Safe-Harbor: Keine Übermittlung personenbezogener Daten in die USA!?

Mit seiner Entscheidung zum Safe-Harbor-Abkommen hat der Europäische Gerichtshof (EuGH) Anfang Oktober ein datenschutzrechtliches Erdbeben ausgelöst. War es bislang möglich, personenbezogene Daten an Unternehmen in den USA zu übermitteln, wenn diese dem „Safe-Harbor“ des US-Wirtschaftsministeriums beigetreten sind, so hat der EuGH dies nun mit deutlichen Worten für unzulässig erklärt. Das Urteil kann daher erhebliche Auswirkungen auf die Übermittlung personenbezogener Daten an Unternehmen in den USA haben. Dies gilt insbesondere für die Speicherung von personenbezogenen Daten bei amerikanischen Cloud-Anbietern oder anderen IT-Dienstleistern.

Bislang war der Beitritt zum Safe-Harbor bei IT-Dienstleistern sehr beliebt. Mit dem Beitritt zum Safe-Harbor verpflichteten sich die Unternehmen, die datenschutzrechtlichen Mindestanforderungen des Safe-Harbor-Abkommens einzuhalten. Eine Überprüfung erfolgte in regelmäßigen Zertifizierungen. Durch die Entscheidung der EU-Kommission, diesen Beitritt zum Safe-Harbor und die regelmäßige Zertifizierung für eine Datenübermittlung in die USA anzuerkennen, mussten keine weiteren Vorkehrungen für die Übermittlung der personenbezogenen Daten getroffen werden.

Dieser Möglichkeit hat der EuGH nun mit seiner Entscheidung vom 6. Oktober 2015 einen Riegel vorgeschoben.

Da es sich bei den USA – wie bei vielen anderen Drittstaaten– um einen Drittstaat ohne ein von der EU anerkanntes Datenschutzniveau handelt, ist die Übermittlung personenbezogener Daten gemäß § 4c BDSG nur zulässig, wenn (i) der Betroffene eingewilligt hat, (ii) es zur Durchführung eines Vertrages erforderlich ist, (iii) wenn der Vertragspartner vertraglich ausreichende Garantien abgibt, etwa durch den Einsatz von Europäischen Standardvertragsklauseln (ESC), (iv) verbindliche Unternehmensregeln (Binding Corporate Rules) den konzerninternen Datenaustausch ermöglichen oder (v) dies durch die Aufsichtsbehörde genehmigt wurde.

Sofern personenbezogene Daten bislang auf Grundlage des Safe-Harbor-Abkommens an Vertragspartner oder Konzernunternehmen in den USA übermittelt wurden, bedarf es nun einer neuen rechtlichen Grundlage. Hierbei kann – wie etwa für die Beauftragung von IT-Dienstleistern in Indien – auf eine der vorgenannten Methoden zurückgegriffen werden. Große Cloud-Anbieter (wie etwa Microsoft mit Office 365 oder Amazon S3) bieten europäischen Kunden bereits seit längerem neben dem Abschluss des eigentlichen Leistungsvertrags auch noch den Abschluss der erforderlichen ESC an, um eine datenschutzkonforme Übermittlung personenbezogener Daten in die USA zu erreichen.

Zwar wurde nach dem Urteil des EuGH vereinzelt bezweifelt, ob die ESC nach dem Urteil weiterhin gelten. Hierbei handelt es sich bislang jedoch nur um Einzelstimmen. Trotz aller Kritik wollen auch deutsche Aufsichtsbehörden derzeit an der Praxis der Europäischen Standardvertragsklauseln nichts ändern. Hintergrund hierfür ist wohl ebenfalls die Entscheidung des EuGH, in der der Gerichtshof klar festgestellt hat, dass die Datenschutzaufsichtsbehörden zwar berechtigt sind, die Einhaltung des Datenschutzniveaus zu überprüfen. Die Unwirksamkeit der ESC kann jedoch ausschließlich der EuGH feststellen.

Da dies bislang nicht erfolgt und auch kein entsprechendes Verfahren anhängig ist, können die ESC auch weiterhin für die Übermittlung personenbezogener Daten in die USA verwendet werden. Ob die ESC die geeignete Rechtsgrundlage für die Übermittlung der Daten in die USA sind, ist im Einzelfall zu prüfen.

Maßgebliche Entscheidung: EuGH, Urt. v. 06.10.2015 – C-362/14

Fazit: Das Urteil des EuGH bedeutet für viele Anbieter eine formale Umstellung, jedoch schränkt es den Datenaustausch zwischen der EU und den USA nicht wesentlich ein. Durch den Wegfall des Safe-Harbor Abkommens wird es jedoch nun mehr erforderlich, zusätzliche vertragliche Grundlagen für die Übermittlung der Daten abzuschließen, da andernfalls eine Untersagung durch die Aufsichtsbehörde droht.