{"id":25064,"date":"2015-10-07T17:49:19","date_gmt":"2015-10-07T15:49:19","guid":{"rendered":"https:\/\/www.hiig.de\/en\/?p=25064"},"modified":"2018-06-28T13:24:37","modified_gmt":"2018-06-28T11:24:37","slug":"the-usa-is-not-a-safe-harbour-for-european-data","status":"publish","type":"post","link":"https:\/\/www.hiig.de\/en\/the-usa-is-not-a-safe-harbour-for-european-data\/","title":{"rendered":"The USA is not a safe harbour for European Data"},"content":{"rendered":"

The blogpost considers yesterday\u2019s ruling of the ECJ on the Commission\u2019s Safe Harbour Decision and explores its consequences. Can the affected companies avoid the legality issue of transatlantic data transfer by simply shifting all their data handling to EU territory? What are the requirements for a new Safe Harbor Agreement? \u00a0Has the decision a binding effect on US data protection regulation?<\/span><\/em><\/p>\n

Der EuGH ist in seiner gestrigen Entscheidung dem\u00a0Gutachten des Generalanwalts Bot<\/a>\u00a0gefolgt und hat das Safe-Harbour-Abkommen zwischen den USA und der EU in der Rechtssache Schrems gegen den irischen Datenschutzbeauftragten (C-362\/14<\/a>) f\u00fcr unwirksam erkl\u00e4rt.<\/p>\n

Die Entscheidung des EuGH zur G\u00fcltigkeit der Angemessenheitsentscheidung der Kommission<\/h3>\n

Neben Fragen zur den Befugnissen der nationalen Kontrollstellen erkl\u00e4rte der Gerichtshof die\u00a0Angemessenheitsentscheidung der Kommission<\/a>\u00a0f\u00fcr ung\u00fcltig. Darin hatte die Kommission festgestellt, dass die vom US-Handelsministerium herausgegebenen \u201eGrunds\u00e4tze des sicheren Hafens zum Datenschutz\u201c (Annex I) zusammen mit weiteren Dokumenten einen angemessenen Schutz im Hinblick auf Daten\u00fcbermittlungen an\u00a0US-Unternehmen, die sich als durch diese Prinzipien gebunden erkl\u00e4ren<\/a>\u00a0(System der Selbstzertifizierung), gew\u00e4hrleisten.<\/p>\n

Der EuGH erkl\u00e4rte, dass die Kommission Ihrer Pflicht nach Art.\u00a025 Abs.\u00a06 und Abs.\u00a02 der\u00a0EU-Datenschutzrichtlinie 95\/46<\/a>\u00a0festzustellen, dass die USA aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen\u00a0tats\u00e4chlich<\/em>\u00a0ein im Hinblick auf Art.\u00a07, Art.\u00a08 und Art.\u00a047\u00a0EUGRCh<\/a>\u00a0angemessenes Schutzniveau gew\u00e4hrleisten, nicht nachgekommen sei:<\/p>\n

Die Kommission habe es vers\u00e4umt, \u00fcber die vom US-Handelsministerium vorgeschlagenen Safe-Harbour-Grunds\u00e4tze hinaus, die tats\u00e4chliche Rechtslage zu pr\u00fcfen bzw. ihre Entscheidung ver\u00e4nderten oder ggf. erst sp\u00e4ter bekannt gewordenen Fakten anzupassen.<\/p>\n

Dabei sei zun\u00e4chst beachtlich, dass das Safe-Harbour-Regime nur f\u00fcr selbstzertifizierte Unternehmen gelte, die US-Beh\u00f6rden aber nicht binde. Die US-Beh\u00f6rden sicherten auch nicht die Einhaltung des Regimes durch die zertifizierten Unternehmen. Zudem sei ein Vorbehalt einger\u00e4umt worden, wonach Erfordernisse der nationalen Sicherheit, des \u00f6ffentlichen Interesses und die Durchf\u00fchrung von US-Gesetzen stets den Safe-Harbour-Regelungen vorgingen. In diesen F\u00e4llen m\u00fcssten also die zertifizierten Unternehmen die Schutzvorkehrungen von Safe-Harbour unangewandt lassen.<\/p>\n

Die Kommission habe in ihrer Entscheidung auch nicht festgestellt, dass es im US-Recht angemessene Begrenzungen dieser Eingriffe g\u00e4be und\/oder ein wirksamer Rechtsschutz gegen diese Eingriffe gew\u00e4hrleistet sei. Vielmehr gehe aus zwei ihrer sp\u00e4ter verfassten Mitteilungen (COM(2013)\u00a0846<\/a>\u00a0und\u00a0847<\/a>) hervor, dass die amerikanischen Sicherheitsbeh\u00f6rden auf die \u00fcbermittelten Daten zu Zwecken zugreifen k\u00f6nnten, die mit der urspr\u00fcnglichen Zielsetzung bei der \u00dcbermittlung nicht vereinbar seien. Zudem gehe der Zugriff \u00fcber das hinaus, was zum verfolgten Zweck (Schutz der nationalen Sicherheit) erforderlich und verh\u00e4ltnism\u00e4\u00dfig sei. Dar\u00fcber hinaus gebe es keine administrativen oder gerichtlichen Rechtsbehelfe gegen diesen unverh\u00e4ltnism\u00e4\u00dfigen Zugriff, um Zugang zu den betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder L\u00f6schung zu erwirken.<\/p>\n

Auswirkungen des Urteils<\/h3>\n

Unternehmen, die auf Grundlage von Safe-Harbour personenbezogenen Daten in die USA \u00fcbermittelt haben, m\u00fcssen nach dem Wegfall dieser M\u00f6glichkeit ihre\u00a0Vertr\u00e4ge auf neue Grundlagen<\/a>\u00a0stellen. Andernfalls k\u00f6nnen sie Daten nicht legal in die USA \u00fcbermitteln.<\/p>\n

K\u00f6nnten US-Unternehmen ihre Datenverarbeitung einfach nach Europa verlegen?<\/em><\/p>\n

Nach den Snowden-Enth\u00fcllungen begannen US-amerikanische Unternehmen, unter ihnen Microsoft, verst\u00e4rkt europ\u00e4ische Rechenzentren aufzubauen. Sie hofften, ihren Kunden durch die Verlagerung der Datenspeicherung und -verarbeitung auf europ\u00e4ischen Boden \u201eSicherheit\u201c vor den Aktivit\u00e4ten der US-Geheimdienste bieten zu k\u00f6nnen. Dennoch zeigt der\u00a0Microsoft-Case<\/a>\u00a0in den USA, dass auch dadurch das Risiko des Zugriffs der US-Sicherheitsdienste nicht gebannt ist. Denn amerikanische Beh\u00f6rden haben nach wie vor die Rechtsauffassung, auf Daten der europ\u00e4ischen Tochtergesellschaften zugreifen zu d\u00fcrfen. Dieser Fall ist\u00a0zur Zeit vorm Berufungsgericht<\/a>. Nach der aktuellen Rechtslage hilft also allein die Verlagerung der Datenverarbeitung in das Territorium der EU nicht.<\/p>\n

Was br\u00e4uchte es f\u00fcr ein neues Safe-Harbour-Abkommen?<\/em><\/p>\n

Mit dem heutigen Urteil hat der EuGH deutlich gemacht, dass ein Schutz europ\u00e4ischer Daten bei der \u00dcbermittlung in ein Drittland nur angemessen sein kann, wenn er dem innereurop\u00e4ischen Schutz \u201egleichwertig\u201c ist. Das Gericht legt das Wort \u201eangemessen\u201c in Art.\u00a025 Abs.\u00a06 der Richtlinie 95\/46 n\u00e4mlich so aus, dass es das durch die Richtlinie gew\u00e4hrleistete hohe Schutzniveau auch bei der \u00dcbermittlung ins nicht-europ\u00e4ische Ausland garantieren wolle. Anderenfalls k\u00f6nnten die innereurop\u00e4ischen Regelungen leicht durch Verarbeitung au\u00dferhalb der EU umgangen werden. Wenn es ein neues Abkommen geben soll, m\u00fcssen die USA also ihre nationalen Gesetze, zumindest f\u00fcr privat \u00fcbermittelte Daten von EU-B\u00fcrgern, den EU-Standards in seinen Wirkungen weitgehend anpassen.<\/p>\n

