Eintrag markiert ‘EuGH’

EuGH erklärt Safe Harbor für ungültig – und nun?

Donnerstag, 8. Oktober 2015

Nachdem der EuGH das Safe-Harbor-Abkommen zwischen der EU und den USA faktisch als keine zulässige Grundlage für eine Datenübermittlung in die USA sieht, stellt sich für Unternehmen nun die Frage, welche Grundlagen es geben könnte.

Generell gibt es vier weitere Möglichkeiten, die als rechtliche Grundlage für eine Übermittlung dienen könnten:

  1. Eine gesetzliche Ausnahme nach §4c (1) BDSG besteht, wenn der „Betroffene seine Einwilligung gegeben hat“. Inzwischen wird jedoch diskutiert, ob eine solche Einwilligung gültig gegeben werden kann. Eine wirksame Einwilligung setzt voraus, dass der Betroffene sich der Tragweite seiner Einwilligung bewusst ist. Und es ist fraglich, ob der „Durchschnittsbürger“ sich der Auswirkungen der Einwilligung angesichts der umfassenden staatlichen Überwachung, dem Verzicht auf Rechtsschutz und Auskunftsrecht bewusst ist oder bewusst sein kann.
  2. Die zweite Ausnahme erlaubt „die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind“. Ist also eine solche Übertragung für die Vertragserfüllung zwingend erforderlich, so ist diese erlaubt. Ein Beispiel wäre z. B. die Buchung eines Zimmers in einem Hotel in den USA über eine deutsche Buchungsplattform.
  3. Auf die weiteren gesetzlichen Ausnahmen, bei juristischen Auseinandersetzungen, bei öffentlichem Interesse und bei Gefahr für Leib und Leben des Betroffenen gehe ich hier nicht weiter ein.
  4. Ferner ist die Datenübertragung erlaubt, wenn im Vertrag zwischen den Unternehmen die EU-Standardvertragsklauseln wörtlich verwendet wurden. Jedoch wurden auch diese Klauseln von der Europäischen Kommission erstellt – und genau hier liegt ja der Kritikpunkt des EuGH. Es könnte also durchaus sein, der der EuGH auch die EU-Standardvertragsklauseln als pauschale Erlaubnis für eine Datenübermittlung als nicht ausreichend betrachtet.
  5. Die letzte Ausnahme betrifft den Fall der konzerninternen Datenübermittlung. Wenn es sogenannte „Binding Corporate Rules“, also verbindliche Konzernregeln gibt, die sicherstellen, dass das europäische Datenschutznivau eingehalten wird, ist eine Übermittlung erlaubt. Aber eben angesichts der juristischen Situation in den USA mit den entsprechenden Verpflichtungen für US-Unternehmen, mit den dortigen Behörden zusammen zu arbeiten und angesichts der behördlichen Überwachungsmaßnahmen stellt sich auch hier die Frage, ob es solche Regeln aktuell geben kann.

Fazit

Der meines Erachtens nach einzig zulässige Weg, personenbezogene Daten in die USA zu übermitteln, führt, wenn nicht eine der oben aufgeführten gesetzlichen Ausnahmen nach Punkt 2 oder Punkt 3 gegeben ist, über die Einwilligung des Betroffenen unter umfassender Aufklärung des Betroffenen, eine Aufklärung, die angesichts der Komplexität der Materie kaum geleistet werden kann. Doch wie sollen Unternehmen nun agieren? Sollen sie schlagartig alle Verträgen mit US-Unternehmen fristlos kündigen? Oder sollen sie weiter machen wie bisher? Die konkreten Handlungsempfehlungen folgen in einem weiteren Artikel.

EuGH erklärt Safe Harbor für ungültig – eine erste Analyse

Dienstag, 6. Oktober 2015

In der Rechtssache C-362/14 (Maximillian Schrems gegen die irische Datenschutz-Aufsichtsbehörde bzgl. der Datenübermittlung in die USA innerhalb des Facebook-Konzerns) ist der Europäische Gerichtshof (EuGH) der Einschätzung des Generalanwaltes Yves Bot weitgehend gefolgt. Er „erklärt die Entscheidung der der [europäischen] Kommission, dass die Vereinigten Staten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig“. Er stellt fest, dass die europäische Kommission kein Recht hat, „die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union und der Richtlinie verfügen, [… zu …] beseitigen noch auch nur [zu] beschränken“. Dies bedeutet, dass es den nationalen Datenschutzbehörden zu beurteilen zukommt, ob in einem Land, in das personenbezogene Daten übermittelt werden sollen, ein angemessenes Datenschutzniveau herrscht.

Das Prüfungsrecht, ob in einem Land außerhalb der EU ein angemessenes Datenschutzniveaus besteht, obliegt also den nationalen Datenschutzbehörden – und nicht der Europäischen Kommission.

Der EuGH stellt nicht fest, dass eine Übermittlung personenbezogener Daten in die USA generell nicht möglich ist. Er stellt lediglich fest, dass dies von den zuständigen nationalen Behörden überprüft werden muss (weiter aus der Pressemeldung zu dem Urteil):

Aus all diesen Gründen erklärt der Gerichtshof die Entscheidung der Kommission vom 26. Juli 2000 für ungültig. Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.

Zwischen den Zeilen der Pressemeldung geht jedoch hervor, dass Seitens des EuGH zumindest erhebliche Skepsis hinsichtlich des Datenschutzniveaus in den USA vorliegt, da „die amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die in dieser Regelung vorgesehenen Schutzregeln [Safe-Harbour] unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen [Erfordernisse der nationalen Sicherheit] stehen.“

Der EuGH stellt ferner fest, „dass eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt. Eine solche Möglichkeit ist dem Wesen eines Rechtsstaats inhärent.“

Für Unternehmen bedeutet dies, dass Übermittlungen von personenbezogenen Daten, die auf der Basis des Safe-Harbour-Abkommens begründet wurden, mit an Sicherheit grenzender Wahrscheinlichkeit rechtswidrig sein werden.

Doch gibt es trotzdem Möglichkeiten, US-amerikanische Cloud-Dienstleister zu nutzen oder Daten an die eigene Tochter- / Mutterfirma in die USA zu übermitteln? Lesen Sie dies im zweiten Teil des Artikels.