Wer im Glashaus sitzt – Aufsichtsbehörden in stürmischen Gewässern

Es war abzusehen, dass nach dem gestrigen Urteil des EuGH über die Unwirksamkeit des Safe-Harbor Abkommens, von Seiten der Aufsichtsbehörden eine komplette Untersagung jeglicher Datentransfers in die USA gefordert oder jedenfalls angemacht wird. Den Anfang macht – wenig überraschend – der Landesbeauftragte für den Datenschutz in Hamburg.

Auch ansonsten ist der Jubel groß, dass der EuGH der Überwachung durch die USA eine klare Absage erteilt hat. Es ist richtig, dass der EuGH zu der flächendeckenden und völlig legalen Überwachung durch den amerikanischen Geheimdienst deutliche Worte gefunden hat und daran letztlich abgelehnt hat, dass die USA mittels Safe-Harbor ein angemessenes Datenschutzniveau gewährleisten.

Doch wer darüber jetzt laut jubelt, sollte kurz innehalten. Nicht nur die NSA haben personenbezogene Daten europäischer Bürger im großen Stil ausgespäht und damit wohl gegen das Recht auf Privatsphäre der Grundrechtscharta sowie der europäischen Datenschutz-Richtlinie verstoßen. Auch europäische Geheimdienste haben vor solchen Maßnahmen nicht zurückgeschreckt.

Was haben die Aufsichtsbehörden, die bereits in der Vergangenheit laut die Abschaffung des Safe Harbors gefordert haben, denn selbst unternommen? Der EuGH hat den Aufsichtsbehörden gestern ins Stammbuch geschrieben, dass es zu ihren Aufgaben gehört, solche Verstöße auch im Inland zu prüfen und ggf. den Rechtsweg einzuschlagen.

Aufsichtsbehörden, die sich jetzt fragen, ob aufgrund der Geheimdienstaktivitäten eine Übermittlung personenbezogener Daten in die USA grundsätzlich unzulässig ist, sollten sich vielleicht zunächst fragen, ob sie hier nicht mit zweierlei Maß messen. Mit dem europäischen Datenschutzniveau ist es jedenfalls nicht weit her, wenn es im Inland weder beachtet noch kontrolliert wird.

Farewell Safe Harbor!

Das Urteil ist spektakulär, die Schlagzeilen sind schmissig, die Aufregung groß. Aber die Welt dreht sich noch und Europa ist auch nicht mit einem Schlag vom Internet abgekoppelt. Es gibt auch keinen Grund.

Schaut man sich die ausführliche Entscheidung des EuGH vom heutigen 6. Oktober 2015 (C-362/14) an, beerdigt der EuGH zwar das – dank NSA bereits seit einigen Monaten klinisch-tote – Safe-Harbor-Abkommen, aber die Entscheidung des EuGH ist in seinen Einzelheiten viel mehr (und viel wichtiger) als nur ein Aufreger. Es ist in erster Linie eine Stärkung des Datenschutzes und der Aufsichtsbehörden. Hier einzelne Punkte, die über das Safe Harbor Abkommen hinaus eine Rolle spielen werden:

  • Der EuGH bekräftigt die Rolle der Aufsichtsbehörden als unabhängige Aufsicht zur Wahrung des Datenschutzrechts. Insofern sind alle Mitgliedsstaaten verpflichtet sicherzustellen, dass unabhängige Aufsichtsbehörden eingerichtet werden und die Einhaltung der Datenschutz-Richtlinie 95/46 überprüfen können (Abs. 40).
  • Aber auch die Aufsichtsbehörden können trotz Unabhängigkeit nicht frei nach eigenem Gutdünken handeln. Sie sind vielmehr an einen fairen Ausgleich („fair balance“) zwischen der Einhaltung des Grundrechts auf Privatsphäre auf der einen Seite und den Interessen auf freien Datenfluss gebunden (Abs. 42).  Ein Absatz der deutschen Aufsichtsbehörden kaum gefallen dürfte.
  • Nationale Behörden oder Gerichte sind grundsätzlich an die Entscheidungen der EU-Kommission über die Anerkennung des Datenschutzniveaus eines Drittlandes jedenfalls insoweit gebunden, dass sie den Datentransfer nicht unterbinden dürfen, solange die Anerkennung des Datenschutzniveaus nicht widerrufen oder für nichtig erklärt wurde (Abs. 52). Auch dies dürfte den Aufsichtsbehörden kaum gefallen.
  • Entscheidungen der EU-Kommission, dass ein Drittstaat ein anerkanntes Datenschutzniveau besitzt, können ausschließlich vom EuGH kassiert werden. Nationale Behörden oder Gerichte sind hierzu nicht befugt, auch wenn sie berechtigt sind die Einhaltung zu überprüfen (Abs. 61. ff).
  • Kommt eine Aufsichtsbehörde zu dem Schluss, dass die Besorgnisse eines Bürgers berechtigt sind und das Datenschutzniveau des Drittstaats entspricht entgegen der Entscheidung der EU-Kommission nicht den Anforderungen der Datenschutz-Richtlinie, so muss die Aufsichtsbehörde in der Lage sein, rechtliche Schritte zu ergreifen, diese Entscheidung anzugreifen (Abs. 65). Damit wird das Verfahren für künftige Streitigkeiten festgelegt: Die Aufsichtsbehörde prüft und muss im Zweifel auf dem Rechtsweg eine Annullierung der Entscheidung der EU-Kommission durch den EuGH erreichen.

Neben diesen Punkten zur Stärkung des Datenschutzrechts, stellt der EuGH auch die Anforderungen an ein angemessenes Datenschutzniveau fest. Mit wenig Überraschung erfüllt das Safe-Harbor Abkommen diese Anforderungen nicht. Im Einzelnen:

  • Das angemessene Datenschutzniveau des Drittstaates muss nicht dem Datenschutzniveau der EU entsprechen. Es muss jedoch sichergestellt sein, dass die fundamentalen Grundsätze des Datenschutzrechts eingehalten werden.(Abs. 74).
  • Wenn die nationalen Gesetze selbst kein angemessenes Datenschutzniveau gewährleisten, kann dies grundsätzlich über ein System der Selbstzertifizierung sichergestellt werden (Abs. 80 ff). Es muss jedoch auch hierbei sichergestellt werden, dass der Drittstaat die Einhaltung des angemessenen Datenschutzniveaus überwacht und einhält.
  • Insbesondere darf der Drittstaat nicht durch eigene Gesetze das Schutzniveau im Nachgang wieder aushebeln, indem etwa Sicherheitsbehörden ohne Probleme auf die geschützten Daten zugreifen können. Ein Drittstaat, der Daten aus der EU hiervon nicht ausschließt und gemäß des angemessenen Datenschutzniveaus schützt, trägt nicht die erforderliche Sorge um das Datenschutzniveau „sicherzustellen“.

Gemessen an diesen Grundsätzen blieb dem EuGH nichts anderes übrig, als die Entscheidung der EU-Kommission zur Anerkennung des Safe-Harbor Abkommens für unwirksam zu erklären.

Insoweit ist die Entscheidung des EuGH wenig überraschend und erfreulich klar. Was bedeutet dies nun für die Unternehmen, die personenbezogene Daten an Dritte in den USA übermitteln?

Sie brauchen eine andere Rechtsgrundlage. Hierfür haben die Unternehmen zahlreiche Möglichkeiten. Wie bei anderen Drittstaaten ohne anerkanntes Datenschutzniveau, kann dieses mittels individueller Vereinbarungen, der Einwilligung des Betroffen, der Verwendung der Standardvertragsklauseln der EU oder verbindlicher Unternehmensrichtlinien in Form von Binding Corporate Rules erfolgen. Waren Unternehmen bereits in der Vergangenheit gut beraten den Datenaustausch auf der Grundlage einer dieser Rechtsgrundlagen durchzuführen, so sind sie ab dem heutigen Tag darauf angewiesen.

Es bleibt also bei einem „Farewell Safe Harbor“ ohne Aufbruch in eine stürmische See.