[datensicherheit.de, 16.07.2020] Dass es nach Ansicht des höchsten Unionsgerichts nicht „weiter so“ beim Privacy Shield gehen konnte, sei begrüßenswert, meint der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI).Er sieht nach eigenen Angaben „schwere Zeiten für den internationalen Datenaustausch“ aufziehen, nachdem der Europäische Gerichtshof (EuGH) die „Privacy Shield“-Vereinbarung suspendiert und die sogenannten Standardvertragsklauseln bestätigt habe.

HmbBfDI

Prof. Dr. Johannes Caspar: Schwere Zeiten für den internationalen Datenaustausch!

Privacy Shield als Rechtsbasis der Datenübermittlung in die USA für unwirksam erklärt

Mit seiner Entscheidung am 16. Juli 2020 (Rechtssache C-311/18) habe der EuGH das sogenannte Privacy Shield zur Datenübermittlung in die USA für unwirksam erklärt – gleichzeitig aber die Gültigkeit des Beschlusses zu den „Standardvertragsklauseln“ aufrechterhalten.
Dass es nach Ansicht des höchsten Unionsgerichts nicht „weiter so“ beim „Privacy Shield“ gehen könne, sei begrüßenswert. Die Umetikettierung des im Jahr 2015 für ungültig erklärten Vorgängerinstruments – „Safe Harbor“ – mit nur marginalen Verbesserungen habe zu keinem Umdenken der Regierung der USA geführt:
„Weder wurde bei der Praxis der anlasslosen Massenüberwachung etwas geändert, noch wurde eine substanzielle Stärkung der Betroffenenrechte erreicht.“ Zu Recht verweise der EuGH beispielhaft auf die faktisch nicht hilfreiche Einführung einer Ombudsperson, welche zunächst nach einem effektiven Instrument klinge, jedoch über keine angemessenen Befugnisse verfüge.

Privacy Shield: Ungültigkeit primär mit ausufernder Geheimdienstaktivitäten begründet

Vor diesem Hintergrund sei die Entscheidung des EuGH, die „Standardvertragsklauseln“ (SCC) als angemessenes Instrument beizubehalten, „nicht konsequent“. Wenn die Ungültigkeit des „Privacy Shield“ primär mit den ausufernden Geheimdienstaktivitäten in den USA begründet werde, müsse dasselbe auch für die „Standardvertragsklauseln“ gelten.
Vertragliche Vereinbarungen zwischen Datenexporteur und -importeur seien gleichermaßen ungeeignet, um Betroffene vor dem staatlichen Zugriff zu bewahren. „Zumindest hinsichtlich des Abschlusses der SCC mit dem streitgegenständlichen US-Unternehmen hätte der EuGH zu demselben Ergebnis kommen müssen. Allerdings hat er sich bei seiner Prüfung auf die formale Eignung im bilateralen Verhältnis zwischen europäischem Verarbeiter und dem im Drittland beschränkt.“
Zugleich habe er klargestellt, dass die rechtlichen Verhältnisse in dem jeweiligen Drittland unter Berücksichtigung aller Umstände und mit den Maßstäben, welche die DSGVO für die Prüfung bei Angemessenheitsbeschlüssen durch die EU-Kommission formuliere, zusätzlich zu prüfen seien, um einen Datentransfer über SCC zu ermöglichen.

Privacy Shield: Konsequenzen der weiteren Nutzung zu klären!

Die Handlungsmöglichkeiten datenexportierender Unternehmen seien nun dieselben wie schon vor fünf Jahren, als der „Safe-Harbor“-Mechanismus für ungültig erklärt wurde. Neben „Binding Corporate Rules“ und Einzelvereinbarungen seien es vor allem die SCC, welche als Grundlage für Übermittlungen in Drittstaaten genutzt werden könnten. Gleichzeitig sei jedoch die Unsicherheit dieses Mal gestiegen:
Der EuGH spiele den Ball den europäischen Aufsichtsbehörden zu. Er betone ihre jeweilige Aufgabe, Datentransfers auf Grundlage der „Standardvertragsklauseln“ auszusetzen oder zu verbieten. Dabei würden sie die inhaltlichen Maßstäbe der heutigen Entscheidung zu beachten haben. Insbesondere müssten sie nun ein besonderes Augenmerk auf das Datenschutzniveau im Empfängerstaat legen.
Sowohl die Verhältnismäßigkeit behördlicher Zugriffsmöglichkeiten als auch die Garantie eines funktionierenden Rechtsschutzes habe der Exporteur seiner örtlich zuständigen Datenschutzbehörde auf Verlangen nachzuweisen. Die Aufsichtsbehörden im Europäischen Datenschutzausschuss seien ihrerseits aufgerufen, gemeinsam die rechtliche und tatsächliche Situation in den Empfängerstaaten zu evaluieren. „Neben den USA betrifft diese Verantwortung gerade auch die übrigen Staaten außerhalb des EWR, für die keine Angemessenheitsentscheidungen der Europäischen Kommission vorliegen.“ Der Verbund der Datenschutz-Aufsichtsbehörden in Deutschland und in Europa müsse sich nun schnell verständigen, wie mit Unternehmen umgegangen wird, die nun unzulässigerweise weiter auf das „Privacy Shield“ setzen. Dasselbe gelte für Unternehmen, welche „Standardvertragsklauseln“ für die Übermittlung in die USA und in andere Drittstaaten benutzen.

Entscheidung zu Privacy Shield betrifft internationalen Datentransfer insgesamt

„Nach der heutigen EuGH-Entscheidung befindet sich der Ball wieder einmal im Spielfeld der Aufsichtsbehörden, die nun vor der Entscheidung stehen werden, insgesamt die Datenübermittlung über ,Standardvertragsklauseln‘ kritisch zu hinterfragen. Das betrifft dann letztlich aber nicht nur Staaten, die sich wie die USA zumindest immerhin bemüht hatten, den Eindruck zu machen, adäquate Strukturen des Datenschutzes zu schaffen“, kommentiert Prof. Dr. Johannes Caspar, der HmbBfDI.
Für Länder wie China seien derartige datenschutzrechtliche Vorkehrungen „weit entfernt“. Auch mit Blick auf den „BrExit“ werde sich die Frage der zulässigen Datenübermittlung stellen. Für den internationalen Datenverkehr zögen „schwere Zeiten“ auf. Unter dem Strich blieb die Erkenntnis: „In den vergangenen Jahren ist es den USA, aber auch der EU-Kommission nicht gelungen, eine tragfähige Grundlage für einen angemessenen Schutz von Daten zu implementieren, die dem europäischen Datenschutzstandard entspricht.“
Die Auswirkungen dieses Urteils betreffen laut Professor Caspar den internationalen Datentransfer insgesamt. Eine Datenübermittlung in Staaten ohne angemessenes Datenschutzniveau werde es daher künftig nicht mehr geben dürfen. „Hier sind die Aufsichtsbehörden in besonderer Weise gefordert, eine gemeinsame Strategie zu entwickeln und umzusetzen“, betont der HmbBfDI.

Weitere Informationen zum Thema:

datensicherheit.de, 02.02.2020
EU-US Privacy Shield könnte 2020 kippen

datensicherheit.de, 27.05.2019
Internetwirtschaft diskutiert Datenschutz in Washington: EU-US Privacy Shield stärken

[datensicherheit.de, 10.02.2016] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat in einer aktuellen Stellungnahme Zweifel an Fortschritten in den Verhandlungen der Europäische Kommission mit den USA nach dem Safe-Harbor-Urteil angemeldet.

 Frist bis Ende Februar 2016

Nach eigenen Angaben der Europäische Kommission seien Eckpunkte einer Vereinbarung mit den Vereinigten Staaten von Amerika zur Neugestaltung von Datenübermittlungen in die USA unter Dach und Fach. Wesentliche Inhalte dieser politischen Einigung seien Verbesserungen beim Rechtsschutz, eine fortwährende Kontrolle unter Einbeziehung der Datenaufsichtsbehörden, eine Verringerung der Zugriffswahrscheinlichkeit auf europäische Daten in den USA und ausdrückliche Verbesserungen der Rechtslage in den USA.
Diese und weitere Punkte seien Gegenstand der politischen Abreden, so der LfDI RLP, Prof. Dieter Kugelmann. Deren genauen Inhalte und insbesondere ihre Verbindlichkeit könnten noch nicht abschließend bewertet werden. Die Datenschützer auf europäischer Ebene hätten eine intensive Prüfung angekündigt, die zunächst von dem Vorliegen eines Textes der Abrede abhänge. Dafür sei der Kommission eine Frist bis Ende Februar 2016 gesetzt worden. Die für Anfang Februar angekündigten Prüfungen, ob Instrumente wie die Standardvertragsklauseln weiter Bestand haben, seien insoweit verschoben worden.

Ungewissheiten bleiben weiter bestehen

Die seit der Entscheidung des EuGH bestehenden Ungewissheiten hinsichtlich der Zulässigkeit von Datentransfers in die USA blieben daher weiter bestehen – zum Nachteil von Millionen Bürgerinnen und Bürgern in Europa, die aktuell nicht wissen könnten, ob mit ihren persönlichen Daten angemessen umgegangen wird; zum Nachteil von Unternehmen, die zur Zeit nur schwer einschätzen könnten, ob wirtschaftlich notwendige Datenübermittlungen in die USA rechtskonform sind; und zum Bedauern der Aufsichtsbehörden, die eine klare und einheitliche Position anstrebten, jetzt aber erst einmal die politische Einigung der Kommission bewerten müssten.
Im Augenblick ließen sich keine verbindlichen und langfristigen Aussagen von Seiten der Aufsichtsbehörden treffen, sondern nur Übergangsregelungen finden. Für die Unternehmen bedeute dies, dass aktuell in Anspruch genommene Instrumentarien zur Übermittlung von Daten in die USA bis Ende Februar 2016 weiter genutzt werden könnten – dies werde der LfDI RLP nicht beanstanden oder unterbinden. Allerdings gelte dies nicht für Datenübermittlungen auf Grundlage der ungültigen Safe-Harbor-Entscheidung der Kommission, denn diese seien seit der Entscheidung des EuGH vom 6. Oktober 2015 unzulässig.

Intensive Beobachtung angekündigt

Das weitere Vorgehen der Aufsichtsbehörden hänge nun angesichts der Umtriebigkeit auf europäischer Ebene von der Bewertung der Rechtslage ab. Man werde die Entwicklung sehr intensiv beobachten und im März 2016 über weitere Schritte beraten und dann informieren, kündigt Kugelmann an.
Man werde den „seit Oktober beschrittenen Weg fortsetzen“. Dazu zählten insbesondere Konsultationen mit Unternehmen im Einzelfall, Hinweise auf Alternativen zu Datenübermittlungen in die USA und erforderlichenfalls die Erhebung weiterer Informationen hinsichtlich der unternehmerischen Praxis.

Klare Grundlage für Datenübermittlungen in die USA gefordert

Die Prüfung der Abrede, die zwischen Kommission und US-Regierung jetzt getroffen wurde, erstrecke sich auch auf die weiteren Instrumentarien für Datenübermittlungen ins Ausland, insbesondere auf Standardvertragsklauseln und „Binding Corporate Rules“.
Auf dem Prüfstand stehe deren weitere Vereinbarkeit mit den Grundsätzen des europäischen Datenschutzes, wie sie das europäische Verfassungsrecht vorgebe und der EuGH entwickelt habe. Professor Kugelmann hält dazu abschließend fest, dass „diese komplizierten rechtlichen Erörterungen“ so früh wie möglich zu einer klaren Grundlage für Datenübermittlungen in die USA durch die Wirtschaft führen müssten. Das sei man allen Beteiligten, Bürgern und Unternehmen, schuldig. Der LfDI RLP werde seinen Teil dazu tun.

Weitere Infromationen zum Thema:

datensicherheit.de, 07.02.2016
Privacy Shield: Heftige Kritik am neuem Datenabkommen zwischen EU und USA

datensicherheit.de, 03.02.2016
TeleTrusT: „EU-US Privacy Shield“ weder Schutz noch Schild

[datensicherheit.de, 07.02.2016] Der Ansatz des „Safe Harbor“-Folgeabkommens „Privacy Shield“ wird von der Grundrechte- und Datenschutzorganisation Digitalcourage heftig kritisiert:
„Privacy Shield“ könne nach aktuellem Erkenntnisstand demnach das EU-Grundrecht auf Privatsphäre in keiner Weise schützen.

Massenüberwachung und fehlender Datenschutz als Kernprobleme

Nachdem der EU-Gerichtshof das „Safe Harbor“-Abkommen gekippt hat, versuchen EU und USA ein neues Datenabkommen auszuhandeln. Kernprobleme seien die Massenüberwachung durch die USA und fehlende US-Datenschutzgesetze. Mit dem „Privacy Shield“ drohe ein wirtschaftsfreundliches Abkommen, das diese Grundrechtsfragen nicht löse, so Digitalcourage.

„Privacy Shield“-Ansatz mit Pseudo-Datenschutz

Die Daten der Menschen in Europa, die in die USA übertragen werden, wären durch die „Privacy Shield“-Vereinbarung in etwa so gut geschützt „wie ein Gemüsegarten ohne Zaun, gesichert durch ein Schild, das Wildschweinen das Betreten verbietet“, warnt Rena Tangens, Gründungsvorstand von Digitalcourage.
Das „Privacy Shield“ sei ein „Verschleierungstrick“, sagt Friedemann Ebelt, Campaigner bei Digitalcourage, denn das „Schutzschild für Privatsphäre“ solle die Tatsache verdecken, dass es keine Lösung für die grundrechtswidrige Massenüberwachung gebe. Solange wirksame Reformen ausblieben, seien private und geschäftliche Daten weiterhin nicht geschützt.

Schutzschild auf Basis unwirksamer Versprechen

Der von der EU-Kommission präsentierte Ansatz für ein „Privacy Shield“ sei lediglich auf unwirksame Versprechen gestützt. Er verhindere gar notwendige Reformen, so Digitalcourage:
Die Praktiken anlassloser Massenüberwachung in der EU und in den USA würden nicht reformiert. Die USA sollten lediglich versprechen, den Zugriff auf persönliche Daten von Menschen in der EU zu beschränken. Umfangreiche Überwachungsgesetze blieben dagegen weiterhin in Kraft. Unternehmen, die persönliche Daten in die USA bewegen, sollten lediglich versprechen, sich an den EU-Datenschutz zu halten. Für die Einhaltung  dieser Versprechen sorgten jedoch keine Datenschutzgesetze, sondern die „US Federal Trade Commission“, welche diese Aufgabe bereits in den letzten 15 „Safe Harbor“-Jahren nicht erfüllt habe. Wie Menschen in der EU ihre Grundrechte durchsetzen können, sei ebenfalls nicht konkret geklärt. Das Grundrecht auf Privatsphäre solle nicht durch Gesetze vor anlassloser Massenüberwachung des US-Geheimdienstes NSA geschützt werden, stattdessen eine unparteiische Schiedsstelle geschaffen werden, von der aber fraglich sei, ob sie irgendwelche Befugnisse zur Rechtsdurchsetzung haben wird.

EU-Datenschutzbeauftragte bezieht Position

Isabelle Falque-Pierrotin, die Vorsitzende der „Artikel-29-Gruppe“ (Beratungsgremium aller EU-Datenschutzbeauftragten), hat erhebliche Bedenken gegenüber dem aktuellen US-Rechtssystem in Bezug auf das Ausmaß der Massenüberwachung und den Rechtsschutz der Betroffenen geäußert.
Jetzt würden die Datenschützer analysieren, inwieweit der „Privacy Shield“-Vorschlag eine rechtliche Grundlage für Datentransfer sein kann. Damit die Grundrechte der Menschen in Europa gesichert seien, müssten Überwachungsmaßnahmen der „Artikel-29-Gruppe“ zufolge vier Kriterien erfüllen:

• Die geheimdienstliche Datenverarbeitung müsse auf klaren und transparenten Regeln basieren.
• Die Datenverarbeitung müsse in einem angemessenen Verhältnis zu den Grundrechten des Individuums stehen.
• Es müsse ein unabhängiger Kontrollmechanismus existieren.
• Jede Person müsse das Recht haben, ihre oder seine Rechte vor einer unabhängigen Instanz zu verteidigen.

Weitere Schritte der EU-Kommission

Die EU-Kommission will im Laufe des Monats Februar 2016 einen konkreten Vorschlag vorlegen. Danach würden die EU-Datenschutzbeauftragten prüfen, ob das „Privacy Shield“-Abkommen die oben genannten Kriterien erfüllt.

Digitalcourage sieht Handlungsdruck

Das „Gute an der schlechten Nachricht“ sei, dass sich deutsche Unternehmen aufgefordert fühlen könnten, ihre Datenverarbeitung ins europäische Inland zu verlegen. Zudem könne die US-amerikanische Gesetzgebung angeregt sein, in den USA eine dem europäischen Recht vergleichbare Datenschutzgesetzgebung zu erarbeiten und zu beschließen.

Weitere Informationen zum Thema:

datensicherheit.de, 03.02.2016
TeleTrusT: „EU-US Privacy Shield“ weder Schutz noch Schild

STATEMENT OF THE ARTICLE 29 WORKING PARTY, 03.02.2016
ON THE CONSEQUENCES OF THE SCHREMS JUDGMENT

digitalcourage
„Safe Harbor 2.0“: Appell-Brief an Maas, Oettinger und de Maizière

[datensicherheit.de, 03.02.2016] Am 02.02.2016 hat die EU-Kommission den erfolgreichen Abschluss der Verhandlungen mit den USA über eine Folgevereinbarung zum Safe-Harbor-Abkommen mitgeteilt. Künftig sollen Daten in die USA datenschutzkonform auf Basis des EU-US Privacy Shield übermittelt werden dürfen. Bereits jetzt sei klar, dass die neue Vereinbarung geltendes EU-Recht brechen werde, weil sie keinen ausreichenden Schutz der Daten vorsieht. Unternehmen könnten sich auf diesen Schild nicht verlassen.

Inhalt der Vereinbarung soll insbesondere die Zusage der US-Regierung werden, den massenhaften Datenzugriff der US-Behörden auf das erforderliche Maß zu beschränken und entsprechende Schutzmechanismen zu etablieren. Eine Massendatenspeicherung solle ausgeschlossen sein. Europäische Aufsichtsbehörden sollen nun Beschwerden an das US-Handelsministerium und die FTC weiterleiten können. Für Beschwerden gegen den Zugriff von Regierungsbehörden werde ein neuer Ombudsmann geschaffen.

RA Karsten U. Bartels, HK2 RAe Berlin (TeleTrusT-Vorstand und Leiter der TeleTrusT-AG „Recht“): „Bereits vor Veröffentlichung des vollständigen Vertragstextes ist klar, dass die Forderungen des EuGH aus dem ‚Schrems-Urteil‘ so nicht erfüllt werden können. Statt staatlicher Regeln zur Begrenzung des Datenzugriffs seitens der USA bleibt es bei einseitigen Absichtserklärungen. Statt eines wirksamen gerichtlichen Rechtsschutzes richten die USA lediglich Kummerkästen ein. Völlig außer Acht lässt die Kommission, dass die Sammelwut der USA bis zum nächsten Snowden wieder im streng Geheimen stattfindet. Die Wahrung des europäischen Grundrechts auf Schutz der personenbezogenen Daten würde dagegen ein radikales Umdenken der USA beim Thema Datenschutz, insbesondere beim Zugriff der Geheimdienste, voraussetzen. Das ist aber keineswegs in Sicht. Dies zeigen nicht zuletzt auch die aktuellen Gesetzgebungsverfahren zum USA Freedom Act und dem Judicial Redress Act. Beide werden die vom EuGH aufgezeigten Missstände nicht beseitigen.“

Die Annahme, die USA würden allein aufgrund des Privacy Shield das Datenschutzniveau angemessen anheben können, seit nicht vertretbar. Es hieße nicht weniger als den Europäern ein höheres Schutzniveau zu gewähren als den eigenen Bürger gegenüber. Tatsächlich werde die Einhaltung eines EU-grundrechtskonformen Schutzniveaus auch weiterhin alleine in das Ermessen der USA gestellt. Dies sei eine Kapitulation ins Sachen Datenschutz und IT-Sicherheit. Die Kommission scheue dabei die Konsequenzen der derzeit gebotenen Einstufung der USA als unsicheres Drittland und verkenne dabei, dass die europäischen, insbesondere auch deutschen Unternehmen wirtschaftlich von einem konsequenten Handeln hätten profitieren können. Stattdessen präsentiere die Kommission einen Schnellschuss, der sich auf die Beteuerungen eines Verhandlungspartners verlasse, wegen dessen verdeckten Datenzugriffs das Vorgänger-Abkommen gerade gescheitert war.

Der Privacy Shield ist nach Auffasung des TeleTrusT damit leider nur ein Feigenblatt, welches als formale Rechtsgrundlage für den transatlantischen Datenfluss verdeckt, dass es substantielle Änderung in der Sache nicht gibt. Es ist davon auszugehen, dass der EuGH das Abkommen für unwirksam erklären wird.

Für Unternehmen, die Daten in die USA übermitteln, stelle sich damit die Frage, ob dies auf einer derart unsicheren Grundlage erfolgen solle. Dadurch erlange die für heute erwartete Stellungnahme der Artikel 29-Gruppe zum rechtssicheren Datentransfer in die USA besondere Bedeutung. Hier bleibe zu hoffen, dass diese sich nicht lediglich mit dem neuen Abkommen zufrieden gebe, sondern eigene, tatsächlich rechtssichere Leitlinien enthält, an denen sich Unternehmen künftig orientieren könnten.

[datensicherheit.de, 13.10.2015] In einer Stellungsnahme der TeleTrusT-AG „Cloud Security“ wird das EuGH-Urteil zu „Safe Harbor“ als positives Signal für Datenschutz europäischer Prägung aufgenommen, verbunden mit dem Hinweis, dass sogenannte „Binding Corporate Rules“ kein Ersatz auf angemessenem Schutzniveau sind.

Die Bewertung umfasst fünf Punkte wie folgt:

1. Gut zwei Jahre hat es gebraucht seit den ersten Enthüllungen von Edward Snowden, jetzt hat der Europäische Gerichtshof (EuGH) eine in ihren möglichen Auswirkungen weitreichende Feststellung getroffen: Die USA bieten aus europäischer Sicht „kein angemessenes Schutzniveau für personenbezogene Daten“.
   Das EuGH-Urteil schreibt ein Stück Rechtsgeschichte. Ausgangspunkt des Verfahrens war eine an die irische Datenschutzbehörde gerichtete Beschwerde des österreichischen Bürgers Maximilian Schrems gegen die Übermittlung seiner bei Facebook gespeicherten Daten in die USA, mit der Begründung, dass im Hinblick auf die von Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der USA, insbesondere der NSA, davon auszugehen sei, dass die Daten in den USA nicht hinreichend vor Überwachungstätigkeiten der dortigen Behörden geschützt seien. Die irische Behörde wies die Beschwerde seinerzeit mit dem Hinweis zurück, durch das „Safe Harbor“-Abkommen sei ein angemessenes Schutzniveau in den USA gegeben. Dieser Begründung hat der EuGH nun die Grundlage entzogen und die sog. „Safe Harbor“-Regelung gekippt. Der EuGH kassierte das bereits vor zwölf Jahren von der EU-Kommission installierte „Safe Harbor“-Abkommen mit den USA.
2. Die Begründung der höchstrichterlichen Instanz der Europäischen Union ist beachtlich: In Bezug auf die Beschwerde stellt das Gericht fest, dass ab sofort die (zuständige) irische Behörde sorgfältig zu prüfen habe, ob die Übermittlung von personenbezogenen Daten aus dem EU-Raum auf amerikanische Server nicht auszusetzen sei, „weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet.“
   Gleichzeitig greift das Gericht die Europäische Kommission an: „Die Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden […] zu beschränken.“ Damit stärkt dieses Urteil die Befugnisse und die Unabhängigkeit europäischer Datenschutzbehörden, da sie nun nicht (mehr) an die „Safe-Harbor“-Regelung gebunden sind.
3. Das Urteil hat für den transatlantischen Datenaustausch und insbesondere für US-Internetunternehmen sowie US-Cloud Service Provider Konsequenzen. Mindestens dürfte die Übermittlung personenbezogener Daten in die USA auf Basis der „Safe-Harbor“-Regelung ab sofort als unzulässig gelten. Mit Blick auf die Begründung des EuGH könnte das Urteil aber auch Auswirkungen auf die vor allem von großen Unternehmen, insbesondere multinationalen Konzernen und Organisationen, gern genutzten „Binding Corporate Rules“ (BCR) haben. Dies BCR sollen ein Rahmen für verbindliche Richtlinien zum Umgang mit personenbezogenen Daten sein. Wenn ein Unternehmen seine „Binding Corporate Rules“ von europäischen Datenschutzbehörden verifizieren lässt, dann dürfen auf Grundlage dieser festgelegten Richtlinien Daten in Drittstaaten, z.B. in die USA, übermittelt werden.
   Der EuGH hebt jedoch kritisch hervor, dass „amerikanische Unternehmen ohne jede Einschränkung verpflichtet sind, die […] vorgesehenen Schutzregeln unangewendet zu lassen, wenn sie in Widerstreit zu Erfordernissen [der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten] stehen“. Damit sind die „„Binding Corporate Rules“ eben nicht „Binding“, wenn es um den Schutz der Daten gegenüber amerikanischen Behörden geht, sondern nicht viel mehr als ein Papiertiger.
   Zudem stellt der EuGH fest, dass die in den USA möglichen Zugriffe von Behörden auf diese Daten nicht auf das in der EU geforderte „absolut Notwendige“ beschränkt seien, „wenn sie generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen.“ Gemeint ist die anlasslose Massenspeicherung von Daten durch die NSA.
   Mit anderen Worten: Wenn Daten in die USA übermittelt werden, dann unterliegen diese Daten uneingeschränkt dem Recht der USA, ganz gleich, ob es „Binding Corporate Rules“ gibt oder nicht. Da das diesbezüglich geltende Recht der USA nach Ansicht des EuGH kein ausreichendes Datenschutzniveau gewährleistet, wäre nach EU-Recht damit die Übermittlung personenbezogener Daten in die USA generell unzulässig.
   Wenn die „Safe-Harbor“-Regelung amerikanischen Gesetzen entgegensteht oder im Widerspruch zur nationalen Sicherheit oder zum öffentlichen Interesse steht, sind dortige Unternehmen ohne jede Einschränkung verpflichtet, die in der Regelung vorgesehenen Schutzmaßnahmen unangewendet zu lassen. Eine Regelung verletzt den „Wesensgehalt des Grundrechts auf Achtung des Privatlebens“, wenn sie es Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen.
4. Europäischen Firmen, die auch weiterhin ihre personenbezogenen Daten ausschließlich in Deutschland oder der europäischen Union verarbeiten, wird mit dem Urteil der Rücken gestärkt. Und auch Initiativen wie das TeleTrusT-Qualitätszeichen „IT Security made in Germany“ erhalten die Bestätigung, dass der Datenschutz ein hohes Gut ist, das nicht ausgehöhlt werden darf.
5. Das EuGH-Urteil ist eine Chance auf Verbesserung der aktuellen Situation. Insgesamt gesehen bringt der EuGH neuen Schwung in die seit etwa zwei Jahren laufenden Verhandlungen um eine neue „Safe-Harbor“-Regelung, aber auch in den TTIP-Verhandlungen dürften Datenschutzaspekte nun eine stärkere Gewichtung erhalten, vermutlich oder hoffentlich zugunsten europäischer Standards.

[datensicherheit.de, 12.10.2015] Geradezu von einem Donnerschlag wurde vor einer Woche der erste Messetag der „it-sa 2015“ begleitet – der Europäische Gerichtshof (EuGH) stärkte mit seinem Aufsehen erregenden Urteil den grenzüberschreitenden Datenschutz (Safe Harbor-Urteil).

Genugtuung und Zustimmung an vielen Messeständen

Die Nachricht lief wir ein Lauffeuer von Stand zu Stand. Viele IT-Sicherheitsexperten zeigten Genugtuung, warfen aber auch die Frage nach dem weiteren Vorgehen und den praktischen Konsequenzen auf.

Recht der EU-Datenschutzbeauftragten gestärkt

Mit seinem Urteil (Rs. C – 362/14) vom 6. Oktober 2015 habe der EuGH das Recht der Datenschutzbeauftragten in den Mitgliedstaaten bekräftigt, den Export von Daten über Menschen in der EU uneingeschränkt zu überprüfen, betonte der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, in seiner Stellungnahme am selben Tag.
Dies könne insbesondere weitreichende Konsequenzen nicht nur für facebook, sondern für den gesamten transatlantischen Datenverkehr zwischen Europa und den USA haben.

No Safe Harbor

Seit 1995 dürfen Unternehmen in Europa Daten über Personen nur dann in Drittländer exportieren, wenn dort ein angemessenes Datenschutzniveau herrscht – im Jahr 2000 hatte die Europäische Kommission mit der US-Regierung das sogenannte „Safe-Harbor-Abkommen“ geschlossen, welches für US-Unternehmen als Empfänger von Daten aus der EU ein System der Selbstzertifizierung vorsah. Danach konnten US-Unternehmen sich selbst die Einhaltung angemessener Datenschutzstandards bescheinigen, was von US-Behörden nur begrenzt überprüft werden konnte.
Mit den Veröffentlichungen über die exzessive Datensammeltätigkeit von Nachrichtendiensten insbesondere in den USA stellte sich die Frage, ob europäische Datenschutzbehörden trotz des Abkommens von 2000 berechtigt sind, die Angemessenheit des Datenschutzniveaus bei Unternehmen mit „Safe-Harbor“-Zertifizierung selbständig zu überprüfen.
Der EuGH bejahte diese Frage nun mit seinem Urteil. Er habe damit eine von den Datenschutzbeauftragten in Deutschland stets vertretene Auffassung bestätigt, erklärte Dr. Dix. Darüber hinaus habe der Gerichtshof auch das Abkommen und die darauf beruhende Kommissionsentscheidung von 2000 für ungültig erklärt. Die Kommission sei nicht befugt gewesen, die Kontrollrechte der unabhängigen Datenschutzbehörden einzuschränken.
Dix begrüßt das Urteil: Damit habe das höchste europäische Gericht erneut bekräftigt, dass es dem Schutz der Grundrechte einen ebenso hohen Stellenwert beimesse wie das Bundesverfassungsgericht – dies sei ist ein guter Tag für den Datenschutz in Europa und den USA. Die Datenschutzbehörden in Deutschland und Europa würden sich jetzt auf ein gemeinsames Vorgehen zur Umsetzung des EuGH-Urteils verständigen.

Der europäischen Grundrechtecharta Geltung verschafft

Auch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, hat noch am selben Tag das Urteil des EuGH begrüßt, die „Safe-Harbor“-Entscheidung der Europäischen Kommission für ungültig zu erklären.
Nach den „bahnbrechenden Urteilen zu Google und zur Vorratsdatenspeicherung“ habe der EuGH mit seinem energischen Eintreten für die Grundrechte europäischer Bürger erneut einen „Meilenstein für den Datenschutz“ gesetzt, unterstreicht Voßhoff.
Der EuGH habe einmal mehr „die überragende Bedeutung des Datenschutzes unterstrichen und der europäischen Grundrechtecharta Geltung verschafft“. Diese Entscheidung bedeute ebenfalls eine erhebliche Stärkung der Befugnisse der europäischen Datenschutzbehörden als Wächter über die Datenschutzrechte der europäischen Bürger. Datenübermittlungen in die USA müssten von nun an im Lichte dieses Urteils betrachtet werden.

[datensicherheit.de, 24.07.2013] Die Datenschutzbeauftragten des Bundes und der Länder haben in einer gemeinsamen Erklärung am 24. Juli 2013 zur Gefährdung des Datenverkehrs zwischen Deutschland und außereuropäischen Staaten durch die Tätigkeit der Geheimdienste Stellung genommen:
Angesichts der Berichte über die umfassenden und anlasslosen Überwachungsmaßnahmen ausländischer Geheimdienste, insbesondere der US-amerikanischen National Security Agency (NSA), weist die Konferenz der Datenschutzbeauftragten des Bundes und der Länder auf die Befugnisse hin, die den Aufsichtsbehörden beim internationalen Datenverkehr zwischen Unternehmen in Deutschland und Drittstaaten nach dem Bundesdatenschutzgesetz und der europäischen Datenschutzrichtlinie bereits jetzt zustehen.
Die Europäische Kommission habe in mehreren Entscheidungen Grundsätze des „sicheren Hafens“ („Safe Harbor“) zum Datentransfer in die USA (2000) und Standardvertragsklauseln zum Datentransfer auch in andere Drittstaaten (2004 und 2010) festgelegt. Die Beachtung dieser Vorgaben solle gewährleisten, dass personenbezogene Daten, die in die USA oder andere Drittstaaten übermittelt werden, dort einem angemessenen Datenschutzniveau unterliegen. Allerdings habe die Kommission stets betont, dass die nationalen Aufsichtsbehörden die Datenübermittlung dorthin aussetzen könnten, wenn eine „hohe Wahrscheinlichkeit“ besteht, dass die „Safe Harbor“-Grundsätze oder Standardvertragsklauseln verletzt sind.
Dieser Fall sei jetzt eingetreten. Die Grundsätze in den Kommissionsentscheidungen seien mit hoher Wahrscheinlichkeit verletzt, weil die NSA und andere ausländische Geheimdienste nach den gegenwärtigen Erkenntnissen umfassend und anlasslos ohne Einhaltung der Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung auf personenbezogene Daten zugreifen, die von Unternehmen in Deutschland an Stellen in den USA übermittelt werden. Zwar enthalte die „Safe Harbor“-Vereinbarung eine Regelung, die die Geltung der Grundsätze des „sicheren Hafens“ begrenze, sofern es die nationale Sicherheit erfordert oder Gesetze solche Ermächtigungen vorsehen. Im Hinblick auf das Ziel eines wirksamen Schutzes der Privatsphäre solle jedoch von diesen Eingriffsbefugnissen nur im Rahmen des tatsächlich Erforderlichen und nicht exzessiv Gebrauch gemacht werden. Ein umfassender und anlassloser Zugriff auf personenbezogene Daten könne daher durch Erwägungen zur nationalen Sicherheit in einer demokratischen Gesellschaft nicht gerechtfertigt werden. Auch bei Datenübermittlungen in die USA aufgrund der Standardverträge müsse der Datenimporteur zusichern, dass seines Wissens in seinem Land keine Rechtsvorschriften bestehen, die die Garantien aus den Klauseln in gravierender Weise beeinträchtigen. Eine solche Generalermächtigung scheine in den USA zu bestehen; denn nur so lasse sich erklären, dass der US-amerikanische Geheimdienst auf personenbezogene Daten, die aufgrund der Standardverträge übermittelt werden, mit hoher Wahrscheinlichkeit routinemäßig zugreife.
Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird. Bevor dies nicht sichergestellt ist, würden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (z.B. auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des „Safe Harbor“-Abkommens und der Standardvertragsklauseln auszusetzen sind.
Schließlich fordert die Konferenz die Europäische Kommission auf, ihre Entscheidungen zu „Safe Harbor“ und zu den Standardverträgen vor dem Hintergrund der exzessiven Überwachungstätigkeit ausländischer Geheimdienste bis auf Weiteres zu suspendieren.

Weitere Informationen zum Thema:

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 24.07.2013
Datenschutzkonferenz: Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten