Erklärung der Artikel29-Datenschutzgruppe zum Datentransfer in Drittländer nach dem EuGH-Safe-Harbor-Urteil

Der EuGH hat in seinem Safe-Harbor-Urteil vom 06.10.2015 die Datenübermittlung in die USA auf der Basis des Safe Harbor Abkommens für unzulässig erklärt, da der unbeschränkte Zugriff der US-Nachrichtendienste auf personenbezogene Daten betroffener EU-Bürger nicht mit dem EU-Rechtsrahmen vereinbar ist. Das EuGH-Urteil macht deutlich, dass ein angemessenes Datenschutzniveau in einem Drittland in keinem Fall vorhanden ist, wenn „Behörden generell auf elektronische Kommunikationsdaten zugreifen und eine wirksame rechtsstaatliche Kontrolle nicht gegeben ist. Dies ist mit den europäischen Grundsätzen zum Schutz personenbezogener Daten nicht vereinbar“. (1-BfDI) Im Falle der USA seien US-Unternehmen verpflichtet, europäisches Datenschutzrecht zu ignorieren und US-Behörden Zugriff auf personenbezogene Daten aus Gründen der nationalen Sicherheit oder des öffentlichen Interesses zu gewähren (vgl. Patriot Act). Dies verletzte „den Wesensgehalt des Grundrechts auf wirksamen Rechtsschutz“ urteilt der EuGH.

Safe Harbor: Datenübermittlung unzulässig
Datenübermittlungen auf der Basis von Safe Harbor sind somit seit dem 06.10.2015 unzulässig. Diesen Verarbeitungen fehlt jegliche Rechtsgrundlage. Das ULD weist in seinem Positionspapier vom 06.10.2015 (2-ULD) darauf hin, dass die Übermittlung personenbezogener Daten in die USA ohne Rechtsgrundlage nach § 43 Abs. 2 Nr. 1 BDSG bußgeldbewährt ist und mit bis zu 300.000 EUR geahndet werden kann.

EU-Standardvertragsklauseln und BCR: Datenübermittlung noch (!) zulässig
In der am 16.10.2015 vorgelegten Stellungnahme haben die europäischen Datenschutzbeauftragten ein Ultimatum bis Ende Januar 2016 gesetzt und die EU-Kommission, die EU-Regierungen und die US-Regierung aufgefordert, rechtliche und technische Lösungen für den transatlantischen Datenverkehr vorzulegen.

Bezüglich der strittigen Frage, ob das Safe-Harbor-Urteil auch die anderen Rechtsinstrumente „Einwilligung des Betroffenen“, „EU-Standardvertragsklauseln“ und „Binding Corporate Rules (BCR)“ betrifft oder ob diese als wirksame Rechtsgrundlage für die Datenübermittlung in die USA (und andere Drittstaaten ohne angemessenes Datenschutzniveau) weiterhin verwendet werden können, hat die Artikel 29 Datenschutzgruppe ihre Position formuliert. Aufgrund der bedeutsamen Wirtschaftsbeziehungen der EU-Länder mit den USA sehen die meisten Aufsichtsbehörden die o.g. Rechtsinstrumente vorläufig weiterhin als gültig an. Die Mehrheit folgt nicht der schleswig-holsteinischen Datenschutzbehörde, wonach die EU-Standardvertragsklauseln und BCR ungültig sind.
Das ULD vertritt die Auffassung, dass für nichtöffentliche Stellen „in konsequenter Anwendung“ des EuGH-Urteils „eine Datenübermittlung auf Basis von Standardvertragsklauseln nicht mehr zulässig“ ist. „Nichtöffentliche Stellen, die für ihren Datentransfer in die USA Standardvertragsklauseln verwenden, müssen nun in Erwägung ziehen, den zugrunde liegenden Standardvertrag mit dem Datenimporteur in den USA zu kündigen oder die Datenübermittlungen auszusetzen.“ (2-ULD)

Einschätzung der Artikel 29 Gruppe
Die gemeinsame Entscheidung der Artikel 29 Gruppe zur Rechtswirksamkeit der alternativen Rechtsinstrumente wurde nun bis Ende Januar 2016 vertagt. Bis Ende Januar 2016 wolle man zu einer „belastbaren, gemeinsamen Position“ kommen. Bis dahin dürfen Unternehmen die EU-Standardvertragsklauseln und die Corporate Binding Rules verwenden. Es wird darauf hingewiesen, dass die Datenschutzbehörden sich jedoch das Recht vorbehalten, Beschwerden nachzugehen, Maßnahmen zum Schutz Betroffener zu ergreifen und Datenübermittlungen zu untersagen. (3-Heise)

Prinzipiell ist es für Unternehmen und Organisationen erforderlich, die Position der für sie zuständigen Aufsichtsbehörde und dazu veröffentlichte Stellungnahmen im Blick zu behalten, um rechtzeitig Maßnahmen zur rechtskonformen Ausgestaltung von Verträgen mit Dienstleistern in Drittstaaten einleiten zu können.

Verträge auf Safe Harbor-Basis müssen angepasst werden
Zum aktuellen Zeitpunkt empfehlen wir, Verträge mit Dritten (z.B. mit Dienstleistern im Rahmen der Auftragsdatenverarbeitung), die bisher auf der Grundlage von Safe Harbor stattfanden, nachzubessern und die von der EU-Kommission bereitgestellten EU-Standardvertragsklauseln abzuschließen. Alle Datenübermittlungen auf Safe Harbor-Basis entbehren einer rechtlichen Grundlage.

Position der Artikel 29 Datenschutzgruppe zum EuGH-Urteil
Die Artikel 29 Datenschutzgruppe ist ein Zusammenschluss der nationalen Datenschutzbehörden aller EU-Staaten, die gegenüber der Europäischen Kommission in Datenschutz-Fragen auch die Funktion eines unabhängigen Beratungsgremiums innehat.
Bezüglich der Safe-Harbor-Debatte besteht innerhalb der Artikel 29 Gruppe Einigkeit darüber, dass die massenhafte und anlasslose Überwachung von EU-Bürgern nicht mit europäischem Recht vereinbar sein. Diese Einschätzung wird ausdrücklich nicht auf Datentransfers in die USA beschränkt, sondern sie gilt auch für andere Länder außerhalb der EU/ des EWR (vgl. „sichere“ und „unsichere“ Drittländer).

Grundsätzlich muss für eine Übermittlung personenbezogener Daten in Länder außerhalb der EU/ des EWR die Zulässigkeit der Datenverarbeitung nach § 4c BDSG geprüft werden. Können die Ausnahmeregelungen nach § 4c Abs. 1 BDSG nicht in Anspruch genommen werden, muss eine Beurteilung des Datenschutzniveau im Empfängerland vorgenommen werden. Die Aufsichtsbehörden können Datenübermittlungen genehmigen, wenn der Datenimporteur „ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte“ der Betroffenen vorweist (§ 4c Abs. 2 BDSG).

Auch in der EU-Datenschutz-Grundverordnung, die gegenwärtig zwischen EU-Kommission, EU-Parlament und EU-Ministerrat verhandelt wird, ist vorgesehen, dass ein angemessenes Datenschutzniveau im Empfängerland außerhalb der EU/ des EWR hergestellt werden kann, wenn

  • für das Drittland ein Angemessenheitsbeschluss der EU-Kommission vorliegt (Erklärung zum „sicheren Drittland“) oder
  • wenn die Datenübermittlung auf der Grundlage der von der EU-Kommission vorgelegten EU-Standard-Datenschutzklauseln erfolgt oder
  • auf der Grundlage der Vertragsklauseln, die eine Aufsichtsbehörde genehmigt hat oder
  • auf der Basis verbindlicher Unternehmensregeln (BCR) stattfindet.

In dem Positionspapier der Artikel 29 Gruppe wird klargestellt, dass „Datenübermittlungen in Drittländer, in denen die Befugnisse der staatlichen Behörden bzgl. des Zugriffs auf personenbezogene Informationen über das für die in einer demokratischen Gesellschaft erforderliche Maß hinausgehen, nicht als Datenübertragung in einen sicheren Drittstaat qualifiziert werden können. In dieser Hinsicht erfordert das Urteil des EuGH, dass jede Angemessenheitsentscheidung eine umfassende Analyse des betreffenden Drittlandes, seiner innerstaatlichen Rechtsvorschriften und seiner internationalen Verpflichtungen impliziert“. (4-Dury).

Quellen:

(1) BFDI: Safe Harbor

(2) ULD: Positionspapier des ULD zum Safe-Harbor-Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362/14

(3) Heise: EU-Datenschützer setzen Ultimatum für Safe Harbor 2.0

(4) Dury: Safe Harbor Urteil des EuGH – Gemeinsame Erklärung der Artikel 29 Gruppe