Kann der EUGH die USA zur Anpassung ihrer gesetzlichen Regelungen zu einem gleichwertigen Datenschutzniveau zwingen?<\/em><\/p>\n

Nein, der EuGH kann die USA nicht unmittelbar zu \u00c4nderungen verpflichten. Dennoch macht er klar, welche Anforderungen das US-Recht zu erf\u00fcllen h\u00e4tte, um eine Angemessenheit des Datenschutzniveaus und damit die Rechtm\u00e4\u00dfigkeit des transatlantischen Datenverkehrs zu gew\u00e4hrleisten. Der Gerichtshof auferlegt den USA gewisse Datenschutzanforderungen somit lediglich mittelbar.<\/p>\n

Diese indirekte \u201eEinwirkungsm\u00f6glichkeit\u201c er\u00f6ffnet dabei die Datenschutzrichtlinie (insbesondere deren Art.\u00a025 zur Angemessenheitsfeststellung). Die materiellen Erfordernisse folgert das Gericht dann jedoch nicht aus der Richtlinie (nach deren Art.\u00a03 Abs.\u00a01 1.\u00a0SpStr der Bereich der \u00f6ffentlichen Sicherheit und der Sicherheit des Staates ausgenommenen w\u00e4re), sondern aus den Unionsgrundrechten der Art.\u00a07, 8 und 47 EUGRCh. Deren Anforderungen wendet es allgemein auf das zu untersuchende Datenschutzrechtsniveau des Drittlandes USA an.\u00a0Dies verlangt\u00a0nach dem EuGH auch, die US-\u00dcberwachungsma\u00dfnahmen zum Schutz der nationalen Sicherheit gegen\u00fcber EU-B\u00fcrgern einzud\u00e4mmen bzw. jedenfalls auf das zu diesem Zweck Notwendige und Verh\u00e4ltnism\u00e4\u00dfige zu begrenzen. Zudem m\u00fcsse die Einhaltung dieser Grenzen wirksam \u00fcberpr\u00fcft werden. Bei der Schaffung eines gleichwertigen Schutzniveaus sei das\u00a0Drittland in der Wahl seiner Mittel frei.<\/p>\n

Sicherlich wird nach diesem Urteil von Seiten der Unternehmen ein hoher Druck auf die Vertreter der USA und der EU, die bereits ein neues Safe-Harbour-Abkommen verhandeln, ausge\u00fcbt werden.<\/p>\n

Fazit<\/h3>\n

Die Welt r\u00fcckt n\u00e4her zusammen: Wirtschaft, Sicherheit und Grundrechtsschutz. Nationale L\u00f6sungen sind pass\u00e9, aber auch regionale L\u00f6sungen wie in der EU sto\u00dfen an ihre Grenzen. In Sachen Datenschutz ist der \u201eKampf der Systeme\u201c zwischen den USA und der EU besonders ausgepr\u00e4gt \u2013 und wird auf dem R\u00fccken global agierender Unternehmen ausgetragen. Das Schrems-Urteil und der Microsoft-Fall zeigen: beide \u201eSysteme\u201c versuchen, ihre jeweilige Auffassung auch im Bezug auf das andere System durchzusetzen. Eine L\u00f6sung kann jedoch nur im Dialog gefunden werden.<\/p>\n

Photo:\u00a0User:Mr.TinDC<\/a>\u00a0\/\u00a0Flickr<\/a>,\u00a0CC BY-NC-ND 2.0<\/a><\/p>\n

This post is part of a weekly series of articles by\u00a0doctoral canditates<\/a>\u00a0of the Alexander von Humboldt Institute for Internet and Society. It does not necessarily represent the view of the Institute itself. For more information about the topics of these articles and asssociated research projects, please contact\u00a0info@hiig.de<\/a>.<\/h4>\n