Gewerblicher Rechtsschutz, Medienrecht und Datenschutz
Newsletter Ausgabe Nr. 3 2015

EuGH kippt Safe Harbor – Datenübermittlungen an amerikanische Unternehmen gefährdet

Der EuGH hat mit Urteil vom heutigen Tage die sogenannten Safe Harbor‐Regeln gekippt. Damit dürfen personenbezogene Daten nicht mehr an Unternehmen in die USA übermittelt werden. Da nach europäischem Datenschutzrecht bereits die Möglichkeit eines Zugriffs von Daten aus dem Ausland heraus eine Übermittlung ist, kann seine Bedeutung für die Praxis nicht unterschätzt werden: Cloud‐basierte Software‐Lösungen, wie sie in den Unternehmensalltag Einzug gefunden haben, beinhalten regelmäßig die Zugriffsmöglichkeit von Drittstaaten aus. Viele Cloud‐Anbieter sitzen nicht im Europäischen Wirtschaftsraum, sondern in den USA. Aber selbst die von Anbietern gepriesenen sogenannten europäischen Lösungen („EU‐only“) helfen meistens nicht weiter. Denn zumindest technischer Support erfolgt häufig aus Drittstaaten, z. B. Indien.

Zum Hintergrund der Entscheidung: Nach der sog. EG‐Datenschutzrichtlinie (RL 95/46/EG) sind Datenübermittlungen in Drittstaaten, d. h. außerhalb des Europäischen Wirtschaftsraums, nur dann zulässig, wenn es in dem Staat, in dem sich der Empfänger befindet, ein angemessenes Schutzniveau gibt. Ob in einzelnen Staaten das Schutzniveau angemessen ist, hat bislang die Kommission durch Beschluss auf Grundlage der Richtlinie entschieden. Da es in den USA keine klassischen Datenschutzgesetze gibt, haben die EU und die USA mit dem Safe‐Harbor‐Abkommen einen völkerrechtlichen Vertrag geschlossen. Dieser stellt datenschutzrechtliche Prinzipien auf, denen sich amerikanische Unternehmen aufgrund von Selbstzertifizierungen unterwerfen können. Der nun vom EuGH angegriffene Beschluss der Kommission von 2000 hat die USA für solche, Safe‐Harbor‐zertifizierte Unternehmen als sicheren Drittstaat eingestuft. An diese Unternehmen konnten damit bislang Daten übermittelt werden.

Der EuGH hat nun geurteilt, dass der Kommissionsbeschluss nicht ausreichend ist. Vielmehr müssen die nationalen Datenschutzbehörden weiterhin prüfen können, ob in dem Drittland in das personenbezogene Daten übermittelt werden sollen, ein angemessenes Schutzniveau besteht. Diese Kompetenz könne nicht durch einen Kommissionsbeschluss beschränkt werden. Der Kommissionsbeschluss aus dem Jahr 2000 ist laut dem EuGH‐Urteil zudem ungültig. Die Kommission habe nicht materiell geprüft, ob in den Vereinigten Staaten aufgrund innerstaatlicher Rechtsvorschriften oder internationaler Verpflichtungen ein angemessenes Schutzniveau gewährleistet wird. Zweifel an der Angemessenheit bestehen hinsichtlich weitreichender Aktivitäten des Geheimdienstes sowie etwaig vorrangig anwendbarer amerikanischer Rechtsvorschriften. Das alleinige Prüfen der Safe Harbor Regelungen reiche für die Begründung des angemessenen Schutzniveaus nicht aus.

Das EuGH‐Urteil vom heutigen Tage gilt unmittelbar nur für Safe Harbor. Es dürfte aber auch für die Übermittlung in andere Staaten weltweit Folgewirkungen haben. Mit einer anderen Kommissionsentscheidung, die nicht Gegenstand des heutigen Urteils war, hat die Kommission entschieden, dass Datenübermittlungen in Drittstaaten dann rechtmäßig sind, wenn sich das Empfängerunternehmen vertraglich gegenüber dem übermittelnden Unternehmen zu standardisierten – von der Kommission vorgegebenen – AGB verpflichtet hat (sogenannte EU‐Standardvertragsklauseln). Diese Kommissionsentscheidung dürfte nunmehr erst recht vor dem EuGH angreifbar sein.

Dr. Gero Ziegenhorn

Dr. Cornelius Böllhoff

Katharina von Heckel