Mit Urteil vom 06.10.2015 hat der EuGH die Safe Harbor-Entscheidung der EU-Kommission vom 26.07.2000 (2000/520/EG) gekippt. Ein Paukenschlag!?
Hintergrund - was ist „Safe Harbor“?
Die aktuell gültige Datenschutzrichtlinie (Richtlinie 95/46/EG) erlaubt den Export von personenbezogenen Daten außerhalb der EU nur, wenn am Zielort ein mit der EU vergleichbares Datenschutzniveau besteht. Für die USA wird ein solches Datenschutzniveau weiterhin verneint. Safe Harbor – „sicherer Hafen“ war ein Abkommen, welches seinerzeit zwischen dem US-Handelsministerium und der EU-Kommission auf Basis von Art. 25 Abs. 6 EU-Datenschutzrichtlinie abgeschlossen wurde. Es sollte Datenübermittlungen aus der EU in die USA ermöglichen, indem unter bestimmten Voraussetzungen ein angemessenes Datenschutzniveau für Unternehmen in den USA angenommen wurde. Dabei setzte man ganz auf ein Verfahren der Selbstzertifizierung durch die US-Unternehmen, es unterlag jedoch keiner staatlichen Kontrolle oder staatlichen Sanktionsmöglichkeiten. Zudem bestand keinen Schutz vor Eingriffen durch öffentliche Stellen. Das Verfahren wurde vor allem von den deutschen Datenschutzbehörden schon seit langem kritisiert.
Das Urteil
Der EuGH hat nunmehr Safe Harbor für ungültig erklärt. Das Urteil ist mit Verkündung rechtswirksam. Es hat folgende Konsequenz: Personenbezogene Daten dürfen seit dem 06.10.2015 nicht mehr allein auf der Grundlage von Safe Harbor in die USA übermittelt werden.
Für viele Beobachter dürfte Urteil nicht ganz überraschend kommen, angesichts einer deutlichen Stellungnahme des Generalanwalts am EUGH, Bot, vom 23.09.2015, der zeitnahen Terminierung des EUGH und der zuletzt ergangenen europäischen Rechtsprechung zu Datenschutzfragen, z.B. die Google-Entscheidung. Überraschend ist aber, dass das Gericht Safe Harbor unmittelbar für ungültig erklärt hat. Wegen der weitreichenden Folgen und aus Gründen der Rechtssicherheit hätten viele einen Übergangszeitraum o.Ä. erwartet, vergleichbar mit der Praxis des Bundesverfassungsgerichts (BVerfG).
Auswirkung auf laufende Verträge
Betroffen sind sämtliche Übermittlungen personenbezogener Daten in die USA, die sich (allein) auf Safe Harbor stützen, z.B. konzerninterne Datenübermittlungen im HR-Bereich, Datenübermittlungen im Zusammenhang mit internen Ermittlungen, Einsatz von Auftragnehmern/Unter-Auftragnehmern in den USA, oder US basierte Cloud-Lösungen (beispielsweise Cornerstone, Google, Box.com, Cisco, etc.).
Verschärft wird die Situation noch dadurch, dass nicht bloß eigene Systeme (z.B. eigene Personaldatenbank) betroffen sein könnten, sondern Lieferantenbeziehungen, d.h. die eigenen Produkte des Unternehmens. Ebenso ist mit Anfragen von Kunden zu rechnen, die ihrerseits aufgrund des Urteils eine Prüfung ihrer Lieferantenverträge vornehmen.
Die Aufsichtsbehörden könnten Verstöße drastisch bestrafen. Es drohen Bußgelder von bis zu EUR 300.000,00 in jedem Einzelfall, d.h. für jeden Fall der unzulässigen Übermittlung eines personenbezogenen Datums. Hinzu kommt die Möglichkeit zur Gewinnabschöpfung. Teuer könnten auch vertragliche Verpflichtungen des Unternehmens gegenüber Kunden zur Wahrung des Datenschutzes sein, die oft mit Vertragsstrafen oder Sonderkündigungsrechten verbunden sind.
Wie mit dieser Situation umgehen?
Eine erste Maßnahme wird sein, eine Bestandsaufnahme aller Lieferantenbeziehungen durchzuführen, bei denen der Datenschutz mittels „Safe Harbor“ gelöst wurde - einschließlich der jeweiligen Subunternehmer dieser Lieferanten.
Anstelle von Safe Harbor könnten die sogenannten „Standardvertragsklauseln“ der EU-Kommission (2010/87/EU) verwendet werden, um kurzfristig ein angemessenes Datenschutzniveau sicherzustellen. Dies erfordert den Abschluss entsprechender Verträge mit den Lieferanten und deren Subunternehmern. Ob allerdings die Standardvertragsklauseln angesichts der Rechtsprechung des EuGH halten werden, bleibt abzuwarten. Die vom EuGH aufgezeigte, „unabhängige“ Prüfungskompetenz der Datenschutzbehörden nach Art. 28 EU-Datenschutzrichtlinie dürfte jedenfalls auch eine Überprüfung von Verträgen auf Basis der Standardvertragsklauseln im Einzelfall ermöglichen. Die Alternative, Einholung von Einwilligungen von jeder einzelnen betroffenen Person in die Datenübermittlung, ist regelmäßig nicht praktisch durchführbar.
Eine Stellungnahme der deutschen Datenschutzbehörden zum weiteren Umgang mit dem EuGH-Urteil liegt noch nicht vor, ist aber kurzfristig zu erwarten. Zu hoffen bleibt, dass die Behörden den Unternehmen eine Karenzfrist gewähren, um die Datenübermittlung auf andere Rechtsgrundlagen, z.B. die Standardvertragsklauseln, zu stellen. Zudem sollte die EU-Kommission die bereits laufenden Verhandlungen über „Safe Harbor 2“, unter Berücksichtigung der Urteilsgründe, beschleunigen. Dies dürfte zwar Monate in Anspruch nehmen, würde aber zu einem Mehr an Rechtssicherheit führen.
Datenübermittlungen aus der Schweiz unter dem parallel geltenden „U.S.-Swiss Safe Harbor Framework“ sind von dem Urteil zurzeit nicht betroffen. Aber auch in der Schweiz gibt es Bestrebungen, sich an einem möglichen „Safe Harbor 2“ zu orientieren.
Sollten Sie im Zusammenhang mit der Entscheidung des EUGH oder der weiteren datenschutzrechtlichen Gestaltung einer Datenübermittlung in die USA Fragen haben, wenden Sie sich gerne an folgende Ansprechpartner:
Catherine Westerwelle
c.westerwelle(at)aderhold-legal.de
T: +49 (0)231 42777-222
Udo Steger
u.steger(at)aderhold-legal.de
T: +49 (0)89 306683-231
