UNTERNEHMEN SOLLTEN DATENÜBERMITTLUNG IN USA PRÜFEN

Olaf-MethnerStellungnahme „Safe-Harbor-Urteil“ des EuGH v. 06.10.2015

Düsseldorf, der 03.11.2015 – Am 06. Oktober 2015 traf der Europäische Gerichtshof (EuGH) ein Grundsatzurteil zur Datenübermittlung in die USA. Die deutschen Datenschutzbehörden kündigten bereits an, gegen unzulässigen Datentransfer in die USA bei betroffenen Unternehmen vorzugehen.

Betriebe sollten nun prüfen, welche individuellen Konsequenzen sie aufgrund des EuGH-Urteils in ihrem Alltag ziehen müssen. Als Hilfestellung dienen die folgenden Erklärungen:

Worum geht es in dem Urteil des EuGH?

In der sogenannten Safe-Harbor-Entscheidung vom 06.10.2015 erklärte der EuGH die frühere Entscheidung der EU-Kommission aus dem Jahr 2000 für unwirksam, wonach Datenübermittlungen in die USA aufgrund der dortigen Selbstzertifizierung der Unternehmen grundsätzlich zulässig sind. Die EU-Kommission hatte in ihrer bindenden Entscheidung im Jahr 2000 festgestellt, dass in den USA ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten bestehe, da die dortigen Unternehmen sich den Grundsätzen des „sicheren Hafens“ (= Safe Harbor) für den Datenschutz unterworfen hätten. Auf diese Entscheidung der EU-Kommission konnten sich europäische Unternehmen berufen, wenn sie Daten in die USA übermittelten.

Nun erklärte der EuGH die Entscheidung für unwirksam. Amerikanisches Recht stehe über den „Safe-Harbor“-Grundsätzen, weshalb US-Behörden die ansässigen Unternehmen zur Herausgabe von Daten verpflichten könnten. Hinzu komme, dass die dortigen Regelungen generell die Speicherung aller personenbezogenen Daten sämtlicher Personen ohne eine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels erlauben. Für Bürger gebe es keine Möglichkeit, an ihre Daten zu kommen und diese ggf. berichtigen oder löschen zu lassen.

Welchen Folgen hat das Urteil?

Unmittelbar hat das EuGH-Urteil vom 06.10.2015 zur Folge, dass die nationalen Datenschutzbehörden uneingeschränkt überprüfen können, ob die jeweilige Übermittlung personenbezogener Daten in die USA gerechtfertigt ist. Eine neue Entscheidung der EU-Kommission, die allgemein als Rechtfertigung für Datenübermittlungen in die USA dienen könnte, ist nicht absehbar. Hierzu müsste das amerikanische Datenschutzrecht umfassend geändert werden, was nicht zu erwarten ist.

Auch eine Einwilligung der Betroffenen dürfte als Rechtsgrundlage für die Datenübermittlung ausscheiden. Da der amerikanische Geheimdienst anlasslos Massenüberwachungen durchführen darf (und laut den Veröffentlichungen von Edward Snowden auch tatsächlich durchführt), dürfte nach der Rechtsprechung des EuGH und des Bundesverfassungsgerichts ein Eingriff in den Wesensgehalt des Grundrechts auf informationelle Selbstbestimmung bzw. auf Achtung des Privatlebens vorliegen. In einen solchen Eingriff kann nicht wirksam eingewilligt werden.

Die Datenschutzbeauftragten des Bundes und der Länder haben bereits angekündigt, dass sie nun eingreifen werden, wenn betroffene Unternehmen ihren Datentransfer in die USA ausschließlich auf „Safe Harbor“ stützen.

Falls personenbezogene Daten ohne ausreichende Rechtfertigung in die USA übermittelt werden, handelt es sich gemäß § 43 Abs. 2 Nr. 1 BDSG um eine Ordnungswidrigkeit, die mit einem Bußgeld in Höhe von bis zu 300.000 € geahndet werden kann!

Die europäischen Datenschutzbehörden wollen Anfang 2016 eine gemeinsame Position abstimmen. Mittelfristig wird aber ein politisches Einwirken auf die USA erforderlich sein, um den dortigen Datenschutz zu verbessern, bevor standardisiert personenbezogene Daten wieder dorthin übermittelt werden können.

Welche Auswirkungen entstehen für Unternehmen?

Betroffene Unternehmen, die personenbezogene Daten bislang in die USA transferiert haben, müssen sich auf einige Änderungen ihrer Praxis einstellen:

  • Die bisherigen EU-Standardvertragsklauseln für Datentransfers in die USA erscheinen nach dem EuGH-Urteil unwirksam. Konsequenz: Unternehmen, die für ihre Datenübertragung in die USA Standardvertragsklauseln verwenden, müssen ggf. ihren bisherigen Standardvertrag mit dem Datenimporteuer in den USA kündigen oder zumindest die Datenübermittlungen aussetzen.
  • Auch eine Einwilligung der Betroffenen kann nach dem EuGH-Urteil keine Grundlage mehr für eine Datenübermittlung in die USA sein. Konsequenz: Unternehmen, die sich die Einwilligung der Betroffenen für deren Datenübertragung in die USA eingeholt haben, dürfen sich auf diese Einwilligung nicht mehr berufen.
  • Die Datenschutzbehörden haben angekündigt, Datenübermittlungen in die USA ggf. zu untersagen, wenn sie auf der Grundlage des EuGH-Urteils rechtswidrig sind. Auch die Prüfung von Ordnungswidrigkeiten bei der rechtswidrigen Datenübermittlung wurde angekündigt. Konsequenz: Unternehmen, die Daten in die USA übermitteln, sollten umgehend ihre bisherige Praxis überprüfen und ggf. vorsorglich einstellen, um Untersagungsverfügungen oder Bußgelder zu vermeiden.

In jedem Fall sollten betroffene Unternehmen sowie deren betriebliche Datenschutzbeauftragte umgehend prüfen, welche individuellen Konsequenzen sie aufgrund des EuGH-Urteils in ihrem Unternehmen ziehen müssen.

Für Rückfragen stehen wir Ihnen jederzeit gerne zur Verfügung.

Olaf Methner
Rechtsanwalt | Fachanwalt für Arbeitsrecht
Fachanwalt für Bank- und Kapitalmarktrecht
Fachanwalt für Informationstechnologierecht