Farewell Safe Harbor!

Das Urteil ist spektakulär, die Schlagzeilen sind schmissig, die Aufregung groß. Aber die Welt dreht sich noch und Europa ist auch nicht mit einem Schlag vom Internet abgekoppelt. Es gibt auch keinen Grund.

Schaut man sich die ausführliche Entscheidung des EuGH vom heutigen 6. Oktober 2015 (C-362/14) an, beerdigt der EuGH zwar das – dank NSA bereits seit einigen Monaten klinisch-tote – Safe-Harbor-Abkommen, aber die Entscheidung des EuGH ist in seinen Einzelheiten viel mehr (und viel wichtiger) als nur ein Aufreger. Es ist in erster Linie eine Stärkung des Datenschutzes und der Aufsichtsbehörden. Hier einzelne Punkte, die über das Safe Harbor Abkommen hinaus eine Rolle spielen werden:

• Der EuGH bekräftigt die Rolle der Aufsichtsbehörden als unabhängige Aufsicht zur Wahrung des Datenschutzrechts. Insofern sind alle Mitgliedsstaaten verpflichtet sicherzustellen, dass unabhängige Aufsichtsbehörden eingerichtet werden und die Einhaltung der Datenschutz-Richtlinie 95/46 überprüfen können (Abs. 40).
• Aber auch die Aufsichtsbehörden können trotz Unabhängigkeit nicht frei nach eigenem Gutdünken handeln. Sie sind vielmehr an einen fairen Ausgleich („fair balance“) zwischen der Einhaltung des Grundrechts auf Privatsphäre auf der einen Seite und den Interessen auf freien Datenfluss gebunden (Abs. 42).  Ein Absatz der deutschen Aufsichtsbehörden kaum gefallen dürfte.
• Nationale Behörden oder Gerichte sind grundsätzlich an die Entscheidungen der EU-Kommission über die Anerkennung des Datenschutzniveaus eines Drittlandes jedenfalls insoweit gebunden, dass sie den Datentransfer nicht unterbinden dürfen, solange die Anerkennung des Datenschutzniveaus nicht widerrufen oder für nichtig erklärt wurde (Abs. 52). Auch dies dürfte den Aufsichtsbehörden kaum gefallen.
• Entscheidungen der EU-Kommission, dass ein Drittstaat ein anerkanntes Datenschutzniveau besitzt, können ausschließlich vom EuGH kassiert werden. Nationale Behörden oder Gerichte sind hierzu nicht befugt, auch wenn sie berechtigt sind die Einhaltung zu überprüfen (Abs. 61. ff).
• Kommt eine Aufsichtsbehörde zu dem Schluss, dass die Besorgnisse eines Bürgers berechtigt sind und das Datenschutzniveau des Drittstaats entspricht entgegen der Entscheidung der EU-Kommission nicht den Anforderungen der Datenschutz-Richtlinie, so muss die Aufsichtsbehörde in der Lage sein, rechtliche Schritte zu ergreifen, diese Entscheidung anzugreifen (Abs. 65). Damit wird das Verfahren für künftige Streitigkeiten festgelegt: Die Aufsichtsbehörde prüft und muss im Zweifel auf dem Rechtsweg eine Annullierung der Entscheidung der EU-Kommission durch den EuGH erreichen.

Neben diesen Punkten zur Stärkung des Datenschutzrechts, stellt der EuGH auch die Anforderungen an ein angemessenes Datenschutzniveau fest. Mit wenig Überraschung erfüllt das Safe-Harbor Abkommen diese Anforderungen nicht. Im Einzelnen:

• Das angemessene Datenschutzniveau des Drittstaates muss nicht dem Datenschutzniveau der EU entsprechen. Es muss jedoch sichergestellt sein, dass die fundamentalen Grundsätze des Datenschutzrechts eingehalten werden.(Abs. 74).
• Wenn die nationalen Gesetze selbst kein angemessenes Datenschutzniveau gewährleisten, kann dies grundsätzlich über ein System der Selbstzertifizierung sichergestellt werden (Abs. 80 ff). Es muss jedoch auch hierbei sichergestellt werden, dass der Drittstaat die Einhaltung des angemessenen Datenschutzniveaus überwacht und einhält.
• Insbesondere darf der Drittstaat nicht durch eigene Gesetze das Schutzniveau im Nachgang wieder aushebeln, indem etwa Sicherheitsbehörden ohne Probleme auf die geschützten Daten zugreifen können. Ein Drittstaat, der Daten aus der EU hiervon nicht ausschließt und gemäß des angemessenen Datenschutzniveaus schützt, trägt nicht die erforderliche Sorge um das Datenschutzniveau „sicherzustellen“.

Gemessen an diesen Grundsätzen blieb dem EuGH nichts anderes übrig, als die Entscheidung der EU-Kommission zur Anerkennung des Safe-Harbor Abkommens für unwirksam zu erklären.

Insoweit ist die Entscheidung des EuGH wenig überraschend und erfreulich klar. Was bedeutet dies nun für die Unternehmen, die personenbezogene Daten an Dritte in den USA übermitteln?

Sie brauchen eine andere Rechtsgrundlage. Hierfür haben die Unternehmen zahlreiche Möglichkeiten. Wie bei anderen Drittstaaten ohne anerkanntes Datenschutzniveau, kann dieses mittels individueller Vereinbarungen, der Einwilligung des Betroffen, der Verwendung der Standardvertragsklauseln der EU oder verbindlicher Unternehmensrichtlinien in Form von Binding Corporate Rules erfolgen. Waren Unternehmen bereits in der Vergangenheit gut beraten den Datenaustausch auf der Grundlage einer dieser Rechtsgrundlagen durchzuführen, so sind sie ab dem heutigen Tag darauf angewiesen.

Es bleibt also bei einem „Farewell Safe Harbor“ ohne Aufbruch in eine stürmische See.