen Gründen ist eine Einwilligung, wie sie die meisten Unternehmer wohl nunmehr in Erwägung ziehen, keine handhabbare Lösung für den unternehmerischen Alltag.

2.) Verwendung von EU-Standard-Vertragsklauseln

Weiterhin besteht die Möglichkeit für Unternehmer, sogenannte EU-Standard-Vertragsklauseln zu verwenden. Diese Verwendungsmöglichkeit wurde durch die EU-Kommission neben dem Safe-Harbor-Abkommen geschaffen. Hierbei handelt es sich um sogenannte standardisierte Verträge, die wohl angeblich ein ausreichendes Datenschutzniveau statuieren sollen, sofern diese standardisiert abgeschlossen werden. Die EU-Kommission hat hierbei auf ihrer Internetseite verschiedene Vertragsmuster zur Verfügung gestellt.

Aber auch hier gibt es ein Problem dahingehend, dass die Datenschutzbehörden der Bundesrepublik Deutschland schon im Jahre 2013 im Rahmen einer Presseerklärung mitgeteilt haben, dass die bezeichneten Standard-Vertragsklauseln aus deren Sicht nicht mehr als ausreichend betrachtet werden können, insofern grundsätzlich nicht geklärt werden kann, inwieweit amerikanische Geheimdienste Zugriffsmöglichkeiten auf die zu transferierenden Daten haben.

Der EuGH hat in seiner Entscheidung in diesem Zusammenhang ebenfalls ausgeführt, dass wohl auch aus Sicht der Richter schnell zu erkennen ist, dass die zu verwendenden Standard-Vertragsklauseln gegen das EU-Datenschutzrecht im Hinblick auf Zugriffsmöglichkeiten amerikanischer Behörden verstoßen.Richtig ist zwar, dass die Entscheidung des EuGH tatsächlich nur das Safe-Harbor-Abkommen selbst betrifft, wenn man jedoch konsequent weiterdenkt und sich Gründe hierfür überlegt, so kann die Verwendung der EU-Standard-Vertragsklauseln nur zu einer Unwirksamkeit der Regelung führen. Denn, wie bereits aufgeführt, ist auch seitens der EU-Standard-Vertragsklausel nicht gesichert, dass EU-Geheimdienste keinen Zugriff auf die transferierenden Daten erhalten.

3.) Aufstellung von Binding Corporate Rules

Man könnte auch darüber nachdenken, dass etwa ein international tätiges Unternehmen sogenannte Binding Corporate Rules aufstellt und sich streng daran hält. Jedoch handelt es sich bei genauer Betrachtung hierbei um schlichtweg unternehmensinterne Datenschutzregeln, die nach Ansicht des Unternehmens weltweit gelten sollen.

Aber auch hier stellt sich die berechtigte Frage, ob die betroffenen US-amerikanischen Unternehmen durch diese Regeln amerikanischen Geheimdiensten den Zugriff auf die zu transferierenden Daten verhindern. Davon ist nach aktueller Kenntnis wohl nicht auszugehen. Darüber hinaus ist ebenfalls zu beachten, dass ein Unternehmen, welches seinen Sitz in den USA hat, den dortigen hoheitlichen Regeln sich zu unterwerfen hat und demnach europäische Datenschutzregeln keine Rolle spielen.

Was bedeutet dies in der Praxis?

Die bezeichneten Problematiken können für deutsche Unternehmen in zwei unterschiedlichen Varianten eine große Rolle spielen:

– deutsche Unternehmen übertragen personenbezogene Daten eigenständig an Unternehmen mit Sitz in den USA

– deutsche Unternehmen nutzen das Angebot eines dritten Dienstleisters, der sodann selbst und eigenständig die Daten in die USA transferiert

Erläuterung erste Variante: Eigene Datenübertragung

Insoweit ein deutsches Unternehmen eigenständig personenbezogene Daten an ein Unternehmen mit Sitz in den USA transferiert, so kann sich dieses Unternehmen tatsächlich nicht mehr auf das bisherige Safe-Harbor-Abkommen berufen.

Weiter stellt sich die Frage, inwieweit Datenübertragungen zu handhaben sind, die in der Vergangenheit durch das Unternehmen vorgenommen wurden. Denn diese bleiben unberührt, da die Entscheidung des EuGH nicht für die Vergangenheit, sondern erst für die Zukunft, gerechnet ab dem 06.10.2015, Gültigkeit entfaltet.

Wenn Sie sich die bezeichneten Alternativen zum Safe-Harbor-Abkommen genau anschauen und für sich selbst überprüfen, ob die entsprechenden aufgeführten Möglichkeiten für Sie eine denkbare Lösung darstellen, so dürfte in der Regel in den allermeisten Fällen keine der bezeichneten Lösungen für ein deutsches Unternehmen umsetzbar sein, da wohl damit faktisch eine legale Datenübertragung in die USA aufgrund der Entscheidung zum Safe-Harbor-Abkommen des EuGH nicht möglich ist.

Zweite Variante: Datenübertragung durch ein drittes Unternehmen

Schaut man sich die dem Safe-Harbor-Abkommen zugrunde liegende Safe-Harbor-Liste an, so stellt man fest, dass dort aktuell etwa 4.469 Unternehmen verzeichnet sind.

Insoweit Sie nunmehr als deutscher Unternehmer keine Kenntnis darüber besitzen, ob ein Anbieter eines etwaigen Onlinetools, das Sie zur Datenübertragung durch einen Dritten nutzen möchten, auf dieser bezeichneten Liste steht, so gibt es zunächst die Möglichkeit, auf einer Internetseite zur Safe-Harbor-Liste nachzuschauen.

Jedoch ist in diesem Zusammenhang nunmehr wichtig zu wissen, dass alle gängigen und größeren Anbieter von möglichen Tools zur Datenübertragung durch Dritte sich auf das Safe-Harbor-Abkommen berufen. Aufgrund der Entscheidung des EuGH ist nunmehr eine Datenübertragung durch Dritte ebenfalls nicht möglich.

Ein bekanntes Beispiel ist etwa die durch Unternehmer gern genutzte „Amazon Cloud“, da der Amazonkonzern sich selbst auf Safe-Harbor beruft, was ja nunmehr nicht mehr möglich ist. Amazon speichert in der Regel jedoch sämtliche Daten, die in der Cloud abgelegt werden, in den USA. Eine solche Datenübertragung ist nunmehr nach dem Urteil des EuGH jedoch nicht mehr zulässig, so dass eine Nutzung von Amazon Cloud Server datenschutzrechtlich unmöglich ist.

Man könnte meinen, dass sich der Europäische Kontinent durch diese strikte Haltung wohl im Rahmen des Datenschutzes um etliche Jahre zurückversetzt.

Zwar soll es Dienstleister seitens der US-Unternehmen geben, die hierauf reagieren und gegebenenfalls europäische Alternativen anbieten, jedoch gilt dies jedoch wohl nicht für die meisten und wichtigsten genutzten Unternehmer seitens der europäischen Nutzer.

Grundsätzlich ist jedoch im Rahmen dieser Entscheidung des EuGH immer zu überprüfen, ob ein Anbieter, der sich auf das Safe-Harbor-Abkommen beruft, auch tatsächlich personenbezogene Daten in die USA transferiert. Ist dies nämlich nicht der Fall und Daten werden auf dem Europäischen Kontinent verarbeitet, so ist die Berufung des Anbieters auf Safe-Harbor nicht unbedingt als rechtswidrig anzusehen.

In der Praxis werden Sie in der Regel jedoch nie herausfinden können, in welcher Form Datenübertragungen in die USA stattfinden werden. Verschiedene Verschwiegenheits-erklärungen bzw. schlichtweg die fehlende Kommunikation mit dem Anbieter verhindern dies und die Firmenpolitik der meisten US-Unternehmen sieht keine Hinweise hinsichtlich der Datentransferierung vor.

Praktische Handlungsempfehlungen nach dem Safe-Harbor-Urteil des EuGH

Um dennoch weiterhin halbwegs handlungsfähig zu sein, gibt es verschiedene Möglichkeiten, um dennoch weiterhin die entsprechende Kommunikation mit US-Unternehmen trotz Safe-Harbor aufrechtzuerhalten.

1.) Die Entscheidung des EuGH betrifft nicht einen deutschen Unternehmer allein, sondern vielmehr ist die gesamte europäische Unternehmensbranche, die das Internet zur Datenübertragung nutzt, derzeit betroffen. Wichtig ist in diesem Zusammenhang auch abzuwarten, inwieweit die deutschen Datenschutzbehörden reagieren und inwieweit entsprechende Handlungsempfehlungen von dieser Seite zu vernehmen sind.

2.) Wichtig für Sie ist es nunmehr zu prüfen, ob sämtliche Verträge, die Sie mit Nicht-EU-Staaten bzw. Unternehmen in deren Staaten abgeschlossen haben, einen Bezug auf das Safe-Harbor aufweisen.

Sollte dies nach Ihrer Überprüfung der Fall sein, so wird empfohlen, trotz der vorangegangenen Ausführungen über EU-Standard-Vertragsklauseln oder Binding Corporate Rules kurzfristig über deren Anwendung nachzudenken und dies in Erwägung zu ziehen. Auch sind diese kritisch zu sehen, jedoch ist dies im Rahmen einer rechtlichen Absicherung aktuell die einzige Möglichkeit einer rechtlichen Absicherung.

Weiterhin sollten Sie überprüfen, ob in der jüngsten Vergangenheit entsprechende Gerichtsurteile gegen Ihr Unternehmen verhängt wurden, in welchen verboten wurde, personenbezogene Daten ohne Erlaubnis zu erheben, zu verarbeiten oder entsprechend zu ermitteln.

Sollte dies der Fall sein, ist von einer weitergehenden Datentransferierung in die USA dringend Abstand zu nehmen. Entsprechende Tools von Drittunternehmen sollten zur Datenübertragung nur dann genutzt werden, sofern diese von europäischen Anbietern stammen bzw. sollten Sie bei Datentransferierungen an sich Sorge dafür tragen, dass die in Anspruch genommenen Unternehmen selbst keine Übermittlung von Daten durchführen.

Auch sollten Sie im Rahmen der Aufarbeitung dringend prüfen, ob in der jüngsten Vergangenheit etwaige strafbewehrte Unterlassungserklärungen durch Sie abgegeben wurden, in welchen Sie sich verpflichtet haben, nicht unbefugt personenbezogene Daten zu verarbeiten, zu ermitteln oder zu erheben. Dies führt ebenfalls in der Konsequenz dazu, dass Sie grundsätzlich von einer Datentransferierung in die USA Abstand nehmen sollten bzw. sich auf einen europäischen Anbieter einstellen sollten, der gegebenenfalls bestätigen kann, keine Datentransferierungen in die USA vorzunehmen.

Grundsätzlich bleibt jedoch abzuwarten, inwieweit die deutschen Datenschutzbehörden auf das Urteil des EuGH reagieren und inwieweit hierbei davon auszugehen ist, ob neue Regelungen und Handlungsanweisungen bekanntgegeben werden.

 

Stand: Oktober 2015

 

 

 

Follow me

Rechtsanwalt Michael Richter

Rechtsanwalt und Fachanwalt für IT-Recht bei Kanzlei in den ZOB-Arkaden
Der Schwerpunkt meiner anwaltlichen Tätigkeit liegt in allen Themen rund um das Arbeitsrecht,dem IT-Recht, sowie in allen Bereichen des E-Commerce, Wettbewerbs- und Markenrecht und dem Gewerblichen Rechtsschutz.
Follow me