Die Folgen der Safe Harbor-Entscheidung des Europäischen Gerichtshofs vom 06.10.2015 sind Gegenstand intensiver Debatten. Die Artikel 29-Datenschutzgruppe hat die EU-Kommission und die US-Regierung aufgefordert, bis Ende Januar 2016 rechtliche und technische Lösungen für den Datentransfer in die Vereinigten Staaten bereitzustellen. Kurz nach Ablauf des Ultimatums ist unklar, ob es den Beteiligten gelingen wird, sich auf ein neues Abkommen zu einigen und ob dieses den vom Europäischen Gerichtshof formulierten Anforderungen standhalten wird.
Unklar ist zudem das Schicksal der übrigen Instrumente zur datenschutzkonformen Gestaltung des Datentransfers in die Vereinigten Staaten oder andere Drittstaaten ohne angemessenes Datenschutzniveau (EU-Standardvertragsklauseln, Binding Corporate Rules). Schließlich schützen auch diese Instrumente nicht vor einem massenhaften, anlasslosen Datenzugriff durch Geheimdienste oder andere Sicherheitsbehörden in dem Empfängerland. Diesen Punkt hatte der Europäische Gerichtshof in den Urteilsgründen besonders hervorgehoben. In seiner Stellungnahme zu der Safe Harbor-Entscheidung hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein mit Verweis auf die Entscheidungsgründe daher auch deutlich gemacht, dass es die Verwendung der Standardvertragsklauseln nicht mehr für zulässig hält.
Vorschlag für einen neuen Export-Import-Standardvertrag
Um eine Lösung für das Dilemma zu bieten, in dem sich Unternehmen befinden, die auf einen funktionierenden transatlantischen Datentransfer angewiesen sind, haben Thilo Weichert und Karin Schuler vom „Netzwerk Datenschutzexpertise“ nun einen Vorschlag für einen neuen Standardvertrag unterbreitet. Dieser bietet nach Auffassung der Autoren die Möglichkeit, personenbezogene Daten aus der Europäischen Union in die Vereinigten Staaten oder einen anderen Drittstaat ohne angemessenes Datenschutzniveau zu übermitteln und dabei zugleich den Anforderungen des Europäischen Gerichtshofs an den Grundrechtsschutz zu genügen.
Kernpunkte des Vertrags
Um dieses Ziel zu erreichen, sieht der Vertrag im Wesentlichen folgende Regelungen vor:
- umfassende Verpflichtung des Datenimporteurs auf die Einhaltung des europäischen Datenschutzrechts einschließlich Zweckbindung der Datenverarbeitung, Treffen angemessener technischer und organisatorischer Sicherheitsmaßnahmen und Wahrung der Betroffenenrechte,
- Verpflichtung des Datenimporteurs zur umgehenden Benachrichtigung des Datenexporteurs bei unverhältnismäßigen Datenzugriffen durch Geheimdienste oder andere Sicherheitsbehörden,
- Pflicht zur Aussetzung des Datentransfers bei Verletzung der zuvor genannten Pflichten durch den Datenimporteur,
- Gewährleistung von aufsichtsbehördlicher Kontrolle und Rechtsschutz über den Datenexporteur,
- wirksame Sanktionen bei Verstößen gegen die vertraglichen Regelungen.
Ist der Vertrag die Lösung des Problems?
Der von dem „Netzwerk Datenschutzexpertise“ formulierte Export-Import-Standardvertrag ist ein vernünftiger Vorschlag, um die sich aus dem Safe Harbor-Urteil ergebenden rechtlichen Schwierigkeiten des Datentransfers in die Vereinigten Staaten oder andere Drittstaaten ohne angemessenes Datenschutzniveau zu lösen.
Ob der Vertrag tatsächlich ausreichende Garantien enthält, um bei dem Empfänger ein angemessenes Datenschutzniveau herzustellen, wird sich erweisen müssen. Hierzu muss der Vertrag zunächst durch die zuständige Aufsichtsbehörde geprüft werden. Ihr obliegt es gemäß § 4c Absatz 2 BDSG, über diese Frage zu entscheiden.
Unternehmen können den Export-Import-Standardvertrag daher in der Praxis nicht ohne Weiteres einsetzen. Das zuvor zu durchlaufende Genehmigungsverfahren bei der zuständigen Aufsichtsbehörde ist mit erheblichem Aufwand verbunden. Hierbei besteht die Gefahr, dass der Vertrag als unzureichend beurteilt und die Genehmigung nicht erteilt wird. So scheint beispielsweise die Regelung des Vertrags, die den Datenimporteur zur Benachrichtigung des Datenexporteurs bei im Widerspruch zum europäischen Datenschutzrecht stehenden Datenzugriffen verpflichtet, in der Praxis nicht umsetzbar zu sein.
Bei Ermittlungen in den Vereinigten Staaten, die die nationale Sicherheit betreffen, werden Unternehmen häufig mit einem National Security Letter zur Herausgabe bestimmter Daten verpflichtet. Ein National Security Letter enthält in der Regel eine Geheimhaltungsanordnung, die es dem Empfänger verbietet, über Inhalt oder Erhalt des National Security Letter zu sprechen. Unternehmen, die auf Basis des Export-Import-Standardvertrags agieren, bliebe in diesen Fällen nur die Wahl, gegen welche Rechtsordnung sie verstoßen wollen.
Es bleibt daher abzuwarten, wie die Aufsichtsbehörden im Falle der Prüfung des Export-Import-Standardvertrags entscheiden werden.