Das datenschutzrechtliche Damoklesschwert über den EU-Standardvertragsklauseln

Gefahr für Datenübermittlungen in die USA?

Von unserem Gastautor RA Michael Kamps, CMS Hasche Sigle

[datensicherheit.de, 21.06.2016] Das „Safe Harbor“-Urteil des Europäischen Gerichtshofs (EuGH) im Oktober 2015 schlägt weitere Wellen: Denn die irische Datenschutzbehörde hat jetzt angekündigt, auch die sogenannten „EU-Standardvertragsklauseln“ als weitere Gestaltungsmöglichkeit für internationale Datentransfers gerichtlich überprüfen zu lassen. Damit gerät eine praktisch sehr relevante Alternative zur Gewährleistung eines angemessenen Datenschutzniveaus in Gefahr. Stellt der letztlich wohl dem Fall zu befassende EuGH wie im Falle des Safe Harbor-Konzepts die Unwirksamkeit auch der EU-Standardvertragsklauseln fest, können die Auswirkungen für europäische Unternehmen erheblich sein.

Kern des Problems: Das angemessene Datenschutzniveau

Wenn Unternehmen in der EU personenbezogene Daten an Dritte übermitteln dürfen, diese Empfänger aber außerhalb der EU ansässig sind (oder die Daten dort verarbeiten) müssen ergänzende Anforderungen beachtet werden. Grund hierfür ist die Annahme, dass lediglich in den EU-Mitgliedsstaaten ein „angemessenes Datenschutzniveau“ sichergestellt ist, in allen anderen Ländern (den sogenannten „Drittstaaten“) aber nicht. Für einige dieser Länder bestehen Angemessenheitsentscheidungen der EU-Kommission, also eine allgemeine Feststellung des angemessenen Datenschutzniveaus. Hierzu gehören Andorra, Argentinien, Kanada, die Schweiz, die Faröer-Inseln, Guernsey, Israel, die Isle of Man, Jersey, Neuseeland und Uruguay.

Einen Sonderweg hatte die EU-Kommission für Datenübermittlungen in die USA eingeschlagen: Sofern Empfänger in den USA im Rahmen einer Selbstzertifizierung die Einhaltung der „Safe Harbor“-Prinzipien sicherstellten, durften personenbezogene Daten auch an Stellen in den USA übermittelt werden. Dieser Sonderweg ist jedoch versperrt, seit der EuGH das Safe Harbor-Konzept für unwirksam erklärt hatte. Grund hierfür waren insbesondere die Befugnisse der US-Behörden (z.B. der Geheimdienste) zur anlasslosen Überwachung jeglicher elektronischer Kommunikation und die fehlenden Rechtsschutz-, Berichtigungs- und Löschungsmöglichkeiten für EU-Bürger. Dies sei, so der EuGH mit den Wertungen des europäischen Rechts unvereinbar.

Für die Datenübermittlung in Drittstaaten (einschließlich der USA) standen bislang weitere Gestaltungsmöglichkeiten zur Verfügung: Datenübermittlungen innerhalb von Unternehmensgruppen konnten durch verbindliche Unternehmensregelungen („Bindung Corporate Rules“) gerechtfertigt werden, die in der Regel durch die jeweiligen Aufsichtsbehörden genehmigt werden mussten. Neben Einzelfallgenehmigungen der Aufsichtsbehörden spielten vor allem die EU-Standardvertragsklauseln. Hierbei wurde das erforderliche „angemessene Datenschutzniveau“ durch vertragliche Vereinbarungen auf Grundlage von durch die EU-Kommission vorgegebener Vertragsmuster hergestellt.

„Übermitteln“ auch bei Cloud- und „Software as a Service“-Angeboten

Mit den rechtlichen Anforderungen für international Datentransfers müssen sich zudem nicht nur diejenigen Unternehmen in der EU befassen, die personenbezogene Daten tatsächlich übermitteln, z.B. an eine Niederlassung oder ein Konzernunternehmen in den USA übermittelten. Denn der datenschutzrechtliche Begriff der „Übermittlung“ umfasst auch die anderweitige Bereitstellung oder die bloße Gewährung von Zugriffsmöglichkeiten. Selbst wenn also ein Unternehmen in der EU die Infrastruktur eines Cloud- oder „Software as a Service“-Dienstleisters nutzt und dieser Dienstleister – etwa zu Wartungszwecken – Zugriff auf die in dieser Infrastruktur gespeicherten personenbezogenen Daten haben kann, liegt bereits eine „Übermittlung“ vor, für die die datenschutzrechtlichen Anforderungen zu beachten sind.

EU-Standardvertragsklauseln – eine relativ einfache Gestaltungsmöglichkeit…

Bereits vor dem Safe Harbor-Urteil des EuGH verwendeten viele europäische Unternehmen die EU-Standardvertragsklauseln als Grundlage für Datenübermittlungen in Drittstaaten, auch in die USA. Diese Alternative war vor allem deshalb beliebt, weil die EU-Standardvertragsklauseln jedenfalls bei unveränderter Verwendung der vorgegebenen Vertragsmuster nicht von den Aufsichtsbehörden genehmigt werden mussten und sich mit vergleichsweise überschaubarem Aufwand implementieren ließen.

Die Nutzung der EU-Standardvertragsklauseln hat sich dann nach dem Safe Harbor-Urteil des EuGH nochmals intensiviert. Unternehmen, die Datenübermittlungen oder –zugriffe durch eine Safe Harbor-Zertifizierung beim Empfänger legitimierten, wichen auf die EU-Standardvertragsklauseln aus, und viele Dienstleister boten ihren europäischen Kunden die EU-Standardvertragsklauseln als Alternative an. Dies war und ist die wohl sicherste Alternative für eine rechtskonforme Datenübermittlung, da die europäischen Aufsichtsbehörden die Verwendung der Klauseln auch nach dem Safe Harbor-Urteil vorläufig jedenfalls grundsätzlich tolerieren.

… aber nicht ohne rechtliche Bedenken!

Die vorläufige Duldung der EU-Standardvertragsklauseln durch die Aufsichtsbehörden stand jedoch von Anfang an unter einem Damoklesschwert: Bereits unmittelbar nach der Safe Harbor-Entscheidung wurden rechtliche Bedenken auch gegen die EU-Standardvertragsklauseln geltend gemacht. Denn die Gründe für die Unwirksamkeit des Safe Harbor-Konzepts lassen sich nach Auffassung vieler Datenschutzexperten nahezu unverändert auch auf die EU-Standardvertragsklauseln übertragen: Genau wie nach dem Safe Harbor-Konzept wäre der Empfänger personenbezogener Daten in den USA im Zweifel nicht verpflichtet, gegen die für ihn geltenden US-Gesetze zu verstoßen und z.B. Aufforderungen von US-Behörden zur Herausgabe personenbezogener Daten nicht nachzukommen oder den Zugriff von US-Behörden auf personenbezogene Daten zu verhindern.

Ob die Wertungen der Safe Harbor-Entscheidung tatsächlich auch gegen eine Wirksamkeit der EU-Standardvertragsklauseln (bzw. der entsprechenden Entscheidungen der EU-Kommission) sprechen, wird nun auf Veranlassung der irischen Aufsichtsbehörde zunächst durch ein irisches Gericht und sodann durch den EuGH geprüft werden.

Welche Alternativen bleiben für europäische Unternehmen?

Das ist derzeit unklar. Zwar hat die EU-Kommission hat nach der Safe Harbor-Entscheidung mit ihren US-Partnern über ein Nachfolgekonzept verhandelt. Auf Druck der europäischen Datenschutzbehörden wurde Anfang Februar 2016 der „EU US Privacy Shield“ vorgestellt. Dieser „Datenschutzschild“ basiert auf dem auch bei Safe Harbor verwendeten Konzept einer Selbstzertifizierung auf Grundlage bestimmter Prinzipien. Unter dem Datenschutzschild soll nun die Einhaltung des Regelwerks intensiver kontrolliert und strengere Sanktionen verhängt werden können. Zudem soll der Zugriff auf Daten durch US-Behörden klaren Beschränkungen, Sicherungs- und Überprüfungsmechanismen unterliegen; eine Massenüberwachung soll ausgeschlossen sein. Dies soll eine jährliche Überprüfung unter Einbeziehung der europäischen Datenschutzbehörden sicherstellen. Der Datenschutzschild sieht zudem erweiterte Rechtsschutzmöglichkeiten für EU-Bürger vor, die sich bei möglichen Datenzugriffen durch US-Behörden an einen Ombudsmann wenden und Ansprüche auch vor US-Gerichten geltend machen können.

Auch das Nachfolgekonzept blieb jedoch nicht ohne erhebliche Kritik sowohl der Aufsichtsbehörden als auch des Europäischen Datenschutzbeauftragten: Wird das vorgestellte Konzept nicht erheblich nachgebessert, werden die europäischen Aufsichtsbehörden wohl keine abschließende zustimmende Einschätzung zum Datenschutzschild geben. Deshalb ist mit einer gerichtliche Prüfung auch des neuen Konzepts durch den EuGH zu rechnen

Für europäische Unternehmen, die personenbezogene Daten in die USA übermitteln müssen oder die Leistungen von Dienstleistern in den USA in Anspruch nehmen, könnte sich die Anzahl der zur Verfügung stehenden Gestaltungsmöglichkeiten für rechtskonforme Datenübermittlungen deshalb erheblich reduzieren. Dies betrifft vor allem diejenigen Unternehmen, für die eine Datenverarbeitung ausschließlich innerhalb der EU keine praktikable Alternative ist.

Und nun?

Die irische Aufsichtsbehörde wird ihre jüngste Ankündigung wohl nun zunächst vor dem irischen High Court umsetzen. Wie lange dieses Verfahren dauern wird, ist ebenso wenig verlässlich abzusehen wie der Zeitraum bis zu einer möglichen Entscheidung des EuGH in dieser Sache. Als Anhaltspunkt mag der Zeitraum für die EuGH-Entscheidung zu Safe Harbor dienen: Das Vorabentscheidungsersuchen des irischen Gerichts wurde im Juli 2014 beim EuGH eingereicht, bis zur Entscheidung am 06. Oktober 2015 vergingen demnach rund 15 Monate.

Betroffenen Unternehmen mit Sitz in der EU bleibt deshalb derzeit nur die Möglichkeit, die weitere Entwicklung zu rechtskonformen Datentransfers an Empfänger außerhalb der EU aufmerksam zu verfolgen. Besonders aufmerksam sollten Verlautbarungen der europäischen und der zuständigen nationalen Datenschutzbehörden geprüft werden – denn diese werden letztlich für die Durchsetzung der datenschutzrechtlichen Regelungen gegenüber Unternehmen zuständig sein.

Bild: CMS Hasche Sigle

Michael Kamps ist Rechtsanwalt bei der Wirtschaftskanzlei CMS Hasche Sigle und berät schwerpunktmäßig im Datenschutzrecht.