Safe Harbor, EU-Standardvertragsklauseln, EU-US-Privacy-Shield – raucht Ihnen auch der Kopf bzw. können Sie die Begriffe nicht mehr hören? Das ist leider keine gute Idee, denn in die Frage, wie personenbezogene Daten in Drittländer außerhalb der EU übermittelt werden können, kommt (mal wieder) Bewegung.
Alt Bekanntes
Seit dem Herbst 2015 ist nach einem Urteil des Europäischen Gerichtshofs (EuGH) eine Datenübermittlung auf der Grundlage von Safe Harbor nicht mehr möglich. In der Zeit nach dem Urteil bestand die einzige praktikable Möglichkeit, rechtskonform Daten, in z.B. die USA, zu übermitteln darin, mit dem jeweiligen Vertragspartner sog. EU-Standardvertragsklauseln abzuschließen. Hintergrund ist, dass personenbezogene Daten nur in Länder übermittelt werden dürfen, die ein der EU-vergleichbares Datenschutzniveau vorweisen können. Ist dies, wie bei den USA, nicht der Fall, springen die Standardvertragsklauseln in die Bresche, indem sie zwischen den beiden Vertragspartnern ein angemessenes Schutzniveau vereinbaren. Die Vertragsklauseln sind jedoch nicht nur für den Datentransfer in die USA, sondern vielmehr für jedes Land außerhalb der EU relevant, für das kein angemessenes Datenschutzniveau attestiert ist (Eine Übersicht finden Sie hier). Nach Auffassung der EU-Kommission stellen diese Vertragsklauseln eine ausreichende Garantie für den Schutz der Privatsphäre und der Grundrechte der betroffenen Personen dar.
Jedoch hat der EuGH in seinem viel beachteten Urteil zum Datenschutzniveau von Drittländern festgestellt, dass in diesen Ländern zwar kein identisches Datenschutzniveau vorliegen muss, diese Drittstaaten jedoch aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen vergleichbare Freiheiten und Grundrechte wie in der EU gewährleisten müssen. Das Gericht legte hier besonderen Wert auf die Voraussetzung, dass gerade durch die Rechtsordnung des Drittlandes ein solches angemessenes Schutzniveau sichergestellt werden müsse. Hierzu gehören nach Ansicht des EuGH u.a. wirksame Überwachungs- und Kontrollmechanismen, mit denen etwaige Verstöße gegen (Datenschutz-)Grundrechte ermittelt, gerichtlich überprüft und auch geahndet werden. Und genau hier liegt im Falle der USA der Kern des Problems: Der EuGH hat entschieden, dass diese Voraussetzungen für die USA nicht zutreffen! Das Problem mit der Rechtsordnung der USA lösen die EU-Standardvertragsklauseln nämlich auch nicht.
Irische Aufsichtsbehörde ruft High Court an
Aus diesem Grund lässt die irische Datenschutzaufsichtsbehörde nun vor dem irischen High Court klären, ob die EU-Standardvertragsklauseln noch rechtskonform sind. Ihrer Meinung nach gibt es drei Kritikpunkte.
- 47 der europäischen Grundrechtecharta legt fest, dass Bürger ein Recht auf einen wirksamen Rechtsbehelf und ein unparteiisches Gericht haben.
Diesen Grundsatz sieht die irische Datenschutzbehörde nicht erfüllt, wenn staatliche Behörden in den USA zum Zwecke der nationalen Sicherheit Daten von EU-Bürgern verwenden.
- Die Frage des Rechtsbefehls wird nach Ansicht der Aufsichtsbehörde in den EU-Standardvertragsklauseln nicht entsprechend den Vorgaben des EuGH – Safe Harbor Urteils behandelt.
- Somit kommt die irische Behörde zu dem Schluss, dass die Standardvertragsklauseln selbst gegen Art. 47 der europäischen Grundrechtecharta verstoßen.
Der irische High Court kann – und davon ist auszugehen – in dieser Frage wieder den EuGH anrufen. Wenn der EuGH seiner Linie treu bleibt, kann er eigentlich nicht anders, als die EU-Standardvertragsklauseln und übrigens auch alle Binding Corporate Rules für ungültig erklären.
Und nun?
Nun kommen wir zu dem dritten Schlagwort: EU-US-Privacy Shield. Seit Juli dieses Jahrs gibt es als Folgeabkommen zu Safe Harbor dieses Schutzschild. Zwar ist es viel kritisiert worden, aber es ist – zurzeit – rechtssicher. Wir empfehlen Ihnen, Ihre US-amerikanischen Vertragspartner dahingehend zu drängen, sich unter das Privacy-Shield zu begeben. Denn, noch liegt dem EuGH keine Klage gegen dieses Abkommen vor. Somit dürfte es rein zeitlich betrachtet wahrscheinlicher sein, dass zuerst die Frage der Standardvertragsklauseln vor dem EuGH landet. Sollten diese Vertragsklauseln dann für ungültig erklärt werden, ist ihre Datenübermittlung durch das Privacy-Shield noch rechtssicher.
Update 12.10.2016: Neben dem Irischen High Court befasst sich auch die EU-Kommission, genauer gesagt der Artikel 31 Ausschuss, welcher zuletzt für den Erlass des EU-US-Privacy-Shields zuständig war, zurzeit mit der Frage nach der Rechtmäßigkeit von EU-Standardvertragsklauseln. Wie jetzt bekannt wurde, sind die EU-Standardvertragsklauseln seiner Ansicht nach rechtswidrig. Da nicht alle Mitglieder eine Entscheidung treffen wollten, wird der Ausschuss in nächster Zeit erneut tagen. In der Zwischenzeit wird die Art. 29 Datenschutzgruppe (die Vertreter der europäischen Datenschutzbehörden) um eine Stellungnahme gebeten.