Safe-Harbor-Entscheidung – Wie geht es weiter?

Der Europäische Gerichtshof hat am 06.10.2015 in einem in seiner Trageweite als historisch zu bezeichnenden Urteil über den Umgang von Facebook mit europäischen Nutzerdaten das sogenannte „Safe Harbor“-Abkommen zwischen der EU und den USA für ungültig erklärt. Das Urteil hat zur Folge, dass die Übermittlung von personenbezogenen Daten in die USA nicht mehr auf der Grundlage des „Safe Harbor”-Abkommens erfolgen darf (EuGH, 06.10.2015 – C-362/14, Safe-Harbor-Entscheidung). Diese Entscheidung hat über Facebook hinaus weitreichende Folgen sowohl für internationale Internet-Konzerne als auch für mittelständische Unternehmen in Deutschland. Sie betrifft nicht nur die mehr als 5000 Unternehmen, die sich für eine Datenübermittlung nach „Safe Harbor“ registriert haben, sondern faktisch jeden Betrieb, der die Datenverarbeitung an einen Anbieter mit Servern im außereuropäischen Ausland auslagert. Hiervon ist beispielsweise neben der externen Datensicherung auch das Cloud Computing betroffen. Nachfolgenden finden Sie Antworten zu den wichtigsten Fragen.

Worum geht es bei der Safe-Harbor-Entscheidung?

Der EuGH hatte über eine  Vorlage des irischen High Courts zu entscheiden. Dort ist ein Verfahren des österreichischen Juristen Max Schrems gegen die irische Datenschutz-Aufsichtsbehörde anhängig. Herr Schrems wehrt sich dort dagegen, dass Facebook seine persönliche Daten auf Servern in den USA speichert, wo sie nach dessen Auffassung nur unzureichend vor dem Zugriff durch die NSA geschützt sind. Der irische High Court wollte vom EuGH wissen, ob die Safe-Harbor-Entscheidung der EU-Kommission eine nationale Datenschutzbehörde daran hindert, das Datenschutzniveau eines Drittlandes zu prüfen.

Was war Safe-Harbor?

Safe-Harbor war ein im Jahre 2000 ausgehandeltes Abkommen zwischen der EU und den USA. Danach war es US-Unternehmen möglich, über eine Selbstverpflichtung, mit der sie die Einhaltung von EU-Datenschutzstandards garantierten, eine Safe-Harbor-Zertifizierung zu erhalten. Damit war unterstellt, dass die Datenverarbeitung des US-Unternehmens auf EU-Datenschtzniveau erfolgte, so dass die Übermittlung von Daten aus der EU in die USA erleichtert war. Das Safe-Harbor-Abkommen war aber bereits seit dem Jahre 2013 mit dem Bekanntwerden des Ausmaßes der Überwachung der digitalen Kommunikation durch US-amerikanische Geheimdienste durch die Enthüllungen Edward Snowdens in Verruf gekommen. In der Folge stimmte der Innenausschuss des Europaparlaments dafür, das Safe Habor-Abkommen auszusetzen, da man zur Auffassung gelangt war, dass die Grundsätze des „sicheren Hafens“ den EU-Bürgern keinen angemessenen Schutz böten. Auch die Datenschutzbeauftragten des Bundes und der Länder waren der Auffassung, dass durch die Überwachungspraxis der amerikanischen Geheimdienste die Safe-Harbor-Grundsätze verletzt würden.

Dürfen ab sofort keine Daten mehr in die USA übermittelt werden?

Nein, denn anders als in vielen Meldungen geschrieben, hat der EuGH nicht festgestellt, dass Facebook keine Daten mehr in die USA übermitteln darf. Sofern die gesetzlichen Voraussetzungen beachtet werden, sind Datenübermittlungen in die USA weiterhin möglich.

Welche Maßnahmen sind nun geboten?

Es empfiehlt sich, dem Thema Datenschutz künftig insgesamt verstärkt Beachtung zu schenken. Die Entscheidung des EuGH hat diese Problematik jedenfalls auf die Tagesordnung gehoben. Unternehmen sollten sich daher entsprechend darauf einstellen, um Rechtsnachteile zu vermeiden. Konkret drohen hier Bußgelder von Seiten der Aufsichtsbehörden und Abmahnungen durch Wettbewerber.

Ahndungspraxis der Aufsichtsbehörden

Zwar ist bisher eine eher zurückhaltende Ahndungspraxis der Aufsichtsbehörden festzustellen. Dies dürfte unter anderem darauf zurückzuführen sein, dass viele Aufsichtsbehörden der Auffassung sind, es sei besser, durch Aufklärung und Information ein positives Verständnis für den Datenschutz zu wecken als ihn mit repressiven Mitteln durchzusetzen, und ihr Ermessen so ausüben, dass Bußgelder erst im Falle schwerer Verstöße verhängt werden. Hinzu kommt die sparsame personelle Ausstattung der Aufsichtsbehörden. Allerdings ließen einige Datenschutzbeauftragte in jüngerer Vergangenheit bereits erkennen, das Bußgeldverfahren als ein Instrument zum Schutz der informationellen Selbstbestimmung zukünftig stärker zu nutzen, um dagegen vorzugehen, dass Datenschutzverstöße als Teil des unternehmerischen Risikos einkalkuliert und in Kauf genommen werden. Die Entscheidung des EuGH könnte dieser Tendenz weiteren Schub verleihen.

Datenschutzverstöße können abgemahnt werden

Darüber hinaus besteht für Unternehmen, die gegen das Datenschutzrecht verstoßen, nach der neueren Rechtsprechung das Risiko, hierfür von Wettbewerbern kostenpflichtig abgemahnt zu werden. Dies gilt beispielsweise im Falle einer fehlenden Datenschutzerklärung. Danach soll die entsprechende Verpflichtung nicht nur datenbezogene Grundrechte gewährleisten, sondern auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll, weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne. Ebenso können Verstöße gegen alle anderen Vorschriften abgemahnt werden, die von der Rechtsprechung als im Sinne des § 4 Nr. 11 UWG das Marktverhalten regelnde Normen angesehen werden.

Unsere Empfehlung

Unternehmen sollten ihre Datenverarbeitung – dies betrifft beispielsweise neben der externen Datensicherung auch das Cloud Computing – möglichst rechtssicher ausgestalten, in dem sie

  • Datendienstleister beauftragen, die personenbezogene Daten ausschließlich in der Europäischen Union verarbeiten
  • mit dem beauftragten Anbieter Auftragsdatenverarbeitungsverträge abschließen, die gewährleisten, dass das geltende Datenschutzrecht eingehalten wird
  • rechtskonforme Datenschutzerklärungen vorhalten
  • von Betroffenen – soweit möglich – ausdrückliche Einwilligungen einholen.

Erste Reaktionen der Datenschutzbeauftragten

Nachfolgend finden Sie Links zu den Pressemitteilungen der Datenschutzbeauftragten des Bundes und der Länder mit den ersten Reaktionen auf die Entscheidung des EuGH: