Safe-Harbor-Abkommen: Angemessener Schutz der Grundrechte vom EuGH angezweifelt

Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 6. Oktober 2015 die Entscheidung der Europäischen Kommission, dass die USA bei der Übermittlung personenbezogener Daten ein dem EU-Recht angemessenes Schutzniveau garantieren, aufgehoben. Hiervon betroffen sind das Safe-Harbor-Abkommen sowie ggf. auch die Standard-Vertragsklauseln, die die EU-Kommission zur Verfügung stellt.

Diese Abkommen/Verträge regeln im Wesentlichen

  • die Übertragung personenbezogener Daten zwischen deutschen / EU-Unternehmen und US-Firmen, die zum gleichen Konzern gehören,
  • die Übertragung personenbezogener Daten zwischen verschiedenen Niederlassungen derselben Firma, sofern der Empfänger der Übertragung in den USA sitzt,
  • die Übertragung personenbezogener Daten (auch automatisiert) mit Ausgangspunkt in Deutschland / EU innerhalb einer vorhandenen IT-Infrastruktur, wenn dabei der neue Speicherort in den USA ist.

Insbesondere urteilte der EuGH, dass die Europäische Kommission „die Befugnisse, über die die nationalen Datenschutzbehörden aufgrund der Charta der Grundrechte der Europäischen Union und der Richtlinie verfügen, weder beseitigen noch auch nur beschränken kann“. Außerdem bemängelt der EuGH, dass die Kommission nicht geprüft hat, ob die Vereinigten Staaten tatsächlich einen angemessenen Schutz der Grundrechte gewährleisten.

Deutsche Datenschutzbehörden, z.B. das LDI NRW, haben eine umfassenden Klärung der Konsequenzen des Urteils angekündigt, d.h. die Datenschutz-Aufsichtsbehörden werden unverzüglich auf Bundesebene sowie auf EU-Ebene beraten und das weitere Vorgehen abstimmen. (LDI-Erklärung)

Vom Wegfall der „Safe Harbor“-Einstufung der USA als Grundlage für die Beurteilung der Rechtmäßigkeit eines Transfers personenbezogener Daten von einem EU-Mitgliedstaat, insbesondere der Bundesrepublik Deutschland, in die USA betroffen sein könnten z.B. IT-Angebote an Dritte, etwa

  • Cloud-Services,
  • Social-Media-Network-Nutzung mit Infrastruktur / Datenaustausch zwischen D/ EU und USA,
  • Verträge im Bereich IT-Services, bei denen zumindest fallweise personenbezogene Daten an einen Leistungserbringungsort in den USA fließen müssen.

Das kann Verträge sowohl für Full Managed Service als auch Wartungsverträge mit 3rd Level Support betreffen, wenn etwa Leistungen direkt aus den USA beigesteuert werden und hierfür personenbezogene Informationen fließen müssen.

Auch Regelungen innerhalb eines Unternehmens/ einer Unternehmensgruppe für derartige Datentransfers zu Unternehmensstandorten in den USA können betroffen sein und müssen evtl. auf eine neue rechtliche Grundlage gestellt werden, sofern sie bislang den Safe-Harbor-Beschluss der EU oder entsprechenden durch die EU-Kommission zur Verfügung gestellten Standard-Vertragsklauseln zugrunde legten. Im Zweifel schadet es nicht, die in Deutschland maßgeblichen Ausführungen des BDSG, insbesondere §4b „Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen“ sowie §4c „Ausnahmen“ genauer zu berücksichtigen – insbesondere die juristischen Details und ihre Tragweite. Datenschutzbeauftragte werden sicher noch eine Weile ein wichtiger Anlaufpunkt für Fragen und Klärungsaufträge sein.