EuGH erklärt Daten­ab­kommen zwischen EU und USA („Safe Harbor“) für ungültig

Heute Morgen hat der Gerichtshof der Europäi­schen Union das Abkommen zum Austausch von Daten zwischen der USA und er EU für ungültig erklärt. Die Entscheidung (AZ.: C‑362/14) kam nicht unerwartet, nachdem der der General­anwalt des EuGH Yves Bot in seinem Schluss­antrag bereits die Auffassung vertrat. Der Wegfall dieses Abkommens, welches unter bestimmten Voraus­set­zungen den Transfer perso­nen­be­zo­gener Daten in die USA erlaubte, wird weitrei­chende Auswir­kungen nach sich ziehen.

Zum Hinter­grund: Grund­sätzlich ist der Transfer perso­nen­be­zo­gener Daten aus Mitglieds­staaten der Europäi­schen Union gemäß der Daten­schutz­richt­linie 95/46/EG in Dritt­staaten verboten, deren Daten­schutz­niveau nicht dem EU-Recht entspricht. Hierzu zählen unter anderem Die USA. Aus diesem Grund wurde ein Verfahren entwi­ckelt, welches einzelnen US-Unter­nehmen trotzdem den Daten­transfer zwischen der EU und den USA ermög­lichte. US-Unter­nehmen, die sich zur Befolgung der „Safe Harbor Principles“ nebst dazuge­hö­riger FAQ verpflich­teten, konnten sich beim US-Handels­mi­nis­terium in eine Liste eintragen und so dem „Safe Harbor“ beitreten. Im Jahr 2000 hat die EU-Kommission anerkannt, dass die diesem System beigetre­tenen Unter­nehmen ausrei­chenden Daten­schutz für EU-Bürger gewährleisten.

Diverse große Konzerne traten dem Safe Harbor abkommen bei und ermög­lichten so den für viele Geschäfts­mo­delle zwingend erfor­der­lichen Daten­transfer aus der EU in die USA. Hierzu zählen beispiels­weise: Facebook, Google, Dropbox, Amazon.com, Microsoft, IBM und viele andere (Insgesamt sind über 5400 US-Unter­nehmen dem Safe Harbor Abkommen beigetreten.)

Dem Safe Harbor Abkommen schob der EuGH heute mit deutlichen Worten einen Riegel vor. Die EU-Kommission war demnach nicht berechtigt, die Befug­nisse der natio­nalen Daten­schutz­be­hörden zu beschränken, wie durch den Beschluss im Jahr 2000 geschehen. Perso­nen­be­zogene Daten von EU-Bürgern seien in den USA nicht ausrei­chend vor behörd­lichen Zugriffen geschützt, so die EU-Richter.

Der EuGH stellte eingangs fest, dass die Daten­schutz­richt­linie keinerlei Bestimmung enthält, die nationale Daten­schutz­be­hörden an der Kontrolle der Übermitt­lungen perso­nen­be­zo­gener Daten in Dritt­länder hindert, die Gegen­stand einer Entscheidung der Kommission waren. Auch wenn die Kommission eine solche Entscheidung erlassen hat, müssen die natio­nalen Daten­schutz­be­hörden im Falle einer Beschwerde in völliger Unabhän­gigkeit prüfen können, ob bei der Übermittlung perso­nen­be­zo­gener Daten in ein Drittland die in der Richt­linie aufge­stellten Anfor­de­rungen gewahrt werden.

Eine Daten­über­mittlung in die USA allein auf Grundlage von „Safe Harbor“ ist damit nicht mehr zulässig. Betroffen sind hiervon nicht nur Unter­nehmen mit Sitz in den USA, sondern auch Unter­nehmen, die Daten lediglich in den USA speichern wollen. Hierzu zählen auch deutsche Unter­nehmen, die auf US-Dienste zurück­greifen. Ebenso wirkt sich die Entscheidung auf diverse Cloud-Dienst­an­bieter erheblich aus.

Für die Unter­nehmen, die ihre Daten­über­mitt­lungen bisher auf Safe Harbor Zerti­fi­zie­rungen der betrof­fenen Unter­nehmen in den USA gestützt haben, stellt sich nun die Frage, wie künftig der europäische Daten­schutz einge­halten werden kann, da andern­falls zivil­recht­liche, behörd­liche und ggf. sogar straf­recht­liche Sanktionen drohen. In Betracht kommt zunächst, die Einwil­ligung sämtlicher Nutzer einzu­holen, was jedoch aufwendig und unprak­ti­kabel wäre. Darüber hinaus sind solche Einwil­li­gungen jederzeit widerrufbar.

Um Safe Harbor zu ersetzen kommen in erster Linie die bereits heute häufig verwen­deten EU-Standard­ver­trags­klauseln in Betracht oder sog. Ad-hoc-Verträge, die jedoch von den Daten­schutz­be­hörden zu geneh­migen sind. Für den Daten­aus­tausch innerhalb des Konzerns kann zudem an sog. Binding Corporate Rules gedacht werden. Letztlich besteht die Möglichkeit, die Nieder­lassung oder den Server nach Europa zu verlegen, um den Transfer in einen Dritt­staat generell zu verhindern.

Die Betrof­fenen sind jetzt in der Pflicht. Lassen Sie sich recht­zeitig beraten, um den geset­zes­kon­formen Umgang mit den Daten Ihrer Kunden sicher­zu­stellen. Nehmen Sie Kontakt mit unseren Spezia­listen für Daten­schutz auf.

Foto: fotolia, sonjanovak