Der EuGH hat das Safe-Harbour-Abkommen mit den USA praktisch gekippt. Werden Facebook, Google und Co. nach einem entsprechenden Urteil den Datenverkehr auf ihre US-Server einstellen?
Die praktische Konsequenz ist, dass eine Datenweitergabe entweder auf einer anderen Grundlage wie bspw. unternehmensweite verbindliche Verhaltensregeln (Binding Corporate Rules) oder den sog. EU-Standardverträgen gestützt werden oder eben jeder einzelne Betroffene wirksam einwilligen muss. Es sind hieran aber jeweils bestimmte Anforderungen geknüpft, die nicht „im Handumdrehen“ umgesetzt werden könnten.
Eine weitere Möglichkeit ist eine Überarbeitung der Safe-Harbor-Regelungen zwischen EU-Kommission und der US Federal Trade Commission, welche die durch den EuGH angesprochenen Mängel nicht aufweist.
Die Reichweite der Entscheidung ist nicht zu unterschätzen. Sie betrifft nach deutschem Rechtsverständnis nicht nur den „klassischen“ Datentransfer in die USA sondern auch Zugriffe aus den USA auf personenbezogene Daten in der EU. Jedes europäische Unternehmen, das Hard- oder Software einsetzt, bei der im Supportfall (auch) Expertenteams aus den USA hinzugezogen werden müssen, muss sich nun damit befassen, wenn deren Einbeziehung bisher auf einer Safe-Harbor-Regelung basiert. Hier lässt sich aber leichter als beim Datenaustausch eine gewisse Zeit mit sog. „work arounds“ überbrücken. Eine Konsequenz, die alle Beteiligten auf politischer Ebene zu unverzüglichem Handeln anregen sollte.
Der Umgang der US-Internetriesen mit persönlichen Daten widerspricht eigentlich dem strengeren EU-Datenschutz – die für Facebook zuständige irische Behörde berief sich jedoch auf das bislang bestehende Safe-Harbor-Abkommen der EU-Kommission. Woher kommt dieses Durcheinander?
Diese Unübersichtlichkeit ist dem bisherigen System der innerhalb Europas national zuständigen Datenschutzaufsichtsbehörden und auch einem bislang unterschiedlichen Datenschutzverständnis zwischen Europa und den USA geschuldet. Vereinfacht gesagt gilt durch den Sitz von Facebook in Irland die irische Datenschutzaufsicht als die zuständige Behörde – für alle Bürger der EU. Wie im entschiedenen Fall muss sich ein Bürger aus Österreich mit deren Entscheidungen zufrieden geben, ohne dass sich diese Aufsichtsbehörde mit der in Österreich abstimmen muss.
Die EU-Kommission kann unabhängig davon sogenannte Drittländer, die außerhalb des europäischen Datenschutzrechtsrahmens liegen, als sicheres Drittland erklären. Eine Datenweitergabe in ein sicheres Drittland ist dann grundsätzlich ohne weitere Maßnahmen zulässig. Für Unternehmen in den USA beruht diese Entscheidung über ein angemessenes Datenschutzniveau auf einer Absprache der EU-Kommission mit der US Federal Trade Commission aus dem Jahr 2000 und setzt voraus, dass sich Unternehmen dort nach festgelegten Kriterien selbst zertifizieren, um sich auf eine angemessenes Datenschutzniveau berufen zu können. Natürlich ist darüber hinaus noch eine rechtliche Zulässigkeitsregelung für die Weitergabe an sich erforderlich, wie bspw. Abwägung der Interessen zwischen verantwortlicher Stele und den Rechten und Interessen des Betroffenen.
Ein neues sogenanntes Safe-Harbor-Abkommen zwischen der EU und der USA wird gerade verhandelt. Was sollte darin stehen - bzw. sollte ein solches Abkommen überhaupt geben?
Es ist jede Regelung zu begrüßen, die es Unternehmen unter Wahrung der Rechte der Betroffenen ermöglicht, personenbezogene Daten auszutauschen. Ein solches Abkommen ist zu begrüßen. Wünschenswerter wäre es zwar, dass es einen Angemessenheitsbeschluss der EU-Kommission für die gesamte USA geben könnte, aber davon sind wir derzeit weit entfernt. Ein überarbeitetes Safe-Harbor-Abkommen müsste zunächst die seitens des Gerichts bemängelten Unzulänglichkeiten korrigieren.
Auf EU-Ebene wird zudem gerade an einer Datenschutzreform gearbeitet. Was sind Ihre wichtigsten Mindestanforderungen an eine neue Verordnung?
Die Europäische Datenschutzgrundverordnung (EU-DSGVO) muss das Vertrauen der Bürgerinnen und Bürger in eine ordnungsgemäße Datenverarbeitung unter Wahrung der Grundrechte rechtfertigen. Dies bedingt nach unserer Auffassung, dass die Elemente aus Art. 8 der Charta der Grundrechte wie das Verbot mit Erlaubnisvorbehalt und die Zweckbindung sich in der EU-DSGVO wiederfinden. Es finden sich in der zukünftigen EU-DSGVO viele positive Regelungen, wie beispielsweise eine Vorschrift, dass sich die europäischen Aufsichtsbehörden abstimmen sollten, wenn bei Fragestellungen auch Bürger in anderen Ländern davon betroffen sind.
Auch hier gibt die Entscheidung des EuGH zu Safe Harbor einen wichtigen Hinweis: Der EuGH stärkt die Unabhängigkeit der nationalen Datenschutzaufsichtsbehörde gegenüber der EU-Kommission. Vereinfacht gesagt sind die nationalen Datenschutzaufsichtsbehörden nicht „blind“ an die Festlegungen der Kommission gebunden. Sie können selbst die Angemessenheit des Datenschutzniveaus in einem Drittstaat prüfen. Sie müssen dann gerichtliche Hilfe in Anspruch nehmen, denn die Verwerfung einer Entscheidung der EU-Kommission obliegt dennoch weiterhin dem EuGH. Aber das darf künftig auch nicht dazu führen, dass Mehrheitsentscheidungen der Gremien der europäischen Aufsichtsbehörden nicht möglich sind. Ein Fleckenteppich unterschiedlicher Ansichten und Handhabungen in Bezug auf datenschutzrechtliche Zulässigkeiten abhängig vom jeweiligen Zuständigkeitsbereich einer Aufsichtsbehörde entspricht nicht den Erfordernissen der Wirtschaft und der Betroffenen nach Rechtssicherheit.
Weitere wichtige Punkte, die aus unserer Sicht berücksichtigt werden sollten, sind die Beibehaltung von Instrumentarien, die sich bewährt haben, wie ein betrieblicher Datenschutzbeauftragter, der den Unternehmen in Eigenverantwortung eine fachliche Unterstützung gewährleistet und die Aufsichtsbehörden entlastet. Für die Betroffenen wird dadurch mit minimalem Aufwand ein maximaler Schutzbereich sichergestellt. Hier zeichnet sich ab, dass nicht jedes Mitgliedsland dieses System verstanden hat, es erscheint aber denkbar, dass es eine Öffnungsklausel für Mitgliedsländer gibt, die hier eine Erleichterung in den Verfahren sicherstellen möchten.