Die Ära nach Safe Harbor – Wie die Datenschutzbehörden den EuGH verstehen
Der Europäische Gerichtshof (EuGH) hat in einer weitreichenden Entscheidung vom 06. Oktober 2015 das so genannte „Safe Harbor“-Abkommen zwischen der Europäischen Union und den USA gekippt (wir berichteten).
Damit ist eine der wichtigsten und praktisch relevantesten Wege zur Ermöglichung eines transatlantischen Transfers personenbezogener Daten weggefallen. Damit stellt sich für deutsche Unternehmen die Frage, ob und unter welchen Voraussetzungen ein Transfer von personenbezogenen Daten in die USA noch zulässig ist.
Was bisher möglich war:
Grundsätzlich sahen das europäische und deutsche Datenschutzrecht vier Möglichkeiten vor, den Datentransfer in die USA zu legalisieren:
- Die Zertifizierung als „Safe Harbor“ konformes Unternehmen auf Seiten des amerikanischen Datenverarbeiters. Diese Möglichkeit ist seit der Entscheidung des EuGH vom 06. Oktober 2015 weggefallen.
- Die sogenannten „Binding Corporate Rules“: Hierbei handelt es sich um intern und extern verbindliche Regelungswerke, die innerhalb eines Konzerns aufgestellt werden und den Datentransfer und die Verarbeitung behandeln. Die „Binding Corporate Rules“ selber sind nicht genehmigungspflichtig, die darauf beruhenden Transfers aber schon.
- Vertragliche Regelungen zwischen Datenexporteur und Datenverarbeiter. Hier ist zu differenzieren zwischen „normalen“ Regelungen, die der Genehmigung durch die Datenschutzbehörden bedürfen, und den „EU-Model Clauses“. Bei den Model Clauses handelt es sich um von der Kommission aufgestellte Musterklauseln. Bei Verwendung dieser Musterklauseln bedarf es nach bisheriger Behördenpraxis keiner weiteren Genehmigung des Datentransfers mehr.
- Eine Einwilligung des/der Betroffenen. Diese Möglichkeit ist jedoch oft nicht praktikabel, da hohe Hürden hinsichtlich der Wirksamkeit einer Einwilligung bestehen und diese jederzeit widerruflich ist. Problematisch ist weiter oft, dass Einwilligungen nur eine konkrete Verarbeitungssituation erfassen. Ändert sich die Struktur des Datentransfers bedürfte es einer neuen Einwilligung.
Das sagen die Behörden
Im Nachgang zu dem EuGH-Urteil haben sich mittlerweile Datenschutzbehörden zu dessen Folgen geäußert. Dabei zeichnet sich ab, dass die Behörden im Lichte der Entscheidung nicht bloß Safe Harbor kritisch beurteilen, sondern vielmehr einen kritischen Blick auf alle bisher bestehenden Möglichkeiten werfen. Dies rückt für die betroffenen Unternehmen umso mehr die Frage in den Fokus, wie sie zukünftig mit Datentransfers in die USA umgehen sollen.
Als erster Akteur hat sich die Europäische Kommission in ihrer Presseerklärung vom 06. Oktober 2015 zu dem Thema geäußert. Sie hat noch ausdrücklich betont, dass aus ihrer Sicht die anderen Mechanismen (Einwilligung, Model Clauses und Binding Corporate Rules) auch nach dem Wegfall von „Safe Harbor“ ihre Gültigkeit behalten.
Ganz anders äußerte sich jedoch das Unabhängige Landeszentrum für Datenschutz Schleswig Holstein (ULD). Diese hat am 14. Oktober 2015 ein Positionspapier veröffentlicht, in dem es die sehr radikale Auffassung vertritt, dass keine der bisherigen Möglichkeiten im Lichte der Safe-Harbor-Entscheidung noch Bestand haben kann. Ein Datentransfer in die USA wäre damit faktisch nicht mehr zulässig.
Zu beachten ist allerdings, dass es sich bei diesem Positionspapier um einen Alleingang des ULD handelte, der offensichtlich nicht mit den übrigen Datenschützern in Deutschland abgestimmt war.
Wesentlich moderater äußerte sich kurz darauf die Article 29 Working Party. Bei dieser praktisch enorm bedeutenden Organisation handelt es sich um den Zusammenschluss aller europäischen Datenschutzbehörde. Diese haben am 16. Oktober 2015, folgende Stellung bezogen: Eine Überprüfung der anderen Möglichkeiten im Lichte der EuGH-Entscheidung ist erforderlich. Gleichzeitig soll aber in erster Linie eine politische Lösung gefunden werden, daher werde eine Empfehlung der Working Party erst im Januar 2016 erfolgen. Bis dahin werden Datentransfers auf den oben genannten Grundlagen (ausgenommen „Safe Harbor“) als zulässig erachtet.
Die bislange letzte Stellungnahme stammt vom heutigen Tage. In seiner Stellungnahme vom 26. Oktober 2015 erklärt die Datenschutzkonferenz des Bundes und der Länder, einem Zusammenschluss der Deutschen Datenschützer, folgendes: Genehmigungen für Datentransfers beruhend auf „Binding Corporate Rules“ oder Exportverträgen werden nicht mehr erteilt. Bisherige Genehmigungen werden aber (vorerst) nicht aufgehoben. Allein auf „Safe Harbor“ gestützte Datenübermittlungen werden untersagt. Einwilligungen sollen nur zulässig sein, wenn es nicht zu einer wiederholten, massenhaften oder routinemäßigen Übertragung kommt – damit dürfte das Institut der Einwilligung praktisch in vielen Fällen ausscheiden.
Interessanterweise hat die Datenschutzkonferenz keine konkrete Aussage zu den EU-Model Clauses getroffen. Bei genauerer Lektüre spricht viel dafür, dass die Behörden eine Übertragung auf Grundlage der Standardvertragsklauseln jedenfalls bis zum Ablauf der von der Artikel 29 Datenschutzgruppe bis zum 31. Januar 2016 nicht beanstanden werden. Hierfür spricht jedenfalls, dass sie nirgendwo in dem Positionspapier explizit ihre bisherige Praxis aufgeben, nach der für Datentransfers auf Grundlage der unveränderten Standardklauseln (jedenfalls bezüglich des angemessenen Schutzniveaus) eine Art „Pauschalgenehmigung“ der Datenschutzbehörden gilt. Wollten die Datenschutzbehörden diese Position aufgeben wäre davon auszugehen, dass sie dies auch explizit kommunizieren. Stattdessen schweigt das Positionspapier hierzu. Es wäre dennoch wünschenswert, dass hierzu noch eine Klarstellung erfolgt, um bei diesem wichtigen Thema zumindest etwas mehr Rechtssicherheit zu schaffen. Denn eindeutig ist die Positionierung der Datenschutzbehörden in diesem Punkt nicht.
Weitere Artikel: EuGH kippt Safe Harbor!; EU-Datenschutz-Grundverordnung: EU-Minister erzielen Einigung auf europaweite Standards