{"id":7235,"date":"2015-10-07T18:23:33","date_gmt":"2015-10-07T16:23:33","guid":{"rendered":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/?p=7235"},"modified":"2015-10-08T09:11:37","modified_gmt":"2015-10-08T07:11:37","slug":"eugh-aus-fur-safe-harbor","status":"publish","type":"post","link":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/2015\/10\/07\/eugh-aus-fur-safe-harbor\/","title":{"rendered":"EuGH: Aus f\u00fcr \u201eSafe-Harbor\u201c"},"content":{"rendered":"
\"RA<\/a>

RA Dr. Thomas Gennert, McDermott Will & Emery Rechtsanw\u00e4lte Steuerberater LLP, D\u00fcsseldorf<\/p><\/div>\n

Die Entscheidung des EuGH in der Sache Maximilian Schrems vs. Data Protection Commissioner<\/i> (C-326\/14<\/a>) vom 6. Oktober 2015 wurde in den Tagesmedien weithin als \u201eUrteil gegen Facebook\u201c dargestellt. Beim genaueren Hinsehen war Facebook zwar Anlass, aber nicht Gegenstand der Entscheidung. Trotzdem kann das Urteil des EuGH weitreichende Folgen f\u00fcr viele grenz\u00fcberschreitend t\u00e4tige Unternehmen \u2013 auch f\u00fcr Facebook \u2013 haben.<\/p>\n

Der Sachverhalt<\/strong><\/p>\n

Herr Schrems, ein \u00f6sterreicheicher Jurist und Aktivist, der sich bereits seit l\u00e4ngerem f\u00fcr europ\u00e4ischen Datenschutz (und insoweit gegen Facebook) einsetzt, reichte bei einer irischen Datenschutzbeh\u00f6rde eine Beschwerde gegen Facebook ein, weil er der Ansicht war, die europ\u00e4ische Tochter von Facebook mit Sitz in Irland, die die pers\u00f6nlichen Daten der Nutzer zur Mutter in die vereinigten Staaten transferiert, versto\u00dfe gegen europ\u00e4isches Datenschutzrecht, weil in der USA kein angemessenes Schutzniveau der Daten gew\u00e4hrleistet sei. Die irische Beh\u00f6rde wies die Beschwerde zur\u00fcck und st\u00fctze sich dabei im Wesentlichen auf die Begr\u00fcndung, die sog. \u201eSafe-Harbor-Regelung\u201c gew\u00e4hrleiste ein angemessenes Datenschutzniveau auch im Drittstaat USA. Bei der Safe-Harbor-Regelung (wegen der Zusammenarbeit mit den USA auch als \u201eAbkommen\u201c bezeichnet) handelt es sich um eine Reihe von Vorgaben zum Datenschutz durch die Europ\u00e4ische Kommission, denen sich US-amerikanische Unternehmen freiwillig unterwerfen k\u00f6nnen, wenn Daten, etwa durch Tochtergesellschaften in Europa, in die USA \u00fcbermittelt werden. Hierdurch stand dann auch f\u00fcr die Datenschutzbeh\u00f6rden fest, dass f\u00fcr die Daten ein angemessenes Schutzniveau, wie es das Unionsrecht vorschreibt, auch in den USA gew\u00e4hrleistet ist.<\/p>\n

Die Entscheidung des EuGH \u2013 Keine Kompetenz der Kommission<\/strong><\/p>\n

Der EuGH hat nun entschieden, dass Entscheidungen der Kommission die Befugnisse der nationalen Datenschutzbeh\u00f6rden nicht beschr\u00e4nken k\u00f6nnen. Im Ergebnis bedeutet das, dass diese nicht mehr auf die Safe-Harbor Regelung verweisen k\u00f6nnen, sondern selbstst\u00e4ndig pr\u00fcfen m\u00fcssen, inwieweit die \u00dcbermittlung von personenbezogenen Daten in ein Drittland den europ\u00e4ischen Datenschutzvorgaben gen\u00fcgt, d.h. insbesondere, ob im Drittland ein angemessenes Schutzniveau der Daten entsprechend unionsrechtlichen Vorgaben gew\u00e4hrleistet ist.<\/p>\n

Kern der Begr\u00fcndung des EuGH ist hierbei, dass sich zwar die Unternehmen durch die Safe Harbor-Regelung zur Einhaltung bestimmter Standards verpflichtet haben, diese aber nicht die US-amerikanischen Beh\u00f6rden binden (f\u00fcr diese waren explizite Ausnahmen vorgesehen) welche auf die Daten zugreifen k\u00f6nnen. Hierbei bezieht sich der EuGH ausdr\u00fccklich auf den beh\u00f6rdlichen Zugriff auf Daten aus Gr\u00fcnden der nationalen Sicherheit und meint damit die inzwischen weithin bekannte \u201eDatensammelwut\u201c der NSA.<\/p>\n

