Die USA sind kein sicherer Hafen für europäische Daten – was folgt daraus für die Unternehmen und für die Verhandlungen zu einem neuen Safe-Harbour-Abkommen?

Der EuGH ist in seiner gestrigen Entscheidung dem Gutachten des Generalanwalts Bot gefolgt und hat das Safe-Harbour-Abkommen zwischen den USA und der EU in der Rechtssache Schrems gegen den irischen Datenschutzbeauftragten (C-362/14) für unwirksam erklärt.

Die Entscheidung des EuGH zur Gültigkeit der Angemessenheitsentscheidung der Kommission

Neben Fragen zur den Befugnissen der nationalen Kontrollstellen erklärte der Gerichtshof die Angemessenheitsentscheidung der Kommission für ungültig. Darin hatte die Kommission festgestellt, dass die vom US-Handelsministerium herausgegebenen „Grundsätze des sicheren Hafens zum Datenschutz“ (Annex I) zusammen mit weiteren Dokumenten einen angemessenen Schutz im Hinblick auf Datenübermittlungen an US-Unternehmen, die sich als durch diese Prinzipien gebunden erklären (System der Selbstzertifizierung), gewährleisten.

Der EuGH erklärte, dass die Kommission Ihrer Pflicht nach Art. 25 Abs. 6 und Abs. 2 der EU-Datenschutzrichtlinie 95/46 festzustellen, dass die USA aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein im Hinblick auf Art. 7, Art. 8 und Art. 47 EUGRCh angemessenes Schutzniveau gewährleisten, nicht nachgekommen sei:

Die Kommission habe es versäumt, über die vom US-Handelsministerium vorgeschlagenen Safe-Harbour-Grundsätze hinaus, die tatsächliche Rechtslage zu prüfen bzw. ihre Entscheidung veränderten oder ggf. erst später bekannt gewordenen Fakten anzupassen.

Dabei sei zunächst beachtlich, dass das Safe-Harbour-Regime nur für selbstzertifizierte Unternehmen gelte, die US-Behörden aber nicht binde. Die US-Behörden sicherten auch nicht die Einhaltung des Regimes durch die zertifizierten Unternehmen. Zudem sei ein Vorbehalt eingeräumt worden, wonach Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und die Durchführung von US-Gesetzen stets den Safe-Harbour-Regelungen vorgingen. In diesen Fällen müssten also die zertifizierten Unternehmen die Schutzvorkehrungen von Safe-Harbour unangewandt lassen.

Die Kommission habe in ihrer Entscheidung auch nicht festgestellt, dass es im US-Recht angemessene Begrenzungen dieser Eingriffe gäbe und/oder ein wirksamer Rechtsschutz gegen diese Eingriffe gewährleistet sei. Vielmehr gehe aus zwei ihrer später verfassten Mitteilungen (COM(2013) 846 und 847) hervor, dass die amerikanischen Sicherheitsbehörden auf die übermittelten Daten zu Zwecken zugreifen könnten, die mit der ursprünglichen Zielsetzung bei der Übermittlung nicht vereinbar seien. Zudem gehe der Zugriff über das hinaus, was zum verfolgten Zweck (Schutz der nationalen Sicherheit) erforderlich und verhältnismäßig sei. Darüber hinaus gebe es keine administrativen oder gerichtlichen Rechtsbehelfe gegen diesen unverhältnismäßigen Zugriff, um Zugang zu den betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken.

Auswirkungen des Urteils

Unternehmen, die auf Grundlage von Safe-Harbour personenbezogenen Daten in die USA übermittelt haben, müssen nach dem Wegfall dieser Möglichkeit ihre Verträge auf neue Grundlagen stellen. Andernfalls können sie Daten nicht legal in die USA übermitteln.

Könnten US-Unternehmen ihre Datenverarbeitung einfach nach Europa verlegen?

Nach den Snowden-Enthüllungen begannen US-amerikanische Unternehmen, unter ihnen Microsoft, verstärkt europäische Rechenzentren aufzubauen. Sie hofften, ihren Kunden durch die Verlagerung der Datenspeicherung und -verarbeitung auf europäischen Boden „Sicherheit“ vor den Aktivitäten der US-Geheimdienste bieten zu können. Dennoch zeigt der Microsoft-Case in den USA, dass auch dadurch das Risiko des Zugriffs der US-Sicherheitsdienste nicht gebannt ist. Denn amerikanische Behörden haben nach wie vor die Rechtsauffassung, auf Daten der europäischen Tochtergesellschaften zugreifen zu dürfen. Dieser Fall ist zur Zeit vorm Berufungsgericht. Nach der aktuellen Rechtslage hilft also allein die Verlagerung der Datenverarbeitung in das Territorium der EU nicht.

Was bräuchte es für ein neues Safe-Harbour-Abkommen?

Mit dem heutigen Urteil hat der EuGH deutlich gemacht, dass ein Schutz europäischer Daten bei der Übermittlung in ein Drittland nur angemessen sein kann, wenn er dem innereuropäischen Schutz „gleichwertig“ ist. Das Gericht legt das Wort „angemessen“ in Art. 25 Abs. 6 der Richtlinie 95/46 nämlich so aus, dass es das durch die Richtlinie gewährleistete hohe Schutzniveau auch bei der Übermittlung ins nicht-europäische Ausland garantieren wolle. Anderenfalls könnten die innereuropäischen Regelungen leicht durch Verarbeitung außerhalb der EU umgangen werden. Wenn es ein neues Abkommen geben soll, müssen die USA also ihre nationalen Gesetze, zumindest für privat übermittelte Daten von EU-Bürgern, den EU-Standards in seinen Wirkungen weitgehend anpassen.

Kann der EUGH die USA zur Anpassung ihrer gesetzlichen Regelungen zu einem gleichwertigen Datenschutzniveau zwingen?

Nein, der EuGH kann die USA nicht unmittelbar zu Änderungen verpflichten. Dennoch macht er klar, welche Anforderungen das US-Recht zu erfüllen hätte, um eine Angemessenheit des Datenschutzniveaus und damit die Rechtmäßigkeit des transatlantischen Datenverkehrs zu gewährleisten. Der Gerichtshof auferlegt den USA gewisse Datenschutzanforderungen somit lediglich mittelbar.

Diese indirekte „Einwirkungsmöglichkeit“ eröffnet dabei die Datenschutzrichtlinie (insbesondere deren Art. 25 zur Angemessenheitsfeststellung). Die materiellen Erfordernisse folgert das Gericht dann jedoch nicht aus der Richtlinie (nach deren Art. 3 Abs. 1 1. SpStr der Bereich der öffentlichen Sicherheit und der Sicherheit des Staates ausgenommenen wäre), sondern aus den Unionsgrundrechten der Art. 7, 8 und 47 EUGRCh. Deren Anforderungen wendet es allgemein auf das zu untersuchende Datenschutzrechtsniveau des Drittlandes USA an. Dies verlangt nach dem EuGH auch, die US-Überwachungsmaßnahmen zum Schutz der nationalen Sicherheit gegenüber EU-Bürgern einzudämmen bzw. jedenfalls auf das zu diesem Zweck Notwendige und Verhältnismäßige zu begrenzen. Zudem müsse die Einhaltung dieser Grenzen wirksam überprüft werden. Bei der Schaffung eines gleichwertigen Schutzniveaus sei das Drittland in der Wahl seiner Mittel frei.

Sicherlich wird nach diesem Urteil von Seiten der Unternehmen ein hoher Druck auf die Vertreter der USA und der EU, die bereits ein neues Safe-Harbour-Abkommen verhandeln, ausgeübt werden.

Fazit

Die Welt rückt näher zusammen: Wirtschaft, Sicherheit und Grundrechtsschutz. Nationale Lösungen sind passé, aber auch regionale Lösungen wie in der EU stoßen an ihre Grenzen. In Sachen Datenschutz ist der „Kampf der Systeme“ zwischen den USA und der EU besonders ausgeprägt – und wird auf dem Rücken global agierender Unternehmen ausgetragen. Das Schrems-Urteil und der Microsoft-Fall zeigen: beide „Systeme“ versuchen, ihre jeweilige Auffassung auch im Bezug auf das andere System durchzusetzen. Eine Lösung kann jedoch nur im Dialog gefunden werden.

Foto: User:Mr.TinDC / Flickr, CC BY-NC-ND 2.0

Dieser Beitrag ist Teil der regelmäßig erscheinenden Blogartikel der Doktoranden des Alexander von Humboldt Institut für Internet und Gesellschaft. Er spiegelt weder notwendigerweise noch ausschließlich die Meinung des Institutes wieder. Für mehr Informationen zu den Inhalten dieser Beiträge und den assoziierten Forschungsprojekten kontaktieren Sie bitte info@hiig.de.