Sergey Nivens - Fotolia

Werden Datenübermittlungen in die USA unmöglich?

Die Rechtsunsicherheit bei der Übermittlung personenbezogener Daten durch europäische Unternehmen in die USA könnte sich in Zukunft verschärfen.

Nachdem der Europäische Gerichtshof (EuGH) im Oktober 2015 das sogenannte „Safe Harbor“-Konzept für unwirksam erklärt hatte, kündigte die irische Datenschutzbehörde im Mai 2016 an, eine weitere Gestaltungsmöglichkeit für internationale Datenübermittlungen – die „EU-Standardvertragsklauseln“ – durch ein irisches Gericht überprüfen zu lassen. Wie schon in dem gleichfalls von der Behörde in Irland initiierten Safe-Harbor-Fall wird auch diese Entscheidung wohl letztlich durch den EuGH getroffen werden.

Die Bedenken gegen die EU-Standardvertragsklauseln sind nicht neu: Schon im Anschluss an die Safe-Harbor-Entscheidung hatten die europäischen Datenschutzbehörden Bedenken angemeldet. Die irische Behörde treibt eine abschließende Klärung nun voran.

Fallen auch die EU-Standardvertragsklauseln bei der gerichtlichen Prüfung durch, entfällt eine in der Praxis höchst relevante Gestaltungsmöglichkeit, und die Auswirkungen für europäische Unternehmen könnten erheblich sein.

Worum geht es?

Die EU-Datenschutzrichtlinie und die nationalen Datenschutzgesetze in den EU-Mitgliedsstaaten erlauben eine Übermittlung personenbezogener Daten an Empfänger außerhalb der EU nur dann, wenn bei diesen Empfängern ein „angemessenes Datenschutzniveau“ herrscht, das dem Rechtsrahmen innerhalb der EU vergleichbar ist. Ohne ein solches angemessenes Datenschutzniveau ist die Datenübermittlung nur in wenigen, eng definierten Ausnahmefällen erlaubt. Für einige Drittstaaten hat die EU-Kommission ein angemessenes Datenschutzniveau allgemein festgestellt. Hierzu gehören Andorra, Argentinien, Kanada, die Schweiz, die Faröer-Inseln, Guernsey, Israel, die Isle of Man, Jersey, Neuseeland und Uruguay.

Für Datenübermittlungen in die USA galt bis Oktober 2015 das Safe-Harbor-Konzept als Sonderfall: Dabei konnten personenbezogene Daten aus der EU in die USA übermittelt werden, wenn die dortigen Empfänger im Rahmen einer Selbstzertifizierung erklären, bestimmte Voraussetzungen zur Einhaltung eines angemessenen Datenschutzniveaus zu erfüllen. Die entsprechende Entscheidung der EU-Kommission hatte der EuGH mit seiner weithin beachteten Entscheidung für unwirksam erklärt.

Für die Datenübermittlung in Drittstaaten (einschließlich der USA) standen bislang weitere Gestaltungsmöglichkeiten zur Verfügung: Datenübermittlungen innerhalb von Unternehmensgruppen konnten durch verbindliche Unternehmensregelungen („Bindung Corporate Rules“) gerechtfertigt werden, die in der Regel durch die jeweiligen Aufsichtsbehörden genehmigt werden mussten. Neben Einzelfallgenehmigungen der Aufsichtsbehörden spielten vor allem die EU-Standardvertragsklauseln eine Rolle. Hierbei wurde das erforderliche „angemessene Datenschutzniveau“ durch vertragliche Vereinbarungen auf Grundlage von durch die EU-Kommission vorgegebener Vertragsmuster hergestellt.

Warum sind die EU-Standardvertragsklauseln so relevant?

Zahlreiche europäische Unternehmen haben die Übermittlung personenbezogener Daten in Drittstaaten (einschließlich der USA) bereits vor der Safe-Harbor-Entscheidung auf die EU-Standardvertragsklauseln gestützt. Ein wesentlicher Vorteil für deutsche Unternehmen bestand darin, dass die EU-Standardvertragsklauseln – jedenfalls bei unveränderter Verwendung der vorgegebenen Vertragsmuster – nicht von den Aufsichtsbehörden genehmigt werden mussten. Die Klauseln ließen sich deshalb mit vergleichsweise überschaubarem Aufwand implementieren. Relevant waren diese Gestaltungsmöglichkeit überdies nicht nur für Unternehmen, die personenbezogene Daten beispielsweise an eine Niederlassung oder ein Konzernunternehmen in den USA übermittelten. Auch Dienstleister in den USA, die europäischen Kunden Cloud- oder Software-as-a-Service-Anwendungen zur Verfügung stellen und hierbei personenbezogene Daten verarbeiten, boten (häufig proaktiv) Verträge unter Verwendung der EU-Standardvertragsklauseln an.

Die Nutzung der EU-Standardvertragsklauseln hat sich dann nach dem Safe-Harbor-Urteil des EuGH nochmals intensiviert. Unternehmen und Dienstleister, die Datenübermittlungen oder -zugriffe durch eine Safe-Harbor-Zertifizierung beim Empfänger legitimierten, wichen auf die EU-Standardvertragsklauseln aus. Dies war und ist die wohl sicherste Alternative für eine rechtskonforme Datenübermittlung, da die europäischen Aufsichtsbehörden die Verwendung der Klauseln vorläufig jedenfalls grundsätzlich tolerieren.

Welche rechtlichen Bedenken bestehen gegen die EU-Standardvertragsklauseln?

Diese vorläufige Tolerierung durch die Aufsichtsbehörden kann indes nicht darüber hinwegtäuschen, dass auch gegen die EU-Standardvertragsklauseln unmittelbar nach der Safe-Harbor-Entscheidung rechtliche Bedenken geltend gemacht wurden. Denn die Gründe für die Unwirksamkeit des Safe-Harbor-Konzepts lassen sich nach Auffassung vieler Datenschutzexperten nahezu unverändert auch auf die EU-Standardvertragsklauseln übertragen.

Der EuGH hatte das Safe-Harbor-Konzept für unwirksam erklärt, weil auch Safe-Harbor-zertifizierte Empfänger im Zweifel verpflichtet seien, US-Behörden den Zugriff auf personenbezogene Daten zu gewähren. Zudem seien die Befugnisse der US-Behörden – insbesondere der Geheimdienste – im Hinblick auf die anlasslose Überwachung jeglicher elektronischer Kommunikation und die fehlenden Rechtsschutz-, Berichtigungs- und Löschungsmöglichkeiten für EU-Bürger mit den Wertungen des europäischen Rechts nicht zu vereinbaren.

Gegen diese im US-Recht verankerten Befugnisse der US-Behörden bieten auch die EU-Standardvertragsklauseln keinen verlässlichen Schutz. Denn ein Empfänger personenbezogener Daten in den USA ist auch aufgrund der Klauseln nicht verpflichtet, gegen die für ihn geltenden US-Gesetze zu verstoßen und zum Beispiel Aufforderungen von US-Behörden zur Herausgabe personenbezogener Daten nicht nachzukommen oder den Zugriff von US-Behörden auf personenbezogene Daten zu verhindern.

Ob die Wertungen der Safe Harbor-Entscheidung tatsächlich auch gegen eine Wirksamkeit der EU-Standardvertragsklauseln (beziehungsweise der entsprechenden Entscheidungen der EU-Kommission) sprechen, wird nun auf Veranlassung der irischen Aufsichtsbehörde zunächst durch ein irisches Gericht und sodann durch den EuGH geprüft werden.

Welche Möglichkeiten hätten Unternehmen, wenn die EU-Standardvertragsklauseln unwirksam sind?

Das ist noch nicht absehbar. Denn die EU-Kommission hat nach der Safe-Harbor-Entscheidung des EuGH mit ihren US-Verhandlungspartnern über ein Nachfolgekonzept verhandelt. Getrieben durch eine von den europäischen Aufsichtsbehörden gesetzte Frist wurde Anfang Februar 2016 der „EU US Privacy Shield“ präsentiert. Auch dieser folgt dem schon vom Safe Harbor-Konzept bekannten Grundprinzip der Selbstzertifizierung auf Grundlage eines definierten Regelwerks.

Allerdings soll die Einhaltung der Regeln besser überwacht und die Nichteinhaltung stärker sanktioniert werden. Zudem versichert die US-Seite, dass der Zugriff auf Daten durch US-Behörden klaren Beschränkungen, Sicherungs- und Überprüfungsmechanismen unterliegt und keine Massenüberwachung stattfindet. Die Einhaltung dieser Zusicherung soll eine jährliche Überprüfung unter Einbeziehung der europäischen Datenschutzbehörden sicherstellen. Der Datenschutzschild sieht überdies erweiterte Rechtsschutzmöglichkeiten für EU-Bürger vor: Diese sollen sich bei möglichen Datenzugriffen durch US-Behörden an einen Ombudsmann wenden und Ansprüche auch vor US-Gerichten geltend machen können.

Zwischenzeitlich haben sowohl die europäischen Aufsichtsbehörden als auch der EU-Datenschutzbeauftragte erhebliche Kritik auch an dem Nachfolgekonzept geäußert. Ohne signifikante Nachbesserungen steht zu erwarten, dass die europäischen Aufsichtsbehörden keine abschließende zustimmende Einschätzung zum Datenschutzschild geben; eine gerichtliche Prüfung auch des neuen Konzepts durch den EuGH steht zu erwarten. Auch dieser Schritt könnte – wie im Safe Harbor- und im EU-Standardvertragsklausel-Fall – durch einzelne nationale Datenschutzbehörden initiiert werden.

„Betroffene Unternehmen mit Sitz in der EU sollten die weitere Entwicklung zu rechtskonformen Datentransfers an Empfänger außerhalb der EU aufmerksam verfolgen.“

 Michael Kamps, CMS Hasche Sigle

Für europäische Unternehmen, die personenbezogene Daten in die USA übermitteln müssen oder die Leistungen von Dienstleistern in den USA in Anspruch nehmen, könnte sich die Anzahl der zur Verfügung stehenden Gestaltungsmöglichkeiten für rechtskonforme Datenübermittlungen deshalb erheblich reduzieren. Dies betrifft vor allem diejenigen Unternehmen, für die eine Datenverarbeitung ausschließlich innerhalb der EU keine praktikable Alternative ist.

Wie geht es jetzt weiter?

Nach der Ankündigung der irischen Aufsichtsbehörde im Mai 2016 wird diese wohl zunächst das Verfahren vor dem irischen High Court initiieren. Wie lange dieses Verfahren dauern wird, ist ebenso wenig verlässlich abzusehen wie der Zeitraum bis zu einer möglichen Entscheidung des EuGH in dieser Sache. Als Anhaltspunkt mag der Zeitraum für die EuGH-Entscheidung zu Safe Harbor dienen: Seinerzeit wurde das Vorabentscheidungsersuchen im Juli 2014 beim EuGH eingereicht, bis zur Entscheidung am 6. Oktober 2015 vergingen demnach rund 15 Monate.

Betroffene Unternehmen mit Sitz in der EU sollten die weitere Entwicklung zu rechtskonformen Datentransfers an Empfänger außerhalb der EU aufmerksam verfolgen. Dies gilt insbesondere für Verlautbarungen der europäischen und der zuständigen nationalen Datenschutzbehörden – denn diese werden letztlich für die Durchsetzung der datenschutzrechtlichen Regelungen gegenüber Unternehmen zuständig sein.

Über den Autor:
Michael Kamps ist Rechtsanwalt bei der Wirtschaftskanzlei CMS Hasche Sigle und berät schwerpunktmäßig im Datenschutzrecht.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über Datenschutz und Compliance

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close