PRISM – Aufsichtsbehörden und EU-Kommission kündigen Konsequenzen an

Die neusten Veröffentlichungen über anlasslose Überwachungs-
maßnahmen ausländischer Geheimdienste (wir berichteten hierüber bereits) ziehen immer weitere Kreise:

Nachdem vor ein paar Tagen die EU-Kommission angekündigt hat, das einst mit den USA abgeschlossene „Safe Harbour“-Abkommen auf den Prüfstand zu stellen, haben nun auch die deutschen Datenschutzbeauftragen des Bundes und der Länder erhebliche Zweifel an der Rechtmäßigkeit der bestehenden Regelungen. „Safe Harbor“ ermöglicht eine Datenübermittlung an nordamerikanische Unternehmen, die sich auf die Einhaltung europäischer Datenschutzstandards verpflichten. Unabhängig von Safe Harbor können einzelne Datenübermittlungen in die USA und andere Drittstaaten auch durch eine Genehmigung der zuständigen Aufsichtsbehörde legitimiert werden. Die deutschen Aufsichtsbehörden haben jetzt angekündigt, dass sie bis auf Weiteres keine Genehmigungen für Datenübermittlungen in Drittstaaten mehr aussprechen werden. Zudem wollen sie überprüfen, ob derzeitig vorgenommene Datentransfers in Drittstaaten auszusetzen sind.

Rechtlicher Hintergrund und Analyse:

Bislang gelten Safe Harbor und die EU-Standardvertragsklauseln als wichtige Zulässigkeitsvoraussetzungen, um personenbezogene Daten in die USA übermitteln zu dürfen. Zwar enthält die Safe-Harbor-Vereinbarung eine Regelung, nach der die Geltung der Grundsätze des „sicheren Hafens“ begrenzt werden können, wenn es die nationale Sicherheit erfordert oder nationale Gesetze Einschränkungen vorsehen. Solche Eingriffsbefugnisse müssen sich jedoch stets an den im europäischen Datenschutzrecht geltenden Erforderlichkeits- und Verhältnismäßigkeitsgrundsätzen orientieren – ein exzessiver und unverhältnismäßiger Gebrauch widerspricht in jedem Fall den Grundsätzen europäischen Datenschutzrechts. Bei Datenübermittlungen auf der Basis von EU-Standardvertragsklauseln muss der Datenimporteur zudem zusichern, dass in seinem Land keine Rechtsvorschriften bestehen, die die Garantien aus den Klauseln in gravierender Weise beeinträchtigen.

Was solche Zusicherungen Wert sind, hat sich gerade in letzter Zeit gezeigt. Allerdings stecken sowohl Aufsichtsbehörden als auch betriebliche Datenschutzbeauftragte in einem Dilemma: Safe Harbor und EU-Standardvertragsklauseln richten sich vordringlich an ausländische Unternehmen; diese sollen durch Erklärungen garantieren, dass sie das europäische Datenschutzrecht beachten und in ihren jeweiligen Nationalstaaten durch die jeweiligen Sicherheitsorgane keine unangemessenen Auswertungen durchgeführt werden. Faktisch sind die Unternehmen jedoch an ihr nationales Recht gebunden und können dieses durch Inhalte in privatrechtlichen Verträgen nicht aushebeln.

Daher kann der Datenschutz im Ausland nur dann gewährt werden, wenn die Befugnisse von nationalen Sicherheitsorganen bilateral zwischen den Nationalstaaten in völkerrechtlichen Verträgen verbindlich geregelt werden. Solange diese nicht existieren, stellen Ankündigungen der Datenschutzbeauftragten, Datenübermittlungen in die USA künftig nicht mehr zu genehmigen, vor allen Dingen begründete Forderungen an die Nationalstaaten dar, solche bilateralen Abkommen abzuschließen. Konsequent wäre es in diesem Zusammenhang, diejenigen Staaten in eine Blacklist aufzunehmen, in denen aufgrund der dort geltenden Sicherheitsgesetze und der daraus folgenden Tätigkeit der jeweiligen nationalen Geheimdienste grundsätzlich kein mit der EU vergleichbarer Datenschutzstandard gewährleistet werden kann.

Folgen für deutsche Unternehmen:

Somit herrscht für Unternehmen momentan eine sehr unsichere Rechtslage beim internationalen Datentransfer: Zwar ist es unwahrscheinlich, dass Aufsichtsbehörden derzeit Bußgelder wegen unzulässigen Datentransfers in Drittstaaten wie die USA verhängen werden. Ebenso ist es sehr unwahrscheinlich, dass zukünftig ein Datentransfer in die USA stets unzulässig sein wird. Solange die politische Diskussion um die Tätigkeit der National Security Agency (NSA) und um Safe Harbor andauert, können wir den einzelnen Unternehmen derzeit nur raten, sich frühzeitig darauf einzustellen, dass Safe Harbor und die EU-Standardvertragsklauseln sich künftig nicht mehr eignen, um eine Datenübermittlung in die USA ausreichend zu legitimieren.