Die EU-Datenschutz-grundverordnung

Das Jahr 2015 endete mit einem Paukenschlag für den Datenschutz.
Erfahren Sie alles über die Hintergründe, Entwicklungen und Implikationen in unserem Highlight-Thema 2016.

Das Ende von Safe Harbor

Transatlantischer Schutzwall für die Datensicherheit


Bereits im Oktober 2015 hat der Europäische Gerichtshof (EuGH) entschieden, dass personenbezogene Daten nicht mehr aufgrund der Safe Harbor-Entscheidung in die
USA übermittelt werden dürfen. Das Urteil stellt einen besonderen Wendepunkt in
einer Rechtsgeschichte dar, die vor 15 Jahren begonnen hat.

Im Jahr 2000 hat die EU-Kommission die Safe Harbor-Entscheidung (Entscheidung 2000/520) für den sicheren Datenhafen verabschiedet. Die Entscheidung gestattete es europäischen Unternehmen, personenbezogene Daten - zum Beispiel ihrer Mitarbeiter oder Kunden – an Empfänger in den USA zu übermitteln, etwa an deren Konzernunternehmen oder an dritte weiterverarbeitende Dienstleister, wenn sich der Empfänger selbst als sicherer Hafen zertifiziert hat. Schon länger waren die enormen Mengen an personenbezogenen Daten, die US-Unternehmen - insbesondere US-Technologiekonzerne - über EU-Bürger speichern, Gegenstand der öffentlichen Diskussion.

Nicht zuletzt im Zusammenhang mit den Enthüllungen von Edward Snowden im Jahr 2013 zur Überwachung durch die NSA wurden Zweifel laut, ob personenbezogene Daten weiterhin in die USA übermittelt werden dürfen. Neben der Europäischen Kommission hatten auch die deutschen Datenschutzbehörden immer wieder Bedenken hinsichtlich der Safe Harbor-Entscheidung geäußert, die unverändert fort galt.

Ein Jura-Student sorgt für den Sturm im Hafen

Max Schrems, zum Zeitpunkt seiner Beschwerde österreichischer Jura-Student, hatte bei dem irischen Datenschutzbeauftragten mehrere Beschwerden über Facebook Ireland Limited eingereicht. Eine dieser Beschwerden bezog sich darauf, dass Facebook Ireland Limited seine personenbezogenen Daten an die Safe Harbor-zertifizierte Facebook Inc. in die USA weitergeleitet habe. Parallel wurden gleichlautende Anzeigen gegen Microsoft, Skype und Yahoo bei unterschiedlichen Instanzen und Behörden erstattet.

Irland weist die Beschwerde zurück

Der irische Datenschutzbeauftragte hatte die Beschwerde seinerzeit abgewiesen. Er sah sich an die Entscheidung der Europäischen Kommission zu Safe Harbor gebunden, wonach die US-amerikanische Facebook Inc. durch die Selbstzertifizierung ein hinreichendes Schutzniveau nachweise. Maximilian Schrems legte gegen die Zurückweisung seiner Beschwerde Widerspruch beim obersten irischen Zivil- und Strafgericht (Irish High Court) ein. Dieses leitete die Angelegenheit an den EuGH zur Entscheidung weiter, die seit dem 6. Oktober 2015 vorliegt.

Was bedeutet das EuGH-Urteil für die betroffenen Unternehmen?

Das EuGH-Urteil bedeutet, dass Safe Harbor nicht mehr als Rechtsgrundlage für Übermittlungen personenbezogener Daten in die USA zur Verfügung steht. Datenübermittlungen ohne Rechtsgrundlage sind rechtswidrig und werden von den nationalen Datenschutzbehörden sanktioniert. Betroffene Unternehmen sollten daher prüfen, welche rechtlichen Instrumente nun in Betracht kommen, Übermittlungen von personenbezogenen Daten in die USA in der Zukunft durchführen zu können.

Wer ist konkret betroffen?  

Von dem Urteil des EuGH unmittelbar betroffen sind zunächst circa 4.400 US-Unternehmen, die sich unter Safe Harbor in den USA haben zertifizieren lassen. 

Wer ist indirekt betroffen?

Indirekt betrifft das Urteil aber auch alle in der EU ansässigen Unternehmen, die personenbezogene Daten – zum Beispiel ihrer Mitarbeiter oder Kunden – auf Grundlage der Safe Harbor-Entscheidung an solche zertifizierten Unternehmen in die USA übermitteln.

Hintergrundwissen

Was ist Safe Harbor?

Seit 2000 erlaubte die Safe Harbor-Entscheidung der EU-Kommission die Übermittlung personenbezogener Daten von Unternehmen in der EU an Unternehmen in den USA.

In Deutschland und der Europäischen Union wird der geforderte Datenschutz durch eine Vielzahl von Normen erreicht. Ein Datenimporteur, der in einem anderen EU-Mitgliedstaat als der Datenexporteur ansässig ist, gilt folglich als genauso sicher, wie der Datenexporteur. Datenimporteure in den USA konnten sich den Prinzipien von Safe Harbor unterwerfen, um selbigen Status zu erlangen.

Wann werden personenbezogener Daten übermittelt?

Die Übermittlungen personenbezogener Daten kommen in allen möglichen Konstellationen vor, zum Beispiel:

  • Soziale Netzwerke speichern ihre Kundendaten bei ihrem Mutterunternehmen in den USA.
  • Unternehmen haben ihre Recruiting- und Talent Management-Datenbank an einen Cloud-Anbieter in den USA ausgelagert.
  • Unternehmen führen interne Untersuchungen durch und schalten dazu forensische US-Anbieter oder -Anwälte ein, die die Daten durchsuchen oder auswerten.

Zu beachten ist, dass sich die Safe Harbor-Entscheidung nur auf „personenbezogene“ Daten bezieht – dies umfasst nur Daten natürlicher Personen, also regelmäßig nicht solche, die sich auf Unternehmen beziehen.

Wer ist Maximilian Schrems?

Maximilian Schrems (*1987) ist ein österreichischer Jurist, Autor und Datenschutzaktivist. Er bestritt die Klage vor dem Europäischen Gerichtshof, in dessen Folge der EuGH die Safer Habor-Entscheidung als unwirksam erklärte.

Wer ist die Artikel-29-Datenschutzgruppe?

Die Artikel-29-Datenschutzgruppe wurde im Rahmen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr eingerichtet. Die Gruppe ist eine beratende, gleichwohl unabhängige Instanz.

Die Artikel-29-Datenschutzgruppe und ihre Mitglieder setzen sich aus Vertretern der Kontrollstellen von jedem EU-Mitgliedstaat, Vertretern der Behörden, die für die EU-Institutionen und -Organe geschaffen wurden und einem Vertreter der Europäischen Kommission zusammen. Die Arbeitsgruppe wählt einen Vorsitzenden und dessen Stellvertreter. Beide werden für eine jeweils zweijährige Amtszeit ernannt. Das Mandat ist verlängerbar. Die Sekretariatsfunktion für die Arbeitsgruppe wird von der Kommission übernommen.



Der EU-US Datenschutzschild kommt

Am 2. Februar 2016 verkündete die EU-Kommission, dass sie sich mit Vertretern der US-Regierung auf den EU-US Datenschutzschild geeinigt hätte. Der Schild soll in die Fußstapfen des EU-US Safe Harbor-Abkommens treten und die Übermittlung personenbezogener Daten in die USA ermöglichen.

Die wesentlichen Inhalte des EU-US Datenschildes sind:

  • US-Unternehmen müssen robusten Datenverarbeitungsanforderungen genügen. Sie müssen ihre Verpflichtungen veröffentlichen. Die US Federal Trade Commission kann diese Verpflichtungen zwangsweise durchsetzen.
  • Der Zugriff von US-Behörden unterliegt Beschränkungen, Schutzvorkehrungen und Überwachungsmechanismen. Zugriffe erfolgen nur, soweit erforderlich und verhältnismäßig. Anlasslose Massenüberwachung durch US-Behörden ist ausgeschlossen.
  • Bürgern steht in den USA unterschiedlicher Rechtsschutz zur Verfügung. Alternative Streitbeilegungsmodelle sind gebührenfrei. Für Beschwerden über einen Datenzugriff von Geheimdiensten ist ein Ombudsmann zuständig.
  • Das Funktionieren des EU-US Datenschutzschilds wird einmal jährlich gemeinsam von der Kommission und dem US Handelsministerium überprüft.

Die nächsten Schritte

Die zuständige EU-Kommissarin versprach, der Artikel-29-Arbeitsgruppe bis Ende Februar 2016 ausformulierte Texte über den EU-US Datenschutzschild zukommen zu lassen. Die Arbeitsgruppe wird den Schild sodann insbesondere nach Maßgabe der Schrems-Entscheidung des EuGH prüfen. Hierzu hat sich die Arbeitsgruppe Zeit bis Mitte April 2016 ausbedungen. Abhängig von dem Ergebnis der Prüfung kann die EU-Kommission sodann den EU-US Datenschutzschild als Nachfolger von Safe Harbor verabschieden oder muss mit der US-Regierung nachverhandeln.


Ansprechpartner

Dr. Daniel Pauly
Partner
Frankfurt am Main
Telefon: +49 69 71003 570
E-Mail

CV


Ausführlichere Informationen zu dem EU-US Datenschutzschild finden Sie in unserem Knowledge Portal.

Noch kein Mitglied?
Dann registrieren Sie sich hier.