Der Nebel lichtet sich ein wenig: Datenschutzbehörden geben erste Stellungnahme, wie mit Safe Harbor und den Alternativen künftig zu verfahren ist

Zu dem Urteil des Europäischen Gerichtshofs C-362/14 (Schrems / Data Protection Commissioner) vom 6. Oktober 2015 haben nunmehr sowohl die europäischen Datenschutzbehörden am 16. Oktober 2015 als auch die deutschen Datenschutzbehörden am 21. Oktober 2015 jeweils Stellung genommen.

Wie in unserem letzten Newsletter berichtet, war Safe Harbor eine der Möglichkeiten, Daten in die USA zu übermitteln und so auf Seiten des Datenempfängers ein angemessenes Datenschutzniveau zu schaffen. Nachdem der EuGH Safe Harbor vor zwei Wochen ohne Übergangsfrist für unwirksam erklärt hatte, haben die europäischen Datenschutzbehörden, in der sogenannten  Artikel 29 - Datenschutzgruppe, wie auch die deutschen Datenschutzbehörden, in der sogenannten  Datenschutzkonferenz (also ohne die Aufsichtsbehörden im Süden, die nur die private Wirtschaft beaufsichtigen),  wenig überraschend nunmehr ausdrücklich bestätigt, dass Datenexporte auf Grundlage von Safe Harbor mit sofortiger Wirkung rechtswidrig sind.

Gleichzeitig stellten die europäischen Datenschutzbehörden aber auch klar, dass es Unternehmen zumindest bis Ende Januar 2016 als Alternative gestattet wird, Daten auf Basis von Standardvertragsklauseln der Europäischen Kommission für den Datenexport in Drittstaaten oder aber aufgrund von konzernweiten Verträgen (sogenannte Binding Corporate Rules; „BCR“) in die USA zu übermitteln. Die deutschen Datenschutzbehörden haben dies aber insoweit eingeschränkt, als sie nunmehr vorerst keine weiteren Genehmigungen für „neue“ BCRs erteilen werden. Damit wird Unternehmen diese Alternative nun zumindest kurzfristig genommen.

Außerdem haben die Behörden klargestellt, dass Datenübermittlung auf Basis von Einwilligungen der betroffenen Personen nur in eingeschränkten Fällen zulässig sein kann. Diese Möglichkeit dürfe nur als Ausnahme gewählt werden und stellt somit keine Möglichkeit dar, andauernde und laufende Übermittlungsverfahren zu rechtfertigen.

Leider haben die deutschen Datenschutzbehörden nun auch die letzte Alternative in Frage gestellt: Die Behörden behalten sich vor, die Übermittlung auf Basis von Standardvertragsklauseln zu verbieten oder auszusetzen. In ihrer Stellungnahme verknüpfen sie diese Ankündigung mit der Aussage des EuGH, wonach die Datenübermittlung in die USA nach derzeitigem Stand europäische Grundrechte verletzt. Damit rücken die Datenschutzbehörden auch die Standardvertragsklauseln in ein schwieriges Licht.  

Darüber hinaus machten die deutschen wie auch europäischen Behörden aber auch deutlich, dass letztlich bei sämtlichen Datenübermittlungen in die USA – unabhängig von deren Rechtfertigungsmethoden – Ermittlungen wie auch weitere Maßnahmen gegen Unternehmen möglich sind, sofern unter Umständen diesbezügliche Beschwerden bei ihnen eingehen.

Unternehmen, die bislang Daten auf Grundlage des Safe Harbor Abkommens in die USA übermittelt haben, sollten ihre Prozesse überprüfen.  Alternativen zu Safe Harbor sind angesichts der Stellungnahme der Behörden schwierig. Mit gewissen Einschränkungen bieten sich weiterhin Standardvertragsklauseln an. Noch haben die Behörden eine hierauf gestützte Übermittlung nicht verboten – sondern nur ein solches Verbot in Aussicht gestellt. Die Entscheidungen der EU-Kommission, wonach die Verwendung von Standardvertragsklauseln eine Übermittlung rechtfertigt, sind nach wie vor in Kraft. Bevor also eine Übermittlung tatsächlich von den Behörden verboten wird, ist eine hierauf gestützte Übermittlung zumindest nicht offensichtlich rechtswidrig. Dies ist aber eine schwierige Frage, die im Einzelfall geprüft werden sollte.

Während die Stellungnahme der europäischen Behörden noch etwas pragmatisch war, sind die deutschen Behörden nun näher an der sehr restriktiven Position der Behörde in Schleswig-Holstein. Diese Behörde hatte in dem am 14. Oktober 2015 veröffentlichten Positionspapier bereits die Meinung vertreten, Standardvertragsklauseln stünden nun grundsätzlich nicht mehr für Datenexporte in die USA zur Verfügung. Dieser Sicht haben sich die deutschen Behörden insgesamt nicht angeschlossen. Die gemeinsame Position zeigt aber den Diskussionsprozess zwischen den Behörden. Anscheinend stellt die Ankündigung der künftigen Überprüfung und eines Verbots von Übermittlungen auf Basis der Standardvertragsklauseln einen Kompromiss zwischen den Behörden dar.  

So hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit im Anschluss an die Veröffentlichung des Positionspapiers klargestellt, dass seine Behörde zumindest derzeit „eine Übermittlung aufgrund von Standardvertragsklauseln oder verbindlichen Unternehmensregelungen nicht beanstandet.“ Allerdings ist noch nicht ersichtlich, ob andere deutsche Datenschutzbehörden dies genauso handhaben oder teilweise womöglich einen restriktiveren Ansatz wählen werden.

Im Ergebnis ist somit selbst bei Nutzung der vorstehend genannten Alternativen zu Safe Harbor Vorsicht geboten. Datenübermittlungen in die USA sollten vor deren Durchführung im Einzelfall genau auf ihre datenschutzrechtliche Rechtmäßigkeit geprüft werden. Dies gilt auch im Hinblick auf langfristig bestehende Vertragsbeziehungen, welche die Übermittlung von Daten in die USA beinhalten. Durch die faktische Übergangsfrist bis Ende Januar 2016 haben die Rechtsanwender nun vorübergehend die Möglichkeit, die Datenübermittlungen jedenfalls vorläufig auf Standardvertragsklauseln umzustellen – allerdings mit den Fragezeichen wie oben dargestellt. Insgesamt scheinen die Datenschutzbehörden abwarten zu wollen, ob die EU und die USA in der Lage sein werden, die strengen Vorgaben des EuGH zu erfüllen und ihre bereits seit geraumer Zeit stattfindenden Verhandlungen hinsichtlich eines Nachfolgeabkommens zur Legitimierung von Datenexporten zwischen beiden Kontinenten erfolgreich abzuschließen. Ob und wann dies allerdings  tatsächlich gelingen wird, hängt in erster Linie von politischen Entwicklungen und dem rechtlichen Entgegenkommen der USA ab. In jedem Falle muss die Rechtsgrundlage von Datenexporten in die USA spätestens Ende Januar 2016 erneut einer rechtlichen Prüfung unterzogen werden.

Im Rahmen unserer Technology Academy am 12. November 2015 in München werden wir neben einer Reihe weiterer interessanter Themen mit besonderer Relevanz für Unternehmen der Technologiebranche und technologiegetriebene Geschäftsvorhaben auch die Folgen des Schrems-Urteils des EuGH näher erläutern. Die Teilnahme ist kostenlos, die Plätze sind allerdings begrenzt. Einen Platz können Sie sich bequem über unsere Webseite sichern.