Was passiert, wenn „Safe Harbor“ kippt? EuGH verhandelt über Datenschutz in Zeiten der NSA-Überwachung

Seit der vergangenen Woche befasst sich der Europäische Gerichtshof (EuGH) mit der Frage, ob Facebook die Daten seiner Nutzer ausreichend schützt. Was mit der Beschwerde eines österreichischen Aktivisten gegen die irische Datenschutzbehörde begann, könnte sich zu einer Grundsatzentscheidung über das Safe Harbor-Abkommen ausweiten (Az. C-362/14). Dieses Abkommen erlaubt europäischen Unternehmen den Transfer personenbezogener Daten in die USA als ansonsten datenschutzrechtlich unsicherem „Drittstaat“ (sofern der Transfer der Daten im Übrigen gerechtfertigt ist). Sollte der EuGH das Abkommen kippen, bedürften alle Transfers an amerikanische Unternehmen, die auf deren Safe Harbor-Zertifizierung beruhen, einer neuen vertraglichen Grundlage. Von Verena Grentzenberg

Daten europäischer Nutzer des Facebook-Netzwerks werden von der Facebook Ireland Ltd. mit Sitz in Irland verarbeitet (Facebook Irland). Facebook Irland speichert einen Großteil der Daten seiner Nutzer jedoch bei der Safe Harbor zertifizierten Facebook Inc.

Das Europäische Datenschutzrecht untersagt grundsätzlich eine Übermittlung personenbezogener Daten in Drittstaaten, die über kein vergleichbares Datenschutzniveau verfügen. Hierzu zählen unter anderem die USA. Um europäischen Unternehmen dennoch den Transfer von Daten in die USA zu ermöglichen, wurde das Safe Harbor-Abkommen geschlossen. Dieses enthält datenschutzrechtliche Grundsätze und einen verbindlichen Fragenkatalog. Unterwerfen sich amerikanische Unternehmen diesem Rechtsrahmen, so ist die Übermittlung personenbezogener Daten an sie im gleichen Umfang zulässig, wie Transfers an Unternehmen mit Sitz in Deutschland bzw. innerhalb des Europäischen Wirtschaftsraums (EWR) – obwohl die USA nach wie vor als unsicherer Empfängerstaat gelten.

Dieses System gerät im Zuge des Facebook-Verfahrens zunehmend unter Druck: Ein Vertreter der Europäischen Kommission räumte zu Verfahrensbeginn ein, nach der gegenwärtigen rechtlichen Ausgestaltung von Safe Harbor in den USA gebe es „keine Garantie dafür, dass fundamentale EU-Datenschutzrechte beachtet werden“. Sollten sich die Richter am EuGH dieser Einschätzung anschließen, könnte das bisherige Safe Harbor-Abkommen vor dem Aus stehen – mit weitreichenden Folgen für europäische Unternehmen. Bereits im März 2014 hatte sich das EU-Parlament mit breiter Mehrheit für einen Stopp von Datenübermittlungen in die USA auf Basis von Safe Harbor ausgesprochen. Und die deutschen Datenschutzbehörden kritisieren Safe Harbor bereits seit längerem.

Datenübermittlung ohne Safe Harbor: Was Unternehmen beachten müssen

Das Urteil des EuGH wird für den 24. Juni 2015 erwartet. Für den Fall, dass die aktuellen Safe Harbor-Regeln der Überprüfung nicht standhalten, sollten Unternehmen bereits frühzeitig vorsorgen. Zwar ist davon auszugehen, dass die nationalen Datenschutzbehörden den betroffenen Unternehmen eine Übergangsfrist einräumen und nicht unmittelbar Bußgelder wegen der unzulässigen Übermittlung personenbezogener Daten verhängen werden. Die notwendige Anpassung der Vereinbarungen mit den datenverarbeitenden Stellen in den USA kann aber einige Zeit in Anspruch nehmen. Für europäische Unternehmen, die weiterhin personenbezogene Daten in die USA übermitteln wollen, bietet sich als Alternative an, mit dem Datenempfänger die sogenannten Standardvertragsklauseln der Europäischen Kommission (SCC) zu vereinbaren, um das erforderliche Datenschutzniveau zu gewährleisten. Werden diese SCC unverändert vereinbart, bedarf der Datentransfer – wie bei Safe Harbor – keiner behördlichen Genehmigung.

Die Kommission hat verschiedene SCC veröffentlicht: Für die Datenübermittlung an eine verantwortliche Stelle („Controller-to-Controller-Transfer“) stehen zwei verschiedene Regelwerke zur Verfügung (Set I und Set II). Und auch für den Fall der Auftragsdatenverarbeitung („Controller-to-Processor Transfer“) – etwa im Rahmen eines Cloud Computing – existieren SCC (diese finden Sie hier).

Bei allen neu abzuschließenden Verträgen mit US-Anbietern, die Safe Harbor zertifiziert sind, empfehlen wir, von vornherein SCC vorzusehen. Verweigert sich der Anbieter dieser Forderung, sollte er sich zumindest verpflichten, die SCC nachträglich zu unterzeichnen, falls das Safe Harbor-Abkommen zukünftig nicht mehr ausreichen sollte (etwa infolge einer entsprechenden Entscheidung des EuGH).

Update 28.09.2015

Vergangene Woche hat Generalanwalt Bot seine Schlussanträge veröffentlicht. Darin bewertet er das Abkommen als ungültig und erklärt die Aussetzung von Transfers auf Basis von Safe Harbor durch Datenschutzbehörden für rechtmäßig. Eine ausführliche Analyse der Meinung des Generalanwalts finden Sie hier.

Update 05.10.2015

Der EuGH hat sein Urteil bereits für morgen, 6. Oktober 2015, 9:30 Uhr angekündigt.

Kommentare sind geschlossen.