Heute Morgen hat der Gerichtshof der Europäischen Union das Abkommen zum Austausch von Daten zwischen der USA und er EU für ungültig erklärt. Die Entscheidung (AZ.: C‑362/14) kam nicht unerwartet, nachdem der der Generalanwalt des EuGH Yves Bot in seinem Schlussantrag bereits die Auffassung vertrat. Der Wegfall dieses Abkommens, welches unter bestimmten Voraussetzungen den Transfer personenbezogener Daten in die USA erlaubte, wird weitreichende Auswirkungen nach sich ziehen.
Zum Hintergrund: Grundsätzlich ist der Transfer personenbezogener Daten aus Mitgliedsstaaten der Europäischen Union gemäß der Datenschutzrichtlinie 95/46/EG in Drittstaaten verboten, deren Datenschutzniveau nicht dem EU-Recht entspricht. Hierzu zählen unter anderem Die USA. Aus diesem Grund wurde ein Verfahren entwickelt, welches einzelnen US-Unternehmen trotzdem den Datentransfer zwischen der EU und den USA ermöglichte. US-Unternehmen, die sich zur Befolgung der „Safe Harbor Principles“ nebst dazugehöriger FAQ verpflichteten, konnten sich beim US-Handelsministerium in eine Liste eintragen und so dem „Safe Harbor“ beitreten. Im Jahr 2000 hat die EU-Kommission anerkannt, dass die diesem System beigetretenen Unternehmen ausreichenden Datenschutz für EU-Bürger gewährleisten.
Diverse große Konzerne traten dem Safe Harbor abkommen bei und ermöglichten so den für viele Geschäftsmodelle zwingend erforderlichen Datentransfer aus der EU in die USA. Hierzu zählen beispielsweise: Facebook, Google, Dropbox, Amazon.com, Microsoft, IBM und viele andere (Insgesamt sind über 5400 US-Unternehmen dem Safe Harbor Abkommen beigetreten.)
Dem Safe Harbor Abkommen schob der EuGH heute mit deutlichen Worten einen Riegel vor. Die EU-Kommission war demnach nicht berechtigt, die Befugnisse der nationalen Datenschutzbehörden zu beschränken, wie durch den Beschluss im Jahr 2000 geschehen. Personenbezogene Daten von EU-Bürgern seien in den USA nicht ausreichend vor behördlichen Zugriffen geschützt, so die EU-Richter.
Der EuGH stellte eingangs fest, dass die Datenschutzrichtlinie keinerlei Bestimmung enthält, die nationale Datenschutzbehörden an der Kontrolle der Übermittlungen personenbezogener Daten in Drittländer hindert, die Gegenstand einer Entscheidung der Kommission waren. Auch wenn die Kommission eine solche Entscheidung erlassen hat, müssen die nationalen Datenschutzbehörden im Falle einer Beschwerde in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung personenbezogener Daten in ein Drittland die in der Richtlinie aufgestellten Anforderungen gewahrt werden.
Eine Datenübermittlung in die USA allein auf Grundlage von „Safe Harbor“ ist damit nicht mehr zulässig. Betroffen sind hiervon nicht nur Unternehmen mit Sitz in den USA, sondern auch Unternehmen, die Daten lediglich in den USA speichern wollen. Hierzu zählen auch deutsche Unternehmen, die auf US-Dienste zurückgreifen. Ebenso wirkt sich die Entscheidung auf diverse Cloud-Dienstanbieter erheblich aus.
Für die Unternehmen, die ihre Datenübermittlungen bisher auf Safe Harbor Zertifizierungen der betroffenen Unternehmen in den USA gestützt haben, stellt sich nun die Frage, wie künftig der europäische Datenschutz eingehalten werden kann, da andernfalls zivilrechtliche, behördliche und ggf. sogar strafrechtliche Sanktionen drohen. In Betracht kommt zunächst, die Einwilligung sämtlicher Nutzer einzuholen, was jedoch aufwendig und unpraktikabel wäre. Darüber hinaus sind solche Einwilligungen jederzeit widerrufbar.
Um Safe Harbor zu ersetzen kommen in erster Linie die bereits heute häufig verwendeten EU-Standardvertragsklauseln in Betracht oder sog. Ad-hoc-Verträge, die jedoch von den Datenschutzbehörden zu genehmigen sind. Für den Datenaustausch innerhalb des Konzerns kann zudem an sog. Binding Corporate Rules gedacht werden. Letztlich besteht die Möglichkeit, die Niederlassung oder den Server nach Europa zu verlegen, um den Transfer in einen Drittstaat generell zu verhindern.
Die Betroffenen sind jetzt in der Pflicht. Lassen Sie sich rechtzeitig beraten, um den gesetzeskonformen Umgang mit den Daten Ihrer Kunden sicherzustellen. Nehmen Sie Kontakt mit unseren Spezialisten für Datenschutz auf.
Foto: fotolia, sonjanovak