Die Entscheidung des EuGH in der Sache Maximilian Schrems vs. Data Protection Commissioner (C-326/14) vom 6. Oktober 2015 wurde in den Tagesmedien weithin als „Urteil gegen Facebook“ dargestellt. Beim genaueren Hinsehen war Facebook zwar Anlass, aber nicht Gegenstand der Entscheidung. Trotzdem kann das Urteil des EuGH weitreichende Folgen für viele grenzüberschreitend tätige Unternehmen – auch für Facebook – haben.
Der Sachverhalt
Herr Schrems, ein österreicheicher Jurist und Aktivist, der sich bereits seit längerem für europäischen Datenschutz (und insoweit gegen Facebook) einsetzt, reichte bei einer irischen Datenschutzbehörde eine Beschwerde gegen Facebook ein, weil er der Ansicht war, die europäische Tochter von Facebook mit Sitz in Irland, die die persönlichen Daten der Nutzer zur Mutter in die vereinigten Staaten transferiert, verstoße gegen europäisches Datenschutzrecht, weil in der USA kein angemessenes Schutzniveau der Daten gewährleistet sei. Die irische Behörde wies die Beschwerde zurück und stütze sich dabei im Wesentlichen auf die Begründung, die sog. „Safe-Harbor-Regelung“ gewährleiste ein angemessenes Datenschutzniveau auch im Drittstaat USA. Bei der Safe-Harbor-Regelung (wegen der Zusammenarbeit mit den USA auch als „Abkommen“ bezeichnet) handelt es sich um eine Reihe von Vorgaben zum Datenschutz durch die Europäische Kommission, denen sich US-amerikanische Unternehmen freiwillig unterwerfen können, wenn Daten, etwa durch Tochtergesellschaften in Europa, in die USA übermittelt werden. Hierdurch stand dann auch für die Datenschutzbehörden fest, dass für die Daten ein angemessenes Schutzniveau, wie es das Unionsrecht vorschreibt, auch in den USA gewährleistet ist.
Die Entscheidung des EuGH – Keine Kompetenz der Kommission
Der EuGH hat nun entschieden, dass Entscheidungen der Kommission die Befugnisse der nationalen Datenschutzbehörden nicht beschränken können. Im Ergebnis bedeutet das, dass diese nicht mehr auf die Safe-Harbor Regelung verweisen können, sondern selbstständig prüfen müssen, inwieweit die Übermittlung von personenbezogenen Daten in ein Drittland den europäischen Datenschutzvorgaben genügt, d.h. insbesondere, ob im Drittland ein angemessenes Schutzniveau der Daten entsprechend unionsrechtlichen Vorgaben gewährleistet ist.
Kern der Begründung des EuGH ist hierbei, dass sich zwar die Unternehmen durch die Safe Harbor-Regelung zur Einhaltung bestimmter Standards verpflichtet haben, diese aber nicht die US-amerikanischen Behörden binden (für diese waren explizite Ausnahmen vorgesehen) welche auf die Daten zugreifen können. Hierbei bezieht sich der EuGH ausdrücklich auf den behördlichen Zugriff auf Daten aus Gründen der nationalen Sicherheit und meint damit die inzwischen weithin bekannte „Datensammelwut“ der NSA.
Einen Rahmen für den Inhalt des „angemessenes Schutzniveaus“ gibt der EuGH in seiner Pressemitteilung ebenfalls zu erkennen: Jedenfalls eine generelle Speicherung aller personenbezogenen Daten und ein Zugriff der Behörden ohne jede Differenzierung, Einschränkung oder Ausnahme (nach dem verfolgten Ziel oder anderen objektiven Kriterien), entspreche nicht dem europäischen Datenschutzniveau. Außerdem sei es zwingend, dass die Rechtsordnung einen Rechtsweg für die betroffenen Personen bereit halte, der ihnen einerseits Zugang zu den Daten verschafft und mit dem andererseits die Durchsetzung der Löschung dieser Daten erreicht werden kann.
Das Aus für Safe-Harbor – was nun?
Das Urteil betrifft eine Vielzahl von Unternehmen die transatlantisch tätig sind, sei es in Bezug auf Kunden- oder auch Beschäftigtendaten. Die Entscheidung bedeutet zunächst nicht, dass ein Datentransfer in die USA mit Unionsrecht nicht in Einklang zu bringen ist. Gleichwohl können Unternehmen nicht mehr allein auf Einhaltung der Safe-Harbor-Regelungen verweisen.
Eine andere (bisher rechtssichere) weit verbreitete Möglichkeit ist die Verwendung von der Kommission erarbeiteter Musterverträge zwischen den Konzern-Unternehmen gewesen, in welchen sich die Unternehmen zur Einhaltung bestimmter Datenschutz-Standards verpflichten. Da diese aber auch nicht die Behörden binden und die Unternehmen diesen den Zugriff auf die Daten nicht verwehren können, ist zu erwarten, dass der EuGH die Verwendung der Musterverträge mit einer ähnlichen Begründung kippt. Bis zu diesem Zeitpunkt lassen sich die Musterverträge allerdings weiterhin verwenden, denn der EuGH macht auch klar, dass er allein entsprechende Entscheidungen der Kommission überprüfen kann, nicht aber die Datenschutzbehörden selbst.
Daneben besteht die Möglichkeit, sich unternehmensweit verbindliche Regeln zum Datenschutz zu geben, die dann ihrerseits bei den nationalen Datenschutzbehörden auf den Prüfstand zu stellen sind. Zudem ist, nach wie vor, auch die Einwilligung des Betroffenen möglich, wobei hier zu beachten ist, dass die nationalen Gerichte die vorherige, pauschale Einwilligung in eine Vielzahl von möglichen Nutzungen der Daten bisher eher kritisch sahen.
Fazit
Den von diesem Thema betroffenen Unternehmen ist dringend anzuraten, die rechtlichen Grundlagen des Datentransfers in die USA zu überprüfen und im Lichte der Entscheidung des EuGH nach Gestaltungsmöglichkeiten im Einklang mit Unionsrecht zu suchen.