Der sichere Hafen ist nicht so sicher, wie einst von der Kommission angenommen. Die Safe-Harbor-Entscheidung des EuGH vom 5.10.2015 – Rechtssache C‑362/14 – in dem Verfahren Maximillian Schrems gegen Data Protection Commissioner stellt das Safe Harbor-Abkommen auf den Kopf. Dennoch sind auch nach der EuGH-Entscheidung Datentransfers ins Ausland – einschließlich den USA – unter gewissen Voraussetzungen weiterhin zulässig. Unternehmen sollten allerdings regelmäßig ihre derzeitige Praxis prüfen.
EuGH, Urteil vom 5.10.2015 – Rechtssache C‑362/14
Verfahren Maximillian Schrems gegen Data Protection Commissioner
Spätestens seit der Vorlageentscheidung des High Court (Irland) vom 17. Juli 2014 – 2013 765 JR – gilt das Safe-Harbor-Abkommen als umstritten. Nun bringt der Europäische Gerichtshof in seiner Entscheidung vom 5.10.2015 Gewissheit: Unternehmen können sich bei Datenübermittlungen in die USA nicht auf das Safe Harbor-Abkommen verlassen; die Entscheidung 2000/520/EG der Europäischen Kommission über die Angemessenheit des Schutzniveaus des Safe Harbor-Abkommens ist ungültig. Das heißt: Der sichere Hafen ist nicht so sicher, wie einst von der Kommission angenommen.
Das Urteil des EuGH geht aber noch darüber hinaus. Denn die Feststellung der Europäischen Kommission über die Angemessenheit des Schutzniveaus eines Drittlands hindern die nationalen Datenschutzbehörde nicht an der Prüfung der Angemessenheit des Schutzniveaus. Sie müssen auch die Eingabe einer Person prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten bezieht, wenn die Daten aus einem Mitgliedstaat in dieses Drittland übermittelt wurden und die Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisten.
Falschmeldungen in der Presse
Bei der Komplexität des Datenschutzrechts verwundert es nicht, dass die Entscheidung des EuGH Falschmeldungen nur so provoziert. Denn der EuGH hat weder festgestellt, dass Facebook keine Daten mehr in die USA übermitteln dürfe. Noch ist es anderen Unternehmen gänzlich verboten, auch die bisherigen Verfahren sind keineswegs „alle“ unzulässig. Leider stimmen auch zahlreiche Berufskollegen vorschnell auf den Kanon eines generellen Datenübermittlungsverbots in die USA ein.
Sie übersehen: Unter Einhaltung bestimmter Voraussetzungen sind Datenübermittlungen auch in die USA weiterhin möglich.
Was müssen Unternehmen beachten
Unternehmen sollten schrittweise vorgehen. Tatsächlich sollten sich Unternehmen bei der Planung und Umsetzung beraten lassen. Mit einem Musterformular ist es nicht getan. Zudem sollten sie sich aufgrund der Entscheidung des EuGH nunmehr auf verstärkte Kontrollen einstellen.
Im ersten Schritt ist festzustellen und zu analysieren, welche Datenströme tatsächlich bestehen. Betroffen können beispielsweise Kundendatenbanken und CRM-System sein ebenso wie Arbeitnehmerdatensätze. Welche Daten werden in das Ausland übermittelt, zu welchem Zweck und an wen? Was wird dort mit den Daten gemacht? Das sind nur einige Fragen dieser Analyse.
Im zweiten Schritt sind die rechtlichen Möglichkeiten auszuloten, mit denen sie ein angemessenes Datenschutzniveau herstellen können. In Betracht kommen der Abschluss eines Vertrags zwischen Datenexporteur und -importeur mit den hierfür vorgesehenen EU-Standardklauseln oder die Einführung von Binding Corporate Rules. „Früher“ kam eben zusätzlich noch das Vorgehen auf Grundlage des Safe Harbor-Abkommens für Unternehmen in den USA in Betracht.
Im dritten Schritt geht es letztlich an die Umsetzung.
Nicht zu vergessen ist, dass auch die gesetzlichen Erlaubnistatbestände eine Übermittlung weiterhin gestatten können, wenn sie vorliegen.
Die Schritte sind regelmäßig zu überprüfen, da sowohl tatsächliche Änderungen beispielsweise an den zu übermittelnden Daten oder den Empfängern, aber auch Änderungen der rechtlichen Vorgaben, Anpassungen erforderlich machen können. So wird spätestens die EU-Datenschutz-Grundverordnung weitere Neuerungen mit sich bringen.
Entscheidung des Gerichts (gekürzt):
1. Art. 25 Abs. 6 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in der durch die Verordnung (EG) Nr. 1882/2003 vom 29. September 2003 geänderten Fassung ist im Licht der Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union dahin auszulegen, dass eine aufgrund dieser Bestimmung ergangene Entscheidung wie die Entscheidung 2000/520/EG vom 26. Juli 2000 über die Angemessenheit des von den Grundsätzen des „sicheren Hafens“ und der diesbezüglichen „Häufig gestellten Fragen“ (FAQ) gewährleisteten Schutzes, eine Kontrollstelle eines Mitgliedstaats im Sinne von Art. 28 der Richtlinie nicht daran hindert, die Eingabe einer Person zu prüfen, die sich auf den Schutz ihrer Rechte und Freiheiten bei der Verarbeitung sie betreffender personenbezogener Daten, die aus einem Mitgliedstaat in dieses Drittland übermittelt wurden, bezieht, wenn diese Person geltend macht, dass das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten.
2. Die Entscheidung 2000/520 ist ungültig.