Global menu

Our global pages

Close

Aus für Safe Harbour und seine Folgen

  • Austria

    21-10-2015

    Der Gerichtshof der Europäischen Union („EuGH“) hat am 6.Oktober 2015 in einer weltweit viel beachteten Entscheidung in einem vom Österreicher Maximilian Schrems angestrengten Verfahren die „Safe-Harbor-Entscheidung“ der Europäischen Kommission aus dem Jahr 2000 für ungültig erklärt. Dies hat enorme Auswirkungen auf den Transfer personenbezogener Daten zwischen der EU und den USA – dies vor allem auch für den Datentransfer zwischen Konzern-Unternehmen.

    Um diese Folgen darstellen zu können, sei vorweg kurz die bisherige Rechtslage sowie der Inhalt der EuGH-Entscheidung kurz skizziert:

     

    Wann ist der Transfer personenbezogener Daten ins Ausland zulässig?

    Ohne Prüfung bzw. Genehmigung durch die Datenschutzbehörde ist der Transfer personenbezogener Daten in das EWR-Ausland (und somit auch in die USA) nur in folgenden Fällen zulässig:

    • zur Erfüllung von eindeutig im Interesse des Betroffenen abgeschlossenen Verträgen, z.B. Kaufverträgen, bei denen der Geschäftspartner seinen Sitz in den USA hat;
    • bei vorheriger freiwilliger Zustimmung des Betroffenen (v.a. bei Arbeitnehmerdaten wird die Frage der „Freiwilligkeit“ derartiger Zustimmungserklärungen aber meist kritisch zu sehen sein…);
    • Weitergabe von bereits zulässigerweise veröffentlichten Daten;
    • Wenn die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor ausländischen Behörden erforderlich ist und die Daten rechtmäßig ermittelt wurden;
    • Wenn die Übermittlung oder Überlassung in einer Standardverordnung oder Musterverordnung ausdrücklich angeführt ist;
    • Wenn der Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz erfolgt. Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird durch Verordnung des Bundeskanzlers festgestellt (solche Verordnungen gibt es bisher allerdings nur für sehr wenige Staaten, insbes. die Schweiz).

    In allen anderen Fällen muss vor einem derartigen Datentransfer die Genehmigung der Datenschutzbehörde eingeholt werden, welche dann im Einzelfall – oftmals in einem langwierigen Verfahren – zu prüfen hat, ob der Schutz der Daten vor Missbrauch ausreichend gesichert ist.

     

    Was war die „Safe-Harbor-Entscheidung“?

    Um den Datentransfer zwischen der EU und den USA zu erleichtern, wurde der Safe-Harbor-Prozess entwickelt, in welchem sich US-Unternehmen freiwillig Datenschutzbestimmungen unterwerfen konnten, welche ein dem Datenschutzniveau innerhalb der EU adäquates Schutzniveau für personenbezogene Daten aus der EU garantieren sollten. Die Einhaltung dieser Bestimmungen war auch gerichtlich durchsetzbar. US-Unternehmen, die sich diesen Bestimmungen freiwillig unterwarfen, wurden in eine entsprechende – im Internet frei zugängliche – Liste eingetragen.

    Im Jahr 2000 traf die EU-Kommission die generelle Entscheidung, dass im Falle, dass sich der in den USA ansässige Empfänger der Daten freiwillig diesen Safe-Harbor-Regelungen unterwarf, ein adäquates Schutzniveau gegeben sei – damit wurde ein Datentransfer an einen solchen Empfänger so behandelt, als wäre er innerhalb des EWR (oder einem der gleichgestellten Staaten) angesiedelt, sodass dieser Datentransfer ohne vorherige Genehmigung durch die jeweilige Datenschutzbehörde zulässig war.

    Die meisten großen US-Unternehmen, v.a. aber die wichtigsten „Daten-Importeure“ (z.B. Google, Microsoft, Facebook oder Apple – um nur einige wenige zu nennen) unterwarfen sich diesen Regelungen und ermöglichten somit die genehmigungsfreie Datenübermittlung oder –überlassung.

     

    Kurze Zusammenfassung des EuGH-Urteils

    Wie bereits zuvor festgehalten, wird im Urteil festgestellt, dass die SH-Entscheidung mit sofortiger Wirkung ungültig ist. Möglichweise noch bedeutsamer ist jedoch, dass der EuGH feststellt, dass schon der ursprüngliche Befund der Kommission unrichtig war, mit welchem dem Safe Harbor Programm ein „angemessenes“ Datenschutzniveau bescheinigt wurde. Bei seinen Feststellungen zur Gültigkeit der SH-Entscheidung untersuchte der EuGH die Definition der „Angemessenheit“ und sprach (den Stellungnahmen des Generalanwalts folgend) aus, dass:

    …der Ausdruckangemessenes Schutzniveau‘ jedoch so zu verstehen ist [ist], dass verlangt wird, dass das Drittland [in diesem Fall die USA] aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Freiheiten und Grundrechte gewährleistet, das dem in der Europäischen Union aufgrund der [Datenschutz-]Richtlinie 95/46 [(die „Richtlinie“)] im Licht der Charter [der Grundrechte (die „Charter“)] garantiertem Niveau der Sache nach gleichwertig ist.“

    Der EuGH betont die Tatsache (entsprechend der Aufdeckungen im Zuge des PRISM-Skandals), dass die US-Behörden gesetzlich dazu ermächtigt sind, in großem Umfang jene personenbezogenen Daten der EU-Bürger zu sammeln und zu überwachen, die in die Vereinigten Staaten übertragen worden sind. Auf der Grundlage, dass diese Datensammlung/Überwachung in den USA öffentlichen Interessen und dem Zweck der Strafverfolgung dient, die Vorrang vor den Bedingungen des Safe Harbor Programms haben, stellt der EuGH fest, dass US-Organisationen entsprechend „ohne jede Einschränkung verpflichtet [sind], die Grundsätze des ‚Sicheren Hafens‘ unangewandt zu lassen, wenn sie in Widerstreit zu den genannten Erfordernissen stehen und sich deshalb als mit ihnen unvereinbar erweisen.“

    Darüber hinaus stellt der EuGH fest, dass die entsprechenden innerstaatlichen Bestimmungen der USA keine Möglichkeit für die einzelnen Betroffenen in der EU vorsehen, Rechtsmittel dagegen zu ergreifen, dass die US-Behörden ihre personenbezogenen Daten verarbeiten. Dazu gehört der Zugang zu solchen Daten und/oder die Möglichkeit, die Richtigstellung oder Löschung solcher Daten zu verlangen.

    Unabhängigkeit der Datenschutzbehörden

    Der Stellungnahme des Generalanwalts folgend entschied der EuGH, dass die Datenschutzbehörden (DSB) eines jeden Mitgliedstaates „in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung dieser Daten [in einen Drittstaat] die in der Richtlinie aufgestellten Anforderungen gewahrt werden.“

    Entsprechend haben DSBs die Befugnis dazu und müssen Beschwerden nachgehen, die in Zusammenhang mit jeglicher Entscheidung der Kommission zur Angemessenheit eines Drittstaates (somit nicht nur der SH-Entscheidung zur Angemessenheit des Safe Harbor Programms sondern zu allen Entscheidungen zur Angemessenheit des Schutzniveaus der in den jeweiligen Staaten außerhalb der EU anzuwendenden Gesetze) erhoben werden.

    In weiterer Folge und abhängig vom Ergebnis entsprechender Untersuchungen, ist es den DSBs möglich, ihre Feststellungen dem EuGH vorzulegen, der schlussendlich darüber zu urteilen hat, ob die Kommissionsentscheidung zur Angemessenheit aufrecht bleibt.

     

    Was sind die Folgen der Ungültigkeit von Safe Harbor?

    Die Auswirkungen dieses Urteils sind weitreichend. Sie erstrecken sich nicht nur auf die tausenden Unternehmen, die sich im Rahmen des Safe Harbor Programms zertifiziert haben, sondern auch auf die vielen tausenden, die mit diesen in Geschäftsbeziehung stehen, und in dem Glauben, dies wäre unter Beachtung der gesetzlichen Vorschriften, personenbezogenen Daten an sie übertragen. Das Safe Harbor Programm ist eine der Grundlagen für einen bedeutenden Teil des internationalen Handels und der grenzüberschreitenden Dienstleistungserbringung, insbesondere in Bezug auf die Nutzung von Cloud- und anderen Dienstleistungen im Technologiesektor. Daraus folgt, dass die Auswirkungen dieses Urteils in den meisten Wirtschaftsbereichen zu spüren sein werden.

    Als Reaktion auf das Urteil hielt die EU-Kommission eine Pressekonferenz am Nachmittag des 06.10.2015 ab, in welcher sie bestätigte, dass die „Safe Harbor Entscheidung“ mit sofortiger Wirkung ungültig ist.  Die Kommission sagte darüber hinaus zu, dass sie den DSBs „… eine klare Anleitung zur Verfügung stellen wird, zur Frage, wie mit Datenübertragung in die USA vor dem Hintergrund des [Urteils] umzugehen sein wird“. Eine solche Anleitung liegt allerdings bis dato noch nicht vor…

    Am 16.Oktober 2015 veröffentlichte die sog. „Artikel 29 Arbeitsgruppe“ – eine informelle Arbeitsgruppe aller EU-Datenschutzbehörden - eine Stellungnahme, in der nochmals betont wird, dass derartige Datentransfers in die USA, die sich bisher ausschließlich auf Safe-Harbor gestützt hatten, ab sofort illegal sind. Gleichzeitig wird angekündigt, dass die einzelnen Datenschutzbehörden ab Jänner 2016 – falls bis dahin keine Klärung durch den Gesetzgeber erfolgt sein sollte – gezwungen wären, gegen derartige Transfers mit den von den Datenschutzgesetzen vorgesehenen Zwangsmitteln (Anm.: also vor allem hohen Geldstrafen!) vorzugehen. Sollte es konkrete Beschwerden einzelner Betroffener geben, wären derartige Zwangsmittel aber auch schon vor dem genannten Termin möglich.

     

    Was Sie jetzt tun sollten:

    Kurz gesagt sollten all diejenigen Unternehmen, die sich bisher auf Safe Harbor berufen haben, unverzüglich damit beginnen, ihren „Plan B“ in Gang zu setzen.

    Worin könnte nun ein solcher „Plan B“ bestehen?

    • Sie könnten die bisher schon transferierten Daten „zurückholen“ und künftighin nur noch innerhalb des EWR verarbeiten (z.B. bei Cloud-Anbietern, die garantieren, dass die Daten auf Servern innerhalb des EWR verbleiben);
    • Sie könnten versuchen, von allen betroffenen Personen klare und freiwillige Zustimmungserklärungen für den Transfer einzuholen (ACHTUNG: in einer solchen Zustimmung müssen Empfänger und Zweck des Datentransfers enthalten sein!);
    • Sie könnten die transferierten Daten anonymisieren (gerade beim Transfer von Personaldaten an Konzern-Mütter geht es oft mehr um die Personal-Strukturen insgesamt und gar nicht so sehr darum, die Daten von „Max Müller“ zu übermitteln);
    • Sie könnten mit dem Datenempfänger eine vertragliche Datenschutz-Vereinbarung auf der Basis der ebenfalls von der EU-Kommission entwickelten „Standardvertragsklauseln“ abschließen und den Datentransfer damit dann von der Datenschutzbehörde genehmigen lassen (dies wurde von der „Artikel 29 Arbeitsgruppe“ ausdrücklich als gangbarer Weg bezeichnet, wird allerdings aufgrund der derzeitigen Situation längere Zeit in Anspruch nehmen – darüber hinaus ist zu erwarten, dass der EuGH in späteren Entscheidungen auch diese Standardvertragsklauseln als unzureichend beurteilen wird).

    In der Praxis wird es wohl nicht bloß eine der oben genannten Maßnahmen sein, die zum gewünschten Ergebnis führt, vielmehr wird es eines „Mix“ verschiedener Maßnahmen bedürfen.

    Eine umfassende Lösung wird es darüber hinaus wohl auch nur dann geben, wenn der (europäische) Gesetzgeber – etwa im Rahmen der Verhandlungen mit den USA über ein Freihandelsabkommen – diesen ganzen Themenkomplex auf komplett neue rechtliche Beine stellt. Solange dies aber noch nicht geschehen ist, hilft es nichts, den Kopf in den Sand zu stecken, rasches Handeln ist das Gebot der Stunde!

    Wenn Sie dazu Fragen haben (etwa weil Ihr Unternehmen Personaldaten an die Konzernmutter in den USA schickt, Cloud- oder Email-Dienste von Google & Co nutzt oder eine Whistle-Blowing-Hotline über einen amerikanischen Dienstleister betreibt), zögern Sie bitte nicht, uns zu kontaktieren – die Uhr tickt und die drohenden Strafen sind hoch…

     

    Kontakt:
    Dr. Georg Röhsner
    T: + 43 1 51620 160
    g.roehsner@eversheds.at

     

    Disclaimer

    This information is for guidance purposes only and should not be regarded as a substitute for taking legal advice. Please refer to the full terms and conditions on our website.

    < Go back

    Print Friendly and PDF
    Register to receive regular updates via email.