„Safe Harbor“ war einmal

Mit dem Urteil des Europäischen Gerichtshofes ist die Einstufung der USA als sicherer Hafen für personenbezogene Daten erst einmal Geschichte. Das betrifft jedoch nicht nur Facebook, um die es in der Entscheidung ging, sondern alle Unternehmen, die Mitarbeiterdaten in die USA übermitteln.

Mit seinem heutigen Urteil zur Klage von Maximilian Schrems (C-362/14 Maximilian Schrems / Data Protection Commissioner) hat der Europäische Gerichtshof (EuGH) die Entscheidung der Kommission, welche feststellt, dass die USA ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten gewährleisten, für ungültig erklärt. Die Entscheidung hat weitreichende Konsequenzen für alle Unternehmen, die personenbezogene Daten in die USA übermitteln.

Hintergrund und Inhalt der Entscheidung
Die Übermittlung personenbezogener Daten in ein Land außerhalb der EU beziehungsweise des Europäischen Wirtschaftsraums (EWR) ist nur zulässig, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet. In Bezug auf die Datenübermittlung in die USA hatte die Europäische Kommission in ihrer Safe Harbor-Entscheidung festgestellt, dass dort ein angemessenes Schutzniveau gewährleistet sei. Auf dieser Grundlage war es bisher möglich, personenbezogene Daten von EU-Bürgern in die USA zu übermitteln, wenn das US-amerikanische Unternehmen, das die Daten erhält, den entsprechenden „Safe Harbor Principles“ beigetreten ist. Von der Möglichkeit einer Safe Harbor-Zertifizierung haben bisher zahlreiche Unternehmen Gebrauch gemacht und sich in die entsprechende Liste des US-Handelsministeriums eintragen lassen, darunter auch Facebook.

Maximilian Schrems, ein österreichischer Staatsangehöriger und Facebook-Nutzer, legte bei der irischen Datenschutzbehörde Beschwerde dagegen ein, dass seine personenbezogenen Daten von der irischen Tochtergesellschaft von Facebook ganz oder teilweise an Server, die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet werden. Er vertritt die Ansicht, dass in den USA kein angemessenes Datenschutzniveau, insbesondere kein ausreichender Schutz der übermittelten Daten vor Überwachungstätigkeiten der dortigen Nachrichtendienste bestehe.

Aufgrund der Vorlagefragen des mit dem Rechtsstreit befassten irischen Gerichts hat der EuGH heute entscheiden, dass eine Entscheidung der Kommission, die feststellt, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, die nationalen Datenschutzbehörden nicht daran hindert, selbst zu prüfen, ob ein angemessenes Schutzniveau besteht. Darüber hinaus hat der EuGH die Safe Harbor-Entscheidung der Kommission zum Datentransfer in die USA unter mehreren Gesichtspunkten ausdrücklich für ungültig erklärt.

Im konkreten Fall muss die irische Datenschutzbehörde nun entscheiden, ob sie Facebook den Datentransfer in die USA verbietet.

Auswirkungen
Neben Facebook sind aber auch zahlreiche weitere Unternehmen von der Entscheidung betroffen, die personenbezogene Daten in die USA übermitteln. Auf Grundlage von Safe Harbor wurden in der bisherigen Praxis neben Kunden- beziehungsweise Nutzerdaten auch Daten von Beschäftigten in großem Umfang übermittelt, beispielsweise wenn Mitarbeiterdaten einer in Europa ansässigen Gesellschaft bei der Schwester- oder Muttergesellschaft in den USA zentral gespeichert und verarbeitet werden. Da Safe Harbor nun keine rechtmäßige Grundlage mehr bietet, müssen die verantwortlichen Unternehmen Alternativen suchen.

Die Handlungsmöglichkeiten sind jedoch begrenzt und von erheblicher Rechtsunsicherheit geprägt. In der Praxis kommt grundsätzlich als Alternative zur Herstellung eines angemessenen Datenschutzniveaus den sogenannten EU-Standardvertragsklauseln sowie Binding Corporate Rules eine große Bedeutung zu. Bei Datenübermittlungen in die USA stellt sich dabei jedoch ebenfalls das Problem, dass die Behörde davon ausgehen könnte, dass in den USA generell und damit beim Empfängerunternehmen kein adäquater Schutz gegeben ist.

Die Einholung von Einwilligungen der Betroffenen oder eine Genehmigung der Behörde im Einzelfall sind dagegen in der Praxis häufig kaum praktikabel. Der einzig rechtssichere Weg, der verbleibt, ist es, Datentransfers in die USA, da wo es möglich ist, zu vermeiden.

Insgesamt liegt es nunmehr in der Hand der nationalen Datenschutzbehörden, durch eine rasche und klare Stellungnahme der Rechtsunsicherheit für die betroffenen Unternehmen zu begegnen.