Einen Rahmen f\u00fcr den Inhalt des \u201eangemessenes Schutzniveaus\u201c gibt der EuGH in seiner Pressemitteilung ebenfalls zu erkennen: Jedenfalls eine generelle Speicherung aller personenbezogenen Daten und ein Zugriff der Beh\u00f6rden ohne jede Differenzierung, Einschr\u00e4nkung oder Ausnahme (nach dem verfolgten Ziel oder anderen objektiven Kriterien), entspreche nicht dem europ\u00e4ischen Datenschutzniveau. Au\u00dferdem sei es zwingend, dass die Rechtsordnung einen Rechtsweg f\u00fcr die betroffenen Personen bereit halte, der ihnen einerseits Zugang zu den Daten verschafft und mit dem andererseits die Durchsetzung der L\u00f6schung dieser Daten erreicht werden kann.<\/p>\n

Das Aus f\u00fcr Safe-Harbor \u2013 was nun?<\/strong><\/p>\n

Das Urteil betrifft eine Vielzahl von Unternehmen die transatlantisch t\u00e4tig sind, sei es in Bezug auf Kunden- oder auch Besch\u00e4ftigtendaten. Die Entscheidung bedeutet zun\u00e4chst nicht, dass ein Datentransfer in die USA mit Unionsrecht nicht in Einklang zu bringen ist. Gleichwohl k\u00f6nnen Unternehmen nicht mehr allein auf Einhaltung der Safe-Harbor-Regelungen verweisen.<\/p>\n

Eine andere (bisher rechtssichere) weit verbreitete M\u00f6glichkeit ist die Verwendung von der Kommission erarbeiteter Mustervertr\u00e4ge zwischen den Konzern-Unternehmen gewesen, in welchen sich die Unternehmen zur Einhaltung bestimmter Datenschutz-Standards verpflichten. Da diese aber auch nicht die Beh\u00f6rden binden und die Unternehmen diesen den Zugriff auf die Daten nicht verwehren k\u00f6nnen, ist zu erwarten, dass der EuGH die Verwendung der Mustervertr\u00e4ge mit einer \u00e4hnlichen Begr\u00fcndung kippt. Bis zu diesem Zeitpunkt lassen sich die Mustervertr\u00e4ge allerdings weiterhin verwenden, denn der EuGH macht auch klar, dass er allein entsprechende Entscheidungen der Kommission \u00fcberpr\u00fcfen kann, nicht aber die Datenschutzbeh\u00f6rden selbst.<\/p>\n

Daneben besteht die M\u00f6glichkeit, sich unternehmensweit verbindliche Regeln zum Datenschutz zu geben, die dann ihrerseits bei den nationalen Datenschutzbeh\u00f6rden auf den Pr\u00fcfstand zu stellen sind. Zudem ist, nach wie vor, auch die Einwilligung des Betroffenen m\u00f6glich, wobei hier zu beachten ist, dass die nationalen Gerichte die vorherige, pauschale Einwilligung in eine Vielzahl von m\u00f6glichen Nutzungen der Daten bisher eher kritisch sahen.<\/p>\n

Fazit<\/strong><\/p>\n

Den von diesem Thema betroffenen Unternehmen ist dringend anzuraten, die rechtlichen Grundlagen des Datentransfers in die USA zu \u00fcberpr\u00fcfen und im Lichte der Entscheidung des EuGH nach Gestaltungsm\u00f6glichkeiten im Einklang mit Unionsrecht zu suchen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die Entscheidung des EuGH in der Sache Maximilian Schrems vs. Data Protection Commissioner (C-326\/14) vom 6. Oktober 2015 wurde in den Tagesmedien weithin als \u201eUrteil gegen Facebook\u201c dargestellt. Beim genaueren Hinsehen war Facebook zwar Anlass, aber nicht Gegenstand der Entscheidung. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":304378,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[2241,39615],"tags":[1827,2812,99,39756,39757],"acf":[],"_links":{"self":[{"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/posts\/7235"}],"collection":[{"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/users\/304378"}],"replies":[{"embeddable":true,"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/comments?post=7235"}],"version-history":[{"count":4,"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/posts\/7235\/revisions"}],"predecessor-version":[{"id":7238,"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/posts\/7235\/revisions\/7238"}],"wp:attachment":[{"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/media?parent=7235"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/categories?post=7235"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/page.fachmedien.de\/wordpress\/rechtsboard\/wp-json\/wp\/v2\/tags?post=7235"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}