Das Urteil ist in aller Munde und wird tausendfach zitiert – was per se das Thema Datenschutz in der „Laien-Öffentlichkeit“ weiter ins Bewusstsein und vielleicht ja auch die Sensibilität vieler „Unbeteiligter“ erhöht. Nicht nur die beruflich im Datenschutz Tätigen, auch viele (interessierte) Laien wissen nun, was das Gericht in etwa gesagt hat. Um nun Empfehlungen zu Alternativen geben zu können, bedarf es einer genauen Analyse der Urteilsgründe.
Der EuGH hat in seinem Urteil zunächst zwei Kernaussagen getroffen:
- Eine Entscheidung der EU-Kommission, wie die mit Safe Harbor getroffene, hindert nationale Aufsichtsbehörden nicht daran, Eingaben von EU-Bürgern zu prüfen, wenn diese geltend machen, dass im Drittland kein angemessenes Schutzniveau herrscht.
- Die Entscheidung 2000/520/EU (Safe Harbor) ist ungültig.
Zum ersten Urteilssatz stellen die EU-Richter fest, dass auch eine Entscheidung der Kommission (wie Safe Harbor) nationale Kontrollstellen keinesfalls daran hindert, die Rechtmäßigkeit von Datenverarbeitungen im Drittland zu überprüfen. Weder Art. 8 der EU- Grundrechte-Charta, noch Art. 28 der EU-Datenschutzrichtlinie (95/46) schlössen eine solche Zuständigkeit der nationalen Kontrollstellen aus. Zwar könne die Kommission (oder aber auch ein Mitgliedsstaat) grundsätzlich entscheiden, dass ein Drittland ein angemessenes Datenschutzniveau aufweise. Diese Entscheidung beeinflusse jedoch nicht das Recht und die Aufgabe der nationalen Kontrollbehörden, unabhängig (!) zu prüfen, ob das im Drittland bestehende Datenschutzniveau tatsächlich angemessen sei.
Zwar könnten, so die Richter weiter, nationale Aufsichtsbehörden bei Vorliegen einer Entscheidung wie Safe Harbor keine zuwiderlaufenden Maßnahmen treffen (verbindliche Rechtsakte) – unabhängig prüfen und eine Rechtmäßigkeit feststellen bzw. absprechen könnten sie hingegen schon. Allein die Feststellung der Ungültigkeit der Entscheidung bleibe dem EuGH überlassen.
Mit dem zweiten Urteilssatz stellt der EuGH fest, dass in den USA kein der EU vergleichbares Datenschutzniveau herrsche. Zwar müsse im Drittland kein mit der EU identisches Schutzniveau herrschen. Jedoch müsse das Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen vergleichbare Freiheiten und Grundrechte wie in der EU gewährleisten. Das Gericht legt hier besonderen Wert auf die Voraussetzung, dass gerade durch die Rechtsordnung des Drittlandes ein solches angemessenes Schutzniveau sichergestellt werden müsse. Hierzu gehörten u.a. wirksame Überwachungs- und Kontrollmechanismen, mit denen etwaige Verstöße gegen (Datenschutz-)Grundrechte ermittelt, gerichtlich überprüft und auch geahndet werden können (siehe Text des Art. 8 der EU-Grundrechte-Charta im Anhang zu diesem Artikel).
Genau hieran ermangele es der Rechtsordnung der USA: Solange diese Rechtsordnung dem Zugriff auf personenbezogene Daten aus Gründen der nationalen Sicherheit, des öffentlichen Interesses oder der Durchführung von Gesetzen grundsätzlich einen Vorrang einräume vor dem individuellen Datenschutz der Betroffenen und – ergänzend (!) – weder Auskunftsrechte kenne, mit denen Betroffene überhaupt in Erfahrung bringen können, ob ihre Daten (von Behörden, Geheimdiensten etc.) verarbeitet wurden, noch Sanktionsmechanismen, mit denen rechtswidrige Datenverarbeitungen geahndet werden können, solange könne nicht von einem angemessenen Datenschutzniveau im Sinne der EU-Datenschutzrichtlinie gesprochen werden.
Gibt es empfehlenswerte Alternativen?
Was bedeuten diese Überlegungen im Hinblick auf jetzt gangbare Alternativen? Wenn man die Urteilsgründe ernst nimmt, führen sie dazu, dass auch der Abschluss von EU-Standardvertragsklauseln keine dauerhaft „haltbare“ Alternative zu Safe Harbor sein kann. Denn ebenso wie Safe Harbor ändert der Abschluss von EU-Standard-Vertragsklauseln an den erläuterten erheblichen Mängeln der Rechtsordnung in den USA – also der Hauptkritik, warum die USA kein angemessenes Datenschutzniveau haben – gar nichts: Auch wenn personenbezogene Daten von EU-Bürgern auf der Grundlage von EU-Standardvertragsklauseln von US-Unternehmen verarbeitet werden, haben Geheimdienste und Behörden aus den o.g. Gründen in gleichem Maße Zugriff auf die Daten und Betroffene haben in gleichem Maße keinen Rechtsschutz bzw. keine Möglichkeit gerichtlicher Überprüfung der Grundrechtseingriffe. Allerdings, und dies muss an dieser Stelle auch erwähnt werden: Zurzeit lässt sich trotz der o.g. grundsätzlichen Mängel, die auch dem System der EU-Standardvertragsklauseln zugrunde liegen, zur kurzfristigen Behebung des derzeitigen Schwebezustands keine andere Empfehlung aussprechen. Denn bis zu einer (anderslautenden) Entscheidung ggfls. wieder durch den EuGH lässt sich mit den EU-Standardvertragsklauseln eine formal rechtmäßige Datenübermittlung an US-Unternehmen herstellen. Wir werden an dieser Stelle hierzu kurzfristig einen weiteren Beitrag veröffentlichen, der im Detail die Schritte benennt, die dabei zu beachten sind.
(Update 13.10.2015: Den Artikel „Sind die EU-Standardvertragsklauseln noch wirksam? 10 Punkte die jetzt beachtet werden sollten.“ finden Sie ab sofort hier)
Was der Vollständigkeit halber noch erwähnt werden sollte: Ähnlich wie für Safe Harbor (und die EU-Standardvertragsklauseln) dürfte die Wertung für die Binding Corporate Rules ausfallen: Abgesehen davon, dass die Erstellung und vor allem die „Absegnung“ dieser unternehmensinternen Datenschutzregelungen einen im Vergleich (zu EU-Standardvertragsklauseln) immens höheren Aufwand für Unternehmen bedeutet: Im Ergebnis schützen auch Binding Corporate Rules nicht davor, dass die US-Rechtsordnung dem staatlichen Zugriff auf personenbezogene Daten aus den o.g Gründen nach wie vor einen höheren Stellenwert einräumt, als EU-Datenschutzgrundrechten – im Übrigen bekäme man hiermit auch nur die konzerninterne Datenverarbeitung in den Griff.
Last but not least, können wir aus Beratersicht zumindest noch einige Unternehmen beruhigen: Wer z.B. Microsoft 365 (oder ähnliche Services, die eine Wahl des Serverstandortes zulassen) nutzt und bei Einrichtung der Services Irland als Serverstandort gewählt hat, dürfte mit hoher Wahrscheinlichkeit keine behördlichen Schritte zu befürchten haben. Dass hierbei auch Nicht-EU-Subauftragnehmer Zugriff auf die Daten haben, ist bekannt, hat aus unserer Sicht gegenüber der grundsätzlichen Frage des (EU-)Serverstandortes untergeordnete Priorität.
Über die weitere Entwicklung halten wir Sie weiter auf dem Laufenden.
Anhang: Text des Art. 8 der EU-Grundrechte-Charta:
Artikel 8
Schutz personenbezogener Daten
(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.
Safe Harbor: Neuer Hafen für Cloud-Daten gesucht - Teil I
12. November 2015 @ 8:29
[…] Die Konsequenz: „Der Abschluss von EU-Standard-Vertragsklauseln ändert an den erheblichen Mängeln der Rechtsordnung in den USA gar nichts“, so Oliver Stutz, Syndikusanwalt von datenschutz nord, einem Beratungshaus für Datenschutz und IT-Sicherheit, in einem Blog-Beitrag. […]