23
Sep
2015

Generalanwalt (EuGH): Safe-Harbor-Abkommen unzureichend für Datentransfers in die USA

Der Generalanwalt des Europäischen Gerichtshofs (EuGH) hat heute seine Stellungnahme (Schlussanträge) in einem viel beachteten Verfahren veröffentlicht (Pressemitteilung vom 23. September, Nr. 106/15, C-362/14), in dem es um die Frage des Transfers von personenbezogenen Daten in die USA geht. Das Verfahren beim EuGH beruht auf einer Vorlage des irischen High Courts, der klären lassen möchte, ob die Entscheidung der EU-Kommission 2000/520/EG vom 26. Juli 2000 über den Abschluss des Safe-Harbor-Abkommens  und die Angemessenheit des Datenschutzniveaus in den USA die nationalen Datenschutzbehörden in den Mitgliedstaaten daran hindert, Beschwerden von Betroffenen nachzugehen, mit denen geltend gemacht wird, dass ein Drittland (hier: die USA) kein angemessenes Schutzniveau gewährleiste. Zudem geht es um die Frage, ob trotz der Entscheidung der EU-Kommission zum Safe-Harbor-Abkommen eine Aussetzung des beanstandeten Datentransfers durch die zuständigen nationalen Datenschutzbehörden möglich ist. Der Generalanwalt bejaht beide Fragen – und geht sogar noch einen Schritt weiter.

Safe-Harbor-Prinzip auf dem Prüfstand

Bekanntlich werden solche internationalen Datentransfers in die USA in der Praxis häufig auf die sogenannten Safe-Harbor-Grundsätze gestützt. Das Prinzip geht auf eine Einigung der Europäischen Kommission mit den USA aus dem Jahr 2000 zurück, das ein angemessenes Schutzniveau für personenbezogene Daten in den USA sicherstellen soll. Vereinfacht gesagt beruht das Safe-Harbor-Prinzip auf einer Zertifizierung von US-Unternehmen (unter Aufsicht des United States Department of Commerce), die sich bestimmten, zwischen der EU Kommission und der USA verhandelten Datenschutzprinzipien unterwerfen. Das Safe-Harbor-Prinzip ist in den vergangenen Jahren (insbesondere durch die NSA-Affäre) in die Kritik geraten. Zuletzt hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder im März 2015 Bedenken an dem Abkommen und der Praxis des Datentransfers in die USA geübt und das Safe-Harbor-Prinzip als ausreichende Grundlage für internationale Datentransfers in die USA in Frage gestellt.

Heute hat nun der Generalanwalt beim EuGH diese Bedenken geteilt und erklärt, dass die Kontrollbefugnisse der zuständigen Datenschutzbehörden durch das Safe-Harbor-Abkommen weder beseitigt noch verringert würden. Der Generalanwalt geht sogar so weit, dass er die Entscheidung der EU Kommission aus dem Jahre 2000 für ungültig hält.

Was folgt aus der Stellungnahme des Generalanwaltes?

 Zwar sind die Schlussanträge des Generalanwaltes für den EuGH nicht bindend und nehmen die Entscheidung des Gerichts deshalb nicht automatisch vorweg. Allerdings sind sie ein starkes Indiz dafür, wie der EuGH entscheiden könnte. Ein Urteil wird in den kommenden 3-4 Monaten erwartet. Oftmals übernimmt der EuGH die Position des Generalanwaltes. Auffällig an der aktuellen Stellungnahme ist, dass sie hinsichtlich der Klarheit des Ergebnisses und der gewählten Formulierungen kaum zu überbieten ist.

Hinzu kommt, dass sich bereits erste deutsche Datenschutzbehörden der Meinung des Generalanwaltes angeschlossen haben. So hat beispielsweise das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (“ULD”) in einer Pressemitteilung von heute (23. September 2015) darauf hingewiesen, dass es bereits vor der Stellungnahme des Generalanwaltes beim EuGH Verfahren gegen Unternehmen in Schleswig-Holstein wegen eines unzureichenden Schutzniveaus eingeleitet habe, die mit Blick auf die anstehende Entscheidung des EuGH lediglich ausgesetzt seien. Die Stellungnahme des ULD zeigt eindringlich, dass mit hoher Wahrscheinlichkeit davon auszugehen ist, dass die aktuelle Fassung des Safe-Harbor-Abkommens für die Zukunft keine tragfähige Grundlage mehr für einen internationalen Datentransfer in die USA sein könnte.

Die Schlussanträge des Generalanwaltes und eine möglicherweise entsprechende Entscheidung des EuGH dürften auch auf die aktuell laufenden Verhandlungen zwischen der EU-Kommission und der USA über die Erneuerung des Safe-Harbor-Abkommens belasten. Unklar ist derzeit, wann diese EU-US Verhandlungen zu einem “neuen” Safe Harbor abgeschlossen sind und mit welchem Ergebnis. Es ist nicht auszuschließen, dass der Zeitplan dieser Verhandlungen auch durch die drohende Entscheidung des EuGH geprägt wird. Nach bisherigen Stellungnahmen von Teilnehmern ist zu erwarten, dass es auch Übergangsregelungen für die Umstellung auf die “neuen” Safe Harbor Regelungen geben soll. Allerdings kann eine drohende deutliche Entscheidung des EuGH auch hier weiteren Druck schaffen.

Dringender Handlungsbedarf

Die Schlussanträge allein haben keine unmittelbare Wirkung. Insofern hat sich die Rechtslage heute nicht geändert.

Unternehmen, die einen Datentransfer auf Grundlage des Safe-Harbor-Abkommens durchführen, müssen sich aber bereits jetzt (spätestens) Gedanken über alternative Begründungen machen. Neben der Entwicklung konzernintern bindender Regelungen (sogenannte Binding Corporate Rules) kommen hierfür insbesondere die Standardvertragsklauseln der Europäischen Union in Betracht, die als Grundlage für eine Vereinbarung zwischen Daten exportierender (EU) und Daten importierender (USA) Stellen in Betracht kommen.

In jedem Fall ist es dringend geboten, die Entwicklung und den Ausgang des Rechtsstreits im Auge zu behalten und rechtzeitig mit der Suche nach Alternativlösungen zu beginnen.