Reed Smith Client Alerts

Autoren: Cynthia O'Donoghue Daniel Kadar Doretta Frangaki Katalina Bateman Philip Thomas Thomas Fischl

Der EuGH hat die seit 15 Jahren gültige Vereinbarung zur Übermittlung personenbezogener Daten zwischen der EU und den USA für ungültig erklärt. Sie ist nun Gegenstand weiterer – mit “gebührender Sorgfalt” – durchzuführender Untersuchungen der nationalen Datenschutzbehörden der EU-Mitgliedstaaten.

Das EuGH-Urteil hat zur Folge, dass die Übermittlung jeglicher personenbezogener Daten zwischen der EU und den USA, sofern diese zuvor auf Grundlage des Safe-Harbor-Abkommens erfolgte, ab sofort ungültig ist. Ungeklärt bleibt aber, ob alternative Rechtsgrundlagen im Rahmen der Datenschutzrichtlinie (95/46/EG) noch Anwendung finden können.

Der EuGH entschied, dass die Europäische Kommission, die den nationalen Datenschutzbehörden im Rahmen der Charta der Grundrechte der Europäischen Union und der Datenschutzrichtlinie zustehende Entscheidungsvollmacht weder aufheben noch einschränken kann.

In einer Presserklärung vom 6. Oktober 2015 machte die Europäische Kommission keine Angaben über eine „Gnadenfrist“ für Unternehmen zur Einführung alternativer Datenabkommen. Sie versprach jedoch eine mit den nationalen Aufsichtsbehörden abgestimmte Antwort auf die Situation und verwies auf bestehende EU-Regelungen zum Datenschutz. Dies lässt jedoch wenig Spielraum für Unternehmen, die Daten aus der EU in die USA übermitteln müssen.

Die Fakten Nachdem Edward Snowden 2013 das systematische Abfangen von Daten durch den US-Nachrichtendienst NSA enthüllte, reichte Maximillian Schrems Beschwerde beim irischen Datenschutzbeauftragten ein. Seine Beschwerde hatte zum Inhalt, dass durch die Vorgehensweise des USGeheimdienstes der Schutz seiner personenbezogenen Daten auf Facebook nicht mehr gewährleistet werde.

Schrems Beschwerde wurde vom irischen Datenschutzbeauftragen abgewiesen – mit der Begründung, das Safe-Harbor-Abkommen der Europäischen Kommission biete ausreichenden Schutz bei der Übermittlung personenbezogener Daten in die USA. Der irische Datenschutzbeauftragte ging insbesondere davon aus, dass die Entscheidung der Europäischen Kommission ihn daran hindere, Schrems Beschwerde im Detail zu untersuchen.

Das EuGH-Urteil In seinem Urteil vom 6. Oktober 2015 entschied der EuGH, dass die Entscheidung der Europäischen Kommission, die den nationalen Datenschutzbehörden im Rahmen der Charta der Grundrechte der Europäischen Union und der Datenschutzrichtlinie zustehende Entscheidungsvollmacht weder aufheben noch einschränken kann. Selbst wenn eine Entscheidung durch die Kommission erlassen wurde, müssen die nationalen Aufsichtsbehörden eine Untersuchung durchführen dürfen, ob die Datenübermittlung den Anforderungen der Richtlinie entsprach.

Von zentraler Bedeutung für die Entscheidung des EuGH war, dass in den Vereinigten Staaten der Schutz der nationalen Sicherheit sowie das öffentliche Interesse und die Strafverfolgung höhere Priorität genießen als das Safe-Harbor-Abkommen. Folglich sind die US-Behörden sogar verpflichtet, die Safe-Harbor-Regelung uneingeschränkt zu missachten, sollte sie im Widerspruch zu nationalen Interessen stehen und nicht mit diesen zu vereinbaren sein.

Die Folgen des EuGH-Urteils für auf Safe-Harbor angewiesene Unternehmen Die EuGH-Entscheidung betrifft unmittelbar zwei Unternehmensmodelle: (i) Unternehmen, die nach Safe-Harbor zertifiziert sind, und (ii) Unternehmen, deren Verkäufer/Lieferanten nach Safe-Harbor zertifiziert sind. Erstere müssen alternative Methoden in Betracht ziehen, um Daten richtlinienkonform zu übermitteln, zum Beispiel durch EU-Standardvertragsklauseln, Binding Corporate Rules oder, falls möglich, die Einwilligung des Betroffenen. Somit könnte sich das Urteil auf die gesamte Lieferkette eines Unternehmens auswirken. Angesichts der stark vernetzten heutigen Welt, ist mit gravierenden Auswirkungen und wirtschaftlichen Folgen dieser Entscheidung zu rechnen.

In einer Pressekonferenz der Europäischen Kommission am 6. Oktober 2015 bestätigte der Erste Vizepräsident Frans Timmermans die Bereitschaft der Europäischen Kommission zur Fortsetzung des transatlantischen Datenaustauschs, jedoch mit angemessenen Schutzmaßnahmen. Kommissionsmitglied Věra Jourová betonte, anstelle von Safe-Harbor biete die Europäische Datenschutzregelung zusätzlich alternative Rechtfertigungsgrundlagen zur internationalen Datenübermittlung. Diese gelten auch für:

  • Übermittlung notwendig zur Erfüllung eines Vertrages
  • Übermittlung im öffentlichen Interesse
  • Übermittlung im überwiegenden Interesse des Einzelnen

Sowohl der Erste Vizepräsident Frans Timmermans als auch Kommissionsmitglied Věra Jourová erklärten, die Europäische Kommission werde den nationalen Aufsichtsbehörden Handlungsempfehlungen zur Verfügung stellen und in enger Zusammenarbeit eine einheitliche Antwort formulieren.

Weitere Auswirkungen? Das Urteil des EuGH betrifft zunächst nur die Entscheidung der Kommission zur Safe-Harbor-Regelung. Es ist aber davon auszugehen, dass die nationalen Aufsichtsbehörden die Entscheidung zum Anlass nehmen, auch die übrigen Mechanismen zur Datenübermittlung einer genaueren Überprüfung zu unterziehen.

Obwohl diese Gefahr auch für Binding Corporate Rules besteht, ist ihre Anfechtung eher unwahrscheinlich – sind sie doch das einzige Rechtsinstrument zur Übertragung personenbezogener Daten, welches ohnehin einer Zustimmung durch die nationalen Datenschutzbehörden bedarf. Binding Corporate Rules bieten jedoch keine schnelle Lösung des Problems, da die benötigten Genehmigungen bis zu 18 Monate in Anspruch nehmen können.

Die vollen Auswirkungen dieses Urteils werden daher erst im Laufe der kommenden Wochen deutlich werden. Zum jetzigen Zeitpunkt sind Unternehmen im rechtlichen Niemandsland auf sich allein gestellt und können die Datenübermittlung nicht auszusetzen. Stattdessen liegt der Fokus darauf, alternative Methoden zum internationalen Datenübertransfer so schnell wie möglich zu etablieren.

Reinkarnation von Safe Harbor Auf der Pressekonferenz bestätigten sowohl Timmermans als auch Jourová, dass die Verhandlungen mit den Vereinigten Staaten zum Safe-Harbor-Abkommen fortgesetzt würden. Ein konkretes Datum für den Abschluss der Verhandlungen hat Kommissionsmitglied Jourová jedoch nicht angegeben. Da die Verhandlungen auch von der US-amerikanischen Gesetzgebung abhängig sind, scheint es zur Zeit nicht ratsam, darauf zu warten, dass der „Safe-Harbor-Phönix“ aus der Asche aufsteigt.