SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

RichterhammerDie EU-Kommission präsentierte ihn als rechtlich saubere Lösung: Der neue "EU-US Privacy Shield" als Ersatz für das vom Europäischen Gerichtshof im Oktober 2015 für unwirksam erklärte Safe Harbor-Konzept für die Übermittlung personenbezogener Daten in die USA.

Die bereits kurz nach Bekanntgabe kritisierte Lösung scheint nun unter zusätzlichen Beschuss zu geraten. Denn die europäischen Datenschutzbehörden halten den neuen Datenschutzschild offensichtlich nicht geeignet, um bei Empfängern in den USA ein angemessenes Datenschutzniveau nachzuweisen. Die im Laufe dieser Woche erwartete offizielle Stellungnahme der Aufsichtsbehörden könnte die derzeitige Rechtsunsicherheit für europäische Unternehmen verlängern.

Worum geht es?

Die EU-Datenschutzrichtlinie und die nationalen Datenschutzgesetze in den EU-Mitgliedsstaaten erlauben eine Übermittlung personenbezogener Daten an Empfänger außerhalb der EU nur dann, wenn bei diesen Empfängern ein "angemessenes Datenschutzniveau" herrscht, das dem Rechtsrahmen innerhalb der EU vergleichbar ist. Ohne ein solches angemessenes Datenschutzniveau ist die Datenübermittlung nur in wenigen, eng definierten Ausnahmefällen erlaubt. Für einige Drittstaaten hat die EU-Kommission ein angemessenes Datenschutzniveau allgemein festgestellt. Hierzu gehören Andorra, Argentinien, Kanada, die Schweiz, die Faröer-Inseln, Guernsey, Israel, die Isle of Man, Jersey, Neuseeland und Uruguay. Für die Datenübermittlung in sonstige Drittstaaten können vertragliche Vereinbarungen (auf Grundlage der von der EU-Kommission veröffentlichten "Standardvertragsklauseln"), verbindliche Unternehmensregeln für Datenübermittlungen innerhalb von Unternehmensgruppen ("Binding Corporate Rules") oder Einzelfallgenehmigungen der Aufsichtsbehörden als rechtskonforme Gestaltungsmöglichkeiten in Betracht kommen. Einen Sonderfall bildeten Datenübermittlungen in die USA auf Grundlage des Safe Harbor-Konzepts: Dabei konnten personenbezogene Daten aus der EU in die USA übermittelt werden, wenn die dortigen Empfänger im Rahmen einer Selbstzertifizierung erklären, bestimmte Voraussetzungen zur Einhaltung eines angemessenen Datenschutzniveaus zu erfüllen.

Das Safe Harbor-Urteil und die Aufsichtsbehörden

Mit seinem Urteil vom 6. Oktober 2015 erklärte der Europäische Gerichtshof (EuGH) das Safe Harbor-Konzept jedoch für unwirksam. Denn auch Safe Harbor-zertifizierte Empfänger seien im Zweifel verpflichtet, US-Behörden den Zugriff auf personenbezogene Daten zu gewähren. Zudem seien die Befugnisse der US-Behörden – insbesondere der Geheimdienste - im Hinblick auf die anlasslose Überwachung jeglicher elektronischer Kommunikation und die fehlenden Rechtsschutz-, Berichtigungs- und Löschungsmöglichkeiten für EU-Bürger mit den Wertungen des europäischen Rechts nicht zu vereinbaren.

In seinem Urteil hatte der EuGH überdies die Unabhängigkeit der nationalen Aufsichtsbehörden für den Datenschutz gestärkt und festgehalten, dass die Behörden auch gegenüber Entscheidungen der EU-Kommission (wie etwa der zu Safe Harbor) eine eigene Prüfungskompetenz zustehe. Unmittelbar nach dem Safe Harbor-Urteil kündigten die Aufsichtsbehörden dann auch an, nicht nur gegen Datenübermittlungen auf der unwirksamen Safe Habor-Grundlage einschreiten zu wollen, sondern auch zu prüfen, ob die alternativen Gestaltungsoptionen (also die Standardvertragsklauseln oder Binding Corporate Rules) den Maßgaben des europäischen Datenschutzrechts genügen. Mit dieser Ankündigung wurde das Urteil nicht nur für die rund 4.000 Empfänger in den USA relevant, an die europäische Unternehmen personenbezogene Daten auf Grundlage von Safe Harbor übermittelten. Vielmehr stand nahezu der gesamte transatlantische Datentransfer auf dem rechtlichen Prüfstand. In ihrer Ankündigung setzten die Behörden der EU-Kommission eine Frist bis Ende Januar 2016, um mit den USA eine rechtlich einwandfreie Nachfolgelösung für Safe Harbor vereinbaren sollten. Immerhin: Bis zum Ablauf dieser Frist sollten jedenfalls die Standardvertragsklauseln als rechtliche Grundlage für Datenübermittlungen weiterhin geeignet sein – von dieser Möglichkeit machten zahlreiche Unternehmen (darunter Anbieter von Cloud-Lösungen mit Sitz in den USA) Gebrauch.

Der EU-US Privacy Shield

Kurz nach Ende der von den Aufsichtsbehörden gesetzten Frist verkündete die EU-Kommission zunächst eine "politische Einigung" mit ihren US-Verhandlungspartnern und hob den neuen Datenschutzschild aus der Taufe. Auch dieser folgt dem schon vom Safe Harbor-Konzept bekannten Grundprinzip der Selbstzertifizierung auf Grundlage eines definierten Regelwerks. Allerdings soll die Einhaltung der Regeln besser überwacht und die Nichteinhaltung stärker sanktioniert werden. Zudem versichert die US-Seite, dass der Zugriff auf Daten durch US-Behörden klaren Beschränkungen, Sicherungs- und Überprüfungsmechanismen unterliegt und keine Massenüberwachung stattfindet. Die Einhaltung dieser Zusicherung soll eine jährliche Überprüfung unter Einbeziehung der europäischen Datenschutzbehörden sicherstellen. Der Datenschutzschild sieht überdies erweiterte Rechtsschutzmöglichkeiten für EU-Bürger vor: Diese sollen sich bei möglichen Datenzugriffen durch US-Behörden an einen Ombudsmann wenden und Ansprüche auch vor US-Gerichten geltend machen können.

Die neuen Regelungen stießen bereits unmittelbar nach ihrer Bekanntgabe auf Kritik, und insbesondere Bürgerrechtsaktivisten sahen auch den EU-US Privacy Shield bereits – wie Safe Harbor – vor dem EuGH. Wirtschaftsvertreter auf beiden Seiten des Atlantiks wiesen demgegenüber auf die Bedeutung internationaler Datentransfers in einer globalisierten Wirtschaft hin und verteidigten das neue Konzept – die Verarbeitung personenbezogener Daten ausschließlich innerhalb der EU sei keine valide Option.

Wohl keine Zustimmung der europäischen Aufsichtsbehörden zum Datenschutzschild

Mittlerweise steht zu erwarten, dass die anfänglich geäußerte Kritik auch von den europäischen Aufsichtsbehörden geteilt wird. Diese haben den neuen Datenschutzschild auf Grundlage der Ende Februar 2016 von der EU-Kommission veröffentlichten Dokumente geprüft. Aus dem Kreis der deutschen Aufsichtsbehörden wurde - offensichtlich aufgrund eines Versehens - Ende letzter Woche der Entwurf einer Entschließung öffentlich, mit der Einfluss auf die Entscheidung der sog. Artikel 29-Arbeitsgruppe, dem Zusammenschluss der europäischen Aufsichtsbehörden, zum neuen Konzept genommen werden soll. Daraus wird deutlich, dass sich die Arbeitsgruppe ohne Nachbesserungen am bislang vorliegenden Datenschutzschild nicht zu einer abschließenden (zustimmende) Einschätzung in der Lage sieht. Die Zustimmung der Aufsichtsbehörden ist formal keine Voraussetzung für die Verabschiedung des EU-US Privacy Shield, die die EU-Kommission für Sommer 2016 geplant hatte. Allerdings sollen aus Sicht der deutschen Aufsichtsbehörden auch gerichtliche Schritte erwogen werden, sollte die EU-Kommission den Datenschutzschild gleichwohl in Kraft setzen. Auch das neue Konzept könnte – wie sein Vorgänger Safe Harbor – dann wieder vor dem EuGH landen.

Standardvertragsklauseln weiter auf dem Prüfstand

Aus praktischer Sicht fast noch wichtiger als das Schicksal des EU-US Privacy Shield sind indes die Standardvertragsklauseln. Über deren