Ein Beitrag von Sylle Schreyer-Bestmann, Rechtsanwältin spezialisiert auf internationalen Datenschutz.
Seit einer Entscheidung der Europäischen Kommission aus dem Jahr 2000 ist es rechtlich möglich, personenbezogene Daten aus der EU in die USA zu übermitteln. Voraussetzung ist, dass der Datenempfänger den sogenannten Safe Harbor Principles beigetreten ist. Nach Auffassung von Yves Bot, Generalanwalt beim Europäischen Gerichtshof, soll der EuGH dem jetzt einen Riegel vorschieben. Wie die Enthüllungen Edward Snowdens über die Ausspähaktivitäten der NSA zeigten, seien die Daten europäischer Bürger in den USA nicht ausreichend geschützt.
Zum rechtlichen Hintergrund
Datentransfers in Drittstaaten, also in Länder außerhalb der EU oder des EWR, sind nach der Europäischen Datenschutzrichtlinie und den Bestimmungen im deutschen Bundesdatenschutzgesetz grundsätzlich nur zulässig, wenn beim Empfänger ein angemessenes Datenschutzniveau besteht. Bestimmte Länder gelten als sicher, da sie über ein Schutzniveau verfügen, das mit dem EU-Standard vergleichbar ist.
Was angemessen ist, wird von der Europäischen Kommission entschieden. Derzeit gehören zum Beispiel die Schweiz, Kanada, Argentinien, Australien, Neuseeland und Israel zu den sicheren Drittländern. Die USA hat insofern einen Sonderstatus, da von einer Angemessenheit des Datenschutzniveaus nur bei einer Safe-Harbor-Zertifizierung des Empfängerunternehmens ausgegangen werden darf. Von dieser Möglichkeit haben immerhin etwa 4.410 Unternehmen Gebrauch gemacht und sich in die entsprechende Liste des US-Handelsministeriums eintragen lassen – darunter Internet-Giganten wie Facebook, Google, Twitter und Yahoo. Safe Harbor soll es ihnen ermöglichen, Daten ihrer EU-Nutzer auch in den USA zu speichern.
Für die Übermittlung von Kundendaten, aber auch von Daten Beschäftigter spielt Safe Harbor eine wichtige Rolle. Beispiel: Übermittelt eine in Europa ansässige Gesellschaft Daten ihrer Mitarbeiter an eine Schwester- oder Muttergesellschaft in den USA, weil die Mitarbeiterdaten dort zentral gespeichert und verarbeitet werden, ist diese Übermittlung ebenfalls nur zulässig, wenn bei der amerikanischen Gesellschaft ein angemessenes Datenschutzniveau vorhanden ist.
Nur der Vollständigkeit halber sei erwähnt, dass weitere Zulässigkeitsvoraussetzungen vorliegen müssen, die denen für die Datenübermittlung innerhalb Deutschlands oder der EU entsprechen.
Max Schrems und die irische Datenschutzkommission
Den Stein ins Rollen brachte der Österreicher Max Schrems, Gründer des Vereins zur Durchsetzung des Grundrechts auf Datenschutz „Europe-v-facebook.org“. Er legte 2013 bei der irischen Datenschutzkommission Beschwerde dagegen ein, dass seine auf Facebook gesammelten Daten von der Facebook Ireland Ltd auf Servern der Facebook Inc. in den USA gespeichert werden. Dort sei kein wirksamer Schutz vor staatlichen Überwachungsmaßnahmen gegeben. Die irische Datenschutzaufsicht weigerte sich indes, einzuschreiten, da sie sich an die Kommissionsentscheidung zu Safe Harbor gebunden fühlte. Der mit dem Fall anschließend befasste irische High Court legte dem EuGH die Frage vor, ob ein Einschreiten der nationalen Datenschutzbehörden aufgrund von Safe Harbor tatsächlich nicht möglich sei.
Safe Harbor schützt EU-Bürger nicht vor Zugriff durch die NSA
Für Generalanwalt Yves Bot ist diese Frage eindeutig mit Nein zu beantworten. Darüber hinaus ist das Safe-Harbor-Abkommen nach seiner Auffassung ungültig. Die von den amerikanischen Nachrichtendiensten ausgeübte Überwachung sei massiv und nicht zielgerichtet. Der Zugang zu personenbezogenen Daten, über den die Nachrichtendienste verfügen, erfasse alle Personen und alle elektronischen Kommunikationsmittel sowie die übertragenen Daten und den Inhalt der Kommunikation. Safer Harbor könne EU-Bürger nicht vor diesem Zugriff schützen.
Die US-Vertretung bei der Europäischen Union appelliert in ihrer gestrigen Stellungnahme an das Gericht, dem Vorschlag seines Generalanwalts nicht zu folgen, um „großen Schaden vom Schutz der Bürgerrechte und dem freien Fluss von Informationen“ abzuhalten.
Entscheidung des EuGH offen
Das Urteil des EuGH soll schon kommenden Dienstag, den 6.10.2015, fallen. Sollte das Gericht dem Vorschlag seines Generalanwalts folgen, wären Datentransfers in die USA künftig kaum noch möglich. Zwar gibt es nach dem Datenschutzrecht alternative Gestaltungsmöglichkeiten, um beim Datenempfänger ein angemessenes Datenschutzniveau herzustellen. Neben den Erlaubnistatbeständen, die das Gesetz zur Verfügung stellt (Einwilligung des Betroffenen, die Erfüllung eines Vertrages oder die Wahrung lebenswichtiger Interessen des Betroffenen), gehören hierzu die Verwendung der EU-Standardvertragsklauseln sowie Binding Corporate Rules.
Sowohl die Standardvertragsklauseln als auch die Binding Corporate Rules enthalten aber Öffnungsklauseln zugunsten staatlicher Kontrollmaßnahmen. Bei Datenübermittlungen in die USA stellt sich daher ebenfalls das Problem, dass dort kein adäquater Schutz gegeben ist.
Mit Einwilligungen der Betroffenen kann im Einzelfall gearbeitet werden. Da die Einwilligung jedoch stets freiwillig erteilt werden muss und jederzeit widerrufen werden kann, scheiden Einwilligungserklärungen als Rechtfertigung für eine flächendeckende Datenübermittlung jedenfalls aus.