Das Safe-Harbor-Urteil des EuGH und seine Folgen

07.10.2015

Ausgangslage:

Grundsätzlich dürfen Daten an Dritte nur übermittelt werden, wenn der Betroffene ausdrücklich einwilligt oder mit dem Dritten eine Vereinbarung zur Auftragsdatenverarbeitung (ADV) abgeschlossen hat. Diese Vereinbarung ist nur mit Unternehmen innerhalb der EU möglich.

Außerhalb der EU gibt es Staaten, die über ein vergleichbares Schutzniveau wie innerhalb der EU verfügen. Diese sind beispielsweise Argentinien, Schweiz und Kanada. Mit Unternehmen aus diesen Staaten muss ein Vertrag mit den sogenannten EU-Standardvertragsklauseln zur Datenverarbeitung abgeschlossen werden.

Eine Sonderregelung gilt für die USA. Hier normiert das sogenannte Safe-Harbor-Abkommen datenschutzrechtliche Standards. Dieses Abkommen gilt jedoch nur für Firmen, die diesem Abkommen beigetreten sind.

Entscheidung:

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 06.10.2015 (Az.: C-362/14) entschieden, dass nach der geltenden Gesetzeslage Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten Vorrang vor der Safe-Harbor-Regelung haben, sodass die amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die in dieser Regelung vorgesehenen Schutzregeln unbeachtet zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen stehen.

Die amerikanische Safe-Harbor-Regelung ermöglicht daher Eingriffe der amerikanischen Behörden in die Grundrechte der Personen, ohne dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt.

Die amerikanischen Behörden greifen auf die aus den Mitgliedstaaten in die Vereinigten Staaten übermittelten personenbezogenen Daten zu und verarbeiten sie in einer Weise, die mit den Zielsetzungen ihrer Übermittlung unvereinbar sind und über das hinausgehen, was zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig gewesen wäre.

Es gibt auch keine Möglichkeit, in die Daten Einsicht zu nehmen und Einfluss auf die Verarbeitung und Löschung zu nehmen.

Der Gerichtshof fügt hinzu, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt.

Ferner führt der Gerichtshof aus, dass eine Regelung, die keine Möglichkeit für den Betroffenen vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt.

Folge:

Derzeit gibt es keine wirksame Grundlage für die Übermittlung von Daten in die USA. Daher ist ein Datentransfer in die USA nur möglich, wenn:

  • die Betroffenen ausdrücklich einwilligen oder
  • mit dem jeweiligen Unternehmen eine vertragliche Regelung mit den sogenannten EU-Standardvertragsklauseln besteht

Auch ist derzeit nicht sicher, ob ein Vertrag mit EU-Standardvertragsklauseln für einen Datenaustausch mit den USA ausreichend ist.

Nach derzeitigem Stand (Oktober 2015) wird die Datenschutzbehörde in Ansbach im Falle eines bereits bestehende Verfahrens derzeit nicht tätig, da zunächst eine einheitliche (wenn möglich europäische) Lösung gefunden werden muss.  

Es bleibt daher abzuwarten, wie sich die Datenschutzbehörden zu diesem Problem positionieren wird. Sofern gerade erst ein Datenaustausch begonnen werden soll, sollte ein Dienstleister gewählt werden, der seinen Sitz in der EU hat und ausschließlich Rechenzentren in der EU betreibt und keine Datensicherung in den USA durchführt. Es muss natürlich auch mit diesem Dienstleister eine Vereinbarung zur Auftragsdatenverarbeitung abgeschlossen werden.

 

 


Kategorien
    Ihr Ansprechpartner

    Oliver Fouquet

    Fachanwalt für Miet- und Wohnungseigentumsrecht
    Fachanwalt für Verkehrsrecht

    Unverbindlich anfragen