„Safe Har­bour“ vom EuGH für un­gül­tig er­klärt - Da­ten­trans­fer in die USA ist ein Pro­blem!

2015-05

Am 6.10.2015 hat der EuGH das Urteil im Fall Schrems gegen Facebook gesprochen. Demnach sind die persönlichen Daten europäischer Internetnutzer nach Ansicht des EuGH in den USA nicht ausreichend vor dem Zugriff von Behörden geschützt. Aus diesem Grund wurde die Vereinbarung zur vereinfachten Datenübermittlung und Datenüberlassung in die USA („Safe Harbour“) für ungültig erklärt.

Auf Basis von Safe Harbour konnten Daten bisher ohne Genehmigung der österreichischen Datenschutzbehörde („DSB“) an bestimmte Unternehmen in den USA überlassen werden, die sich dem Safe-Harbour-Regime im Wege einer Selbstzertifizierung unterworfen hatten.

Nach diesem Urteil stellt sich für viele Unternehmen die Frage, ob und gegebenenfalls wie Daten rechtlich korrekt weiterhin in die USA zur Verarbeitung überlassen werden dürfen. Dies betrifft insbesondere auch die Überlassung in sogenannte Clouds (Cloud Computing), die eine immer stärkere ökonomische Bedeutung gewinnen.

Die Vorgeschichte

Im Jahr 2013 brachte der österreichische Jus-Student Max Schrems eine Klage gegen Facebook wegen Verletzung des Datenschutzgesetzes in Irland ein. Er argumentierte, dass Facebook unter Berufung auf das Safe-Harbour-Regime automatisch alle Daten in die USA übermittle.

Nach Ansicht von Max Schrems verstoße es gegen EU-Recht, Daten ohne eine Prüfung durch nationale europäische Behörden, ob Facebook in den USA europäisches Datenschutzrecht einhält, dorthin zu übermitteln.

Der High Court of Ireland stellte bereits Ende September 2014 fest, dass diese Frage für die Auslegung des Unionsrechts relevant gewesen sei und leitete daher ein Vorabentscheidungsverfahren beim EuGH ein, der den Fall zur Aktenzahl C-362/14 führte.

Entscheidungsinhaltlich war, ob das Safe-Harbour-Regime mit EU-Recht im Einklang steht. Das Safe-Harbour-Regime basierte auf einem Vertrag zwischen der EU und den USA, der eine Selbstzertifizierung der US-Unternehmen vorsah. Die EU-Kommission fasste einen Beschluss, der diese Vereinbarung sanktionierte. Alle Unternehmen, die in der Liste der US-Regierung als zertifiziert eingetragen waren, sollten im Hinblick auf das Datenschutzrecht so behandelt werden, als wären sie europäische Gesellschaften.

Am 6.10.2015 urteilte der EuGH, dass das Safe-Harbour-Abkommen zwischen den USA und der EU ungültig sei, da US-Unternehmen wegen der behördlichen Zugriffsmöglichkeiten in den USA keinen adäquaten Datenschutz bieten könnten. Seit den Enthüllungen von Edward Snowden gelten US-Unternehmen nicht mehr als „sicherer Hafen“ für die Daten europäischer Nutzer.

Konsequenzen für Unternehmen in Österreich

Die Entscheidung hat für Unternehmen in den USA und Europa weitreichende Konsequenzen. Keine Auswirkungen gibt es für Privatpersonen, da dieser Datenverkehr immer genehmigungsfrei war und dies nach wie vor ist.

Für Unternehmen ist ein genehmigungsfreies Übermitteln oder Überlassen von Daten in die USA oder in Clouds von US-Unternehmen unter dem Safe-Harbour-Regime jedoch nicht mehr möglich. Die USA gelten ab sofort als „unsicherer Drittstaat“. In Zukunft werden Unternehmen beim Datenverkehr in die USA oder mit einem US-Anbieter (z. B. US-Cloudprovider) den für ihr konkretes Vorhaben adäquaten korrekten Weg – gegebenenfalls nach anwaltlicher Beratung – wählen müssen, um „compliant“, also gesetzeskonform zu sein. Im Folgenden werden diese Möglichkeiten aufgezeigt:

Möglichkeiten des genehmigungsfreien Datenverkehrs mit den USA

Ohne Genehmigung der DSB kann der Datenverkehr in die USA zur Erfüllung von eindeutig im Interesse des Betroffenen abgeschlossenen Verträgen erfolgen (§ 12 Abs. 3 Z 6 DSG 2000). Dies trifft z. B. auf Kaufverträge zu, bei denen der Geschäftspartner seinen Sitz in den USA hat.

Praktisch relevanter ist die genehmigungsfreie Weitergabe der personenbezogenen Daten in die USA mit Zustimmung des Betroffenen. Der Betroffene ist meist der Kunde des Unternehmens, das Daten verarbeitet (z. B. der Kunde einer Bank). In der Praxis hat das aber nur dort Relevanz, wo der Kunde des datenschutzrechtlichen Auftraggebers/Unternehmers beispielsweise über AGB oder einzelvertraglich seine Zustimmung erteilen kann. Dabei ist zu beachten, dass die Zustimmung „informiert“ erfolgen muss, also unter genauer Kenntnis, welche Daten an welches Unternehmen zu welchem Zweck überlassen oder übermittelt werden. Viele datenverarbeitende Unternehmen können aber nicht jeden einzelnen Betroffenen um Zustimmung bitten.

Soweit es sich um die Übermittlung oder Überlassung von Daten laut einer Standardverordnung (§ 17 Abs. 2 Z 6 DSG 2000) handelt, bedarf es ebenfalls keiner Genehmigung der DSB.

Im Rahmen des Genehmigungsverfahrens behält sich die Datenschutzbehörde (diesbezüglich) aber die Beurteilung des im Empfängerstaat geltenden angemessenen Datenschutzniveaus gemäß § 13 Abs. 2 DSG 2000 im Einzelfall vor.

Europäische Standardvertragsklauseln und Binding Corporate Rules

Laut einer Stellungnahme der Europäischen Kommission zur Safe-Harbor-Entscheidung ist der Transfer personenbezogener Daten in die USA auch in Zukunft mit Mechanismen wie Europäischen Standardvertragsklauseln (2001/497/EG, 2004/915/EG oder 2010/87/EG) und Binding Corporate Rules (verbindliche unternehmensinterne Vorschriften) möglich.

Diese Instrumentarien werden wohl die praktisch relevantesten sein. Allerdings ist zu beachten, dass die DSB selbst bei der unveränderten Übernahme der Europäischen Standardvertragsklauseln in den Dienstleistervertrag einen Genehmigungsbescheid erlassen muss und der Transfer in die USA nicht aufgenommen werden darf, bevor dieser Bescheid vorliegt. Bei der Verwendung der unveränderten Europäischen Standardvertragsklauseln muss die DSB allerdings einen positiven Bescheid erlassen. Auch die Binding Corporate Rules sind vor ihrer Verwendung behördlich zu genehmigen.

Empfehlung

Zusammenfassend ergibt sich, dass der Datentransfer in die USA von den betroffenen Unternehmen einer genauen Prüfung zu unterziehen ist, um gesetzeskonform zu bleiben.

Autoren

Picture of Johannes Juranek
Johannes Juranek
Managing Partner
Wien