Foto: Thinkstock / Wavebreakmedia Ltd
Foto: Thinkstock / Wavebreakmedia Ltd
Datenschutz

„Safe Harbor“ war einmal

Mit seinem heutigen Urteil in der Rechtssache C-362/14 Maximilian Schrems / Data Protection Commissioner hat der Europäische Gerichtshof (EuGH) die Entscheidung der Kommission, welche feststellt, dass die USA ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten gewährleisten, für ungültig erklärt.

Die Entscheidung hat weitreichende Konsequenzen für alle Unternehmen, die personenbezogene Daten in die USA übermitteln.

Hintergrund und Inhalt der Entscheidung
Die Übermittlung personenbezogener Daten in ein Land außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR) ist nur zulässig, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet. In Bezug auf die Datenübermittlung in die USA hatte die Europäische Kommission in ihrer Safe Harbor-Entscheidung festgestellt, dass dort ein angemessenes Schutzniveau gewährleistet sei. Auf dieser Grundlage war es bisher möglich, personenbezogene Daten von EU-Bürgern in die USA zu übermitteln, wenn das US-amerikanische Unternehmen, das die Daten erhält, den entsprechenden „Safe Harbor Principles“ beigetreten ist. Von der Möglichkeit einer Safe Harbor-Zertifizierung haben bisher zahlreiche Unternehmen Gebrauch gemacht und sich in die entsprechende Liste des US-Handelsministeriums eintragen lassen, darunter auch Facebook.

Maximilian Schrems, ein österreichischer Staatsangehöriger und Facebook-Nutzer, legte bei der irischen Datenschutzbehörde Beschwerde dagegen ein, dass seine personenbezogenen Daten von der irischen Tochtergesellschaft von Facebook ganz oder teilweise an Server, die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet werden. Er vertritt die Ansicht, dass in den USA kein angemessenes Datenschutzniveau, insbesondere kein ausreichender Schutz der übermittelten Daten vor Überwachungstätigkeiten der dortigen Nachrichtendienste bestehe.

Aufgrund der Vorlagefragen des mit dem Rechtsstreit befassten irischen Gerichts hat der EuGH heute entscheiden, dass eine Entscheidung der Kommission, die feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, die nationalen Datenschutzbehörden nicht daran hindert, selbst zu prüfen, ob ein angemessenes Schutzniveau besteht. Darüber hinaus hat der EuGH die Safe Harbor-Entscheidung der Kommission zum Datentransfer in die USA unter mehreren Gesichtspunkten ausdrücklich für ungültig erklärt.

Im konkreten Fall muss die irische Datenschutzbehörde nun entscheiden, ob sie Facebook den Datentransfer in die USA verbietet.

Auswirkungen
Neben Facebook sind aber auch zahlreiche weitere Unternehmen von der Entscheidung betroffen, die personenbezogene Daten in die USA übermitteln. Auf Grundlage von Safe Harbor wurden in der bisherigen Praxis neben Kunden- beziehungsweise Nutzerdaten auch Daten von Beschäftigten in großem Umfang übermittelt, beispielsweise wenn Mitarbeiterdaten einer in Europa ansässigen Gesellschaft bei der Schwester- oder Muttergesellschaft in den USA zentral gespeichert und verarbeitet werden. Da Safe Harbor nun keine rechtmäßige Grundlage mehr bietet, müssen die verantwortlichen Unternehmen Alternativen suchen.

Die Handlungsmöglichkeiten sind jedoch begrenzt und von erheblicher Rechtsunsicherheit geprägt. In der Praxis kommt grundsätzlich als Alternative zur Herstellung eines angemessenen Datenschutzniveaus den sogenannten EU-Standardvertragsklauseln sowie Binding Corporate Rules eine große Bedeutung zu. Bei Datenübermittlungen in die USA stellt sich dabei jedoch ebenfalls das Problem, dass die Behörde davon ausgehen könnte, dass in den USA generell und damit beim Empfängerunternehmen kein adäquater Schutz gegeben ist.

Die Einholung von Einwilligungen der Betroffenen oder eine Genehmigung der Behörde im Einzelfall sind dagegen in der Praxis häufig kaum praktikabel. Der einzig rechtssichere Weg, der verbleibt, ist es, Datentransfers in die USA, da wo es möglich ist, zu vermeiden.

Insgesamt liegt es nunmehr in der Hand der nationalen Datenschutzbehörden, durch eine rasche und klare Stellungnahme der Rechtsunsicherheit für die betroffenen Unternehmen zu begegnen.

 

Das könnte sie auch noch interessieren

Foto: Getty Images / Westend61

Warum Unternehmen Government-Risk-Compliance Tools brauchen

So helfen Software-Lösungen, die geforderte Nachweis- und Dokumentationspflicht zu gewährleisten.

Foto: Getty Images / TBE

Auswertung beschlagnahmter VW-Unterlagen erlaubt

Das Bundesverfassungsgericht hat entschieden: Die Unterlagen aus der internen Aufklärung der VW AG im „Diesel-Skandal“, die bei deren Rechtsanwaltskanzlei Jones Day beschlagnahmt wurden, dürfen...

Foto: Getty Images / Eric Audras

Die neue EU-Richtlinie zum Schutz von Whistleblowern

Es ist jetzt genau einen Monat her, seit dem der Entwurf einer EU-Richtlinie zum Schutz von Whistleblowern veröffentlicht wurde. Und die erste offizielle Beratung durch die EU-Justizminister steht...

Foto: Thinkstock / seb_ra

Keine „Vorgesetztenverantwortlichkeit“ im Strafrecht!?

Rechtsprechung und Strafverfolgungsbehörden erhöhen seit Jahren stetig den Druck auf Unternehmen und deren Leitungspersonen. Zuletzt kam ein weiterer Impuls von Seiten der Politik.

Foto: Thinkstock / YakobchukOlena

Die EU-DSGVO als Chance nutzen

Die europäische Datenschutzgrundverordnung (EU-DSGVO) tritt am 25. Mai 2018 in Kraft. Während der Stichtag immer näher rückt, müssen sich die Verantwortlichen durch eine Flut an Informationen...

Foto:Thinkstock / LucaZola

Kartellschadensersatz in der Unternehmenspraxis

Kartellfälle und daraus resultierende Schadensersatzklagen sind nicht erst seit diesen Tagen häufiges Thema. Doch mit der EU-Kartellschadensersatzrichtlinie kommt eine neue Dynamik, die für die...

Neuen Kommentar schreiben