esb Rechtsanwälte

Folgen des EuGH-Urteils zur Ungültigkeit des Safe-Harbor-Abkommens der EU mit den USA

Von RA/Fachanwalt IT-Recht Dr. Jens Bücking, Stuttgart

Mit Urteil vom 06.10.2015 hat der Europäische Gerichtshof (EuGH) den Datenaustausch mit den USA auf personenbezogene bzw. personenbeziehbare Daten – und dies sind letztlich fast alle unternehmensrelevanten Datensätze, da auch kaufmännische Unterlagen in der Regel Rückschlüsse auf eine natürliche Person (auf Empfänger- oder Absenderseite oder bei der Leistungserbringung) zulassen oder in sonstiger Weise eine in den kaufmännischen Prozess eingeschaltete Person identifizierbar machen – faktisch außer Kraft gesetzt.

Schon zuvor waren massive Zweifel an der Effektivität dieser Selbstzertifizierung aufgekommen, der sich nahezu alle großen amerikanischen Unternehmen, die im Geschäftsverkehr mit den EU-Mitgliedsstaaten stehen, angeschlossen hatten. Zuletzt waren ca. 4000 US-Firmen nach Safe-Harbor zertifiziert, darunter die großen IT-Konzerne wie Microsoft, IBM, Apple, Adobe und Google.

Expertengremien aus den Bereichen Datenschutz und Datensicherheit wie beispielsweise die von der EU-Kommission eingesetzte Artikel 29-Gruppe forderten etwa, dass sich der Datenexporteur bei Datentransfers in die USA nicht mehr auf das Vorliegen einer Zertifizierung nach Safe-Harbor verlassen dürfe sondern die Zertifizierungskriterien eigens oder durch eine geeignete Auditierung prüfen und fortlaufend auf fortbestehende Rechtgültigkeit hin überwachen müsse.

Grundlage des Safe-Harbor-Abkommens war eine Entscheidung der EU-Kommission aus dem Jahre 2000, die auf vom US-Handelsministerium aufgestellten Regelungen zur Gewährleistung des Schutzes personenbezogener Daten beruht. Einen entsprechenden Austausch solcher Daten zwischen den USA und der EU hat der EuGH nun faktisch für unzulässig erklärt. Den Urteilsgründen zufolge hätte die EU-Kommission die Befugnisse der nationalen Datenschutzaufsichtsbehörden nicht durch einen Beschluss, wie jedoch geschehen, beschränken dürfen. Die persönlichen Daten europäischer Nutzer seien in den USA nicht ausreichend vor staatlichen Zugriffen geschützt. Überdies stünden für europäische Nutzer gegen eine unrechtmäßige Datenverarbeitung in den USA auch keinerlei Rechtswege zur Überprüfung solcher Verarbeitungen offen, was der EuGH ebenfalls als unverhältnismäßigen Eingriff in Grundrechte beurteilte. Die Datenschutzbehörden müssten losgelöst von jeder staatlichen Aufsicht und Eingriffsmöglichkeit prüfen können, ob bei der Datenübermittlung alle gesetzlichen Anforderungen erfüllt würden, dies unabhängig von den Entscheidungen der EU-Kommission. Das Urteil stärkt damit also auch die Rechte der nationalen Datenschutzaufsichtsbehörden.

Ein Datenaustausch mit den USA ist – bis zur Inkraftsetzung einer (erheblich nachzubessernden) Neuregelung – mithin fortan an hohe Hürden geknüpft:

– Eine Möglichkeit besteht darin, dass Datentransfers in die USA im Einzelfall nach Maßgabe einer Verhältnismäßigkeitsprüfung erlaubt sein können, wenn die Betroffenen ausdrücklich und freiwillig einem solchem Transfer zugestimmt haben, dieser zudem die strengen Voraussetzungen einer rechtlichen Notwendigkeit erfüllt und die Wahrung der Firmeninteressen bei Abwägung mit den berechtigten Interessen der Betroffenen dazu führt, dass die Firmeninteressen die Betroffenen-Interessen überwiegen. Dies bedeutet letztlich nach der Interpretation des „Düsseldorfer Kreises“ (als des führenden Gremiums der Datenschutzbeauftragten des Bundes und der Länder), dass ein schriftlicher Vertrag für die Auftragsdatenverarbeitung unter Einschluss einer Zuverlässigkeitsprüfung des Anbieters und seiner IT-Infrastruktureinrichtungen und Prozesse erfolgen muss und im Vertrag die technisch-organisatorischen Maßnahmen aufgeführt und vom Anbieter entsprechend zugesichert werden müssen. Auch während des laufenden Auftragsdatenverarbeitungsverhältnisses ist die Einhaltung der Kriterien und Maßnahmen regelmäßig zu überprüfen. Die Nutzer, die US-Rechenzentren nutzen und hierfür Daten aus der EU exportieren, müssen mithin die Übermittlungsanforderungen jedes einzelnen Datums sichern. Hierzu gehört, dass an der Übermittlung ein vertragliches oder sonstiges berechtigtes Interessen besteht und diese Übermittlung auch erforderlich ist. An der Erforderlichkeit spätestens scheitert in der Regel die Übermittlung. Es ist kaum begründbar, dass eine Nutzung personenbezogener Daten zwingend außerhalb der EU oder des EWR erfolgen müsse, da es auf der anderen Seite kaum zu widerlegen sein wird, dass es auch adäquate Rechenzentrumsstrukturen innerhalb Europas gibt. Zusätzlich zu diesen generell für die Datenübermittlung geltenden Anforderungen müssen bei Übermittlungen ins Drittausland, also außerhalb des EU-/EWR- Raumes, die Voraussetzungen der §§ 4b, 4c BDSG erfüllt sein. Danach muss in jedem Fall der Datenübertragung eine Einzelfallprüfung nach § 28 BDSG zur Zulässigkeit der Datenübertragung stattfinden, die zu dokumentieren ist.

– Dies führt nicht zu einem generellen Verbot, jedoch zu einem deutlich verkomplizierten Verfahren beim Austausch von Daten mit den USA. Ist eine Rechtfertigung der Ausnahmeerlaubnistatbestände im vorgenannten Sinne nicht möglich, sondern soll generell ein entsprechender Geschäftsprozess zum Datenaustausch aufgesetzt oder fortgeführt werden, so kann sich der europäische Nutzer amerikanischer Rechenzentrumsdienstleistungen der speziellen EU- Standardvertragsklauseln bedienen, die vertraglich die Einhaltung ausreichender Datenschutzgarantien beim US-Auftragnehmer sicherstellen soll. Ein Blick auf die Datensicherheit genügt jedoch auch bei den EU- Standardvertragsklauseln nicht. Nach Interpretation der Artikel 29-Gruppe müssen neben der jederzeitigen Verfügbarkeit, Vertraulichkeit und Integrität, also einer Datensicherheit im Sinne des Mindestumfanges des TOM-Kataloges der Anlage 1 zu § 9 BDSG, Zutrittskontrollen erfolgen und die Datenschutzziele der Transparenz, Nichtverkettbarkeit und Intervenierbarkeit umgesetzt werden. Auch hier ist also Voraussetzung, dass neben dem Abschluss des Standardvertrages die verbindlichen Vorgaben des § 11 BDSG hinsichtlich der Auswahl des Anbieters und der Prüfung der Eignung der eingesetzten technischen und organisatorischen Maßnahmen zu erfolgen hat, mit anderen Worten ein Auftragsdatenverarbeitungsvertrag mit dem Katalog zugesicherter technisch- organisatorischer Maßnahmen erforderlich ist.

Das Gesetz schreibt eine Reihe von Einzelheiten vor, die zum Schutz der personenbezogenen Daten darin ausdrücklich festgelegt werden müssen. Von besonderer Bedeutung sind dabei die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die in Deutschland mit Geldbuße von bis zu 50.000,- EUR geahndet werden kann. Welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen, kann nicht pauschal beantwortet werden, sondern richtet sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen (vgl. Pressemitteilung des BAYERISCHES LANDESAMTES FÜR DATENSCHUTZAUFSICHT vom 20.08.2015).

– Möglich ist auch, dass sich die beteiligten Unternehmen verbindlichen Unternehmensregeln, sogenannten Binding Corporate Rules (BCR) unterwerfen. Auch hier wird ein angemessenes Schutzniveau per Vertrag hergestellt. Dieses ursprünglich für internationale Konzerndatenverarbeitungen entwickelte Instrumentarium lässt sich auch auf Cloud- und Ressourcenanbieter übertragen. Nach den Empfehlungen der Artikel 29-Datenschutzgruppe in der EU muss im Rahmen von BCR die Hauptniederlassung oder ein von der Unternehmensgruppe benanntes Gruppenmitglied für die Verstöße aller verbundenen Unternehmen außerhalb der EU einstehen. Die BCR bedürfen der Genehmigung durch die zuständigen Datenschutzaufsichtsbehörden. Auch in BCR gehören zwingend verbindliche und zugesicherte Regelungen nach den Maßstäben der §§ 11 Abs. 2, 9 i. V. mit Anlage 1 BDSG, also Garantien zur Zuverlässigkeit des Anbieters und zur Eignung der von ihm eingesetzten Systeme und flankiert durch hinreichende und dem Stand der Technik entsprechende technisch-organisatorische Maßnahmen.