Die tickende Datenschutz-Bombe ist detoniert: Der Europäische Gerichtshof (EuGH) hat heute die zwischen der EU und den USA bestehende Vereinbarung „Safe Harbor“ für ungültig erklärt. Die Vereinbarung ermöglichte es europäischen Unternehmen, Daten in die USA zu übermitteln. Voraussetzung dafür war, dass US-Unternehmen sich verpflichten, europäische Datenschutzregeln einzuhalten. Daran waren nationale Aufsichtsbehörden bislang gebunden.
Der EuGH hat nun in einer Entscheidung gegen Facebook festgestellt, dass die EU-Kommission die Befugnisse der nationalen Datenschutz-Aufsichtsbehörden nicht hätte beschränken dürfen. Genau dies war jedoch bisher Praxis: Solange ein Datenverarbeiter in den USA sich nach Safe Harbor „selbst-zertifiziert“ hatte, wurde für die hierauf basierende Datenverarbeitung ein angemessenes Datenschutzniveau unterstellt, obwohl dies grundsätzlich nach der aktuellen EU-Datenschutzrichtlinie für die USA nicht der Fall war.
Mit dem Urteil setzt der EuGH einen weiteren – weit über die Einzelfallentscheidung hinausreichenden – Meilenstein im Datenschutzrecht. Und zwar einen, der Millionen täglicher Datentransfers zwischen der EU und den USA betrifft und damit diesen den legalen Boden entzieht. Um es kurz, aber deutlich auszusprechen:
Soweit ein europäisches Unternehmen bisher mit einem nach Safe Harbor „zertifizierten“ US-Unternehmen Daten austauscht, so fehlt hierfür ab heute faktisch die datenschutzrechtliche Rechtsgrundlage.
Darüber hinaus betrifft das Urteil aber – dies war ja hier der eigentliche „Aufhänger“ – auch die Verarbeitung personenbezogener Daten von EU-Bürgern durch große US-Unternehmen wie Facebook, Google, Amazon etc. in den USA. Bisher war die Speicherung auf Servern in den USA zulässig, soweit die dortigen (Mutter-) Gesellschaften nach Safe-Harbor zertifiziert waren. Dies ist nun hinfällig. Die Übermittlung personenbezogener Daten in die USA ist künftig an deutlich höhere Anforderungen geknüpft. Wie diese aussehen werden, ob die betreffende Datenverarbeitung künftig nur noch auf der Basis von Einwilligungen der Nutzer rechtmäßig erfolgen kann, bleibt abzuwarten.
Was ist zu tun? Was heißt das für die Unternehmens-Praxis?
Zunächst einmal: Ruhe bewahren! Zwar liegen die Urteilsgründe bereits vor, dennoch lässt sich vor einer genauen Urteilsanalyse heute noch nicht sagen, aus welchen (genauen) Beweggründen der Europäische Gerichtshof so geurteilt und ob er Alternativen erörtert hat. Auch – und dies ist aus Unternehmenssicht fraglos die wichtigste Information – drohen nun nicht umgehend Bußgelder der Aufsichtsbehörden. Zunächst werden diese eine gemeinsame Linie festlegen, wie mit der neuen Rechtslage umzugehen sein wird.
Selbst wenn man zum heutigen Zeitpunkt unterstellte, alle betroffenen Datenübermittlungen in die USA seien rechtswidrig, so würden entsprechende Verwaltungsverfahren ihren bürokratischen Verlauf nehmen müssen: Das hieße in der Praxis, Aufsichtsbehörden müssten zunächst (schriftliche) Anhörungen durchführen, Untersagungsverfügungen erlassen und könnten erst bei Weigerung der Unternehmen Bußgelder verhängen. Im Übrigen ist damit zu rechnen, dass die Aufsichtsbehörden angesichts der Tragweite des Urteils Unternehmen längerfristige Übergangsfristen einräumen werden. Ein doch längerer Weg, der den Unternehmen Zeit lässt, auf die geänderte Rechtslage zu reagieren.
Wie kann diese Reaktion aussehen? Möglich wäre es, mit US-Unternehmen sogenannte EU-Standardverträge zu schließen (solange diese von Aufsichtsbehörden in Bezug auf US-Unternehmen noch akzeptiert werden). Dabei handelt es sich um von der EU-Kommission erstellte Verträge, mit denen sich Unternehmen bilateral auf die Einhaltung europäischer Datenschutzregeln verpflichten. Ein gegenüber der bisherigen Safe-Harbor-Regelung erheblicher Mehraufwand, da jedes Unternehmen entsprechende Verträge vereinbaren und jedes betroffene Verfahren detailliert beschreiben müsste. Ein Dokumenten-Sturm, der viel Papier (bzw. Dateien) produziert und im Ergebnis wohl nicht mehr Schutz vor Zugriffen Dritter in den USA bietet. Denn ob US-Behörden (offen oder unbemerkt) auf US-Server zugreifen, deren Sicherheitsmaßnahmen nunmehr per EU-Standardvertrag vereinbart werden oder zuvor pauschal über Safe-Harbor, macht im Ergebnis keinen Unterschied.
Insgesamt bleibt zu hoffen, dass es in Kürze zu einer bilateralen Regelung zwischen der EU und den USA kommen wird, die im Ergebnis tatsächlich mehr Datenschutz jenseits des Atlantiks bietet. Bis dahin bleibt es bei unserer Empfehlung:
Ruhe bewahren!
Wir halten Sie über die weitere Entwicklung und auch über etwaige verwaltungsrechtliche Verfahren durch die Aufsichtsbehörde und deren Fortgang auf dem Laufenden.
Arne Rathjen RA
9. Oktober 2015 @ 19:52
Das Gericht war vermutlich verärgert über den Umstand, dass die NSA nicht nur die EU-Kommission , sondern auch alle möglichen europäischen Spitzenpolitiker abhört, und dies auch noch zu Zwecken der Verbesserung der wirtschaftlichen Wettbewerbsposition. Nach dem Wegfall des Ostblocks als Gegner war dies die dominante strategische Orientierung der US-Dienste. Dadurch, dass mittlerweile alles abgefischt wird, was zu kriegen ist, gibt es für die Safe Harbour- Regelung von 2000 keine Grundlage mehr.
Dass dies festgestellt wurde, Ist nicht wirklich beunruhigend. Neu an dem Urteil dürfte sein, dass man sich auf die Existenz von ( Total- ) Abhörprogrammen bezieht, deren Existenz bis jetzt bestritten wird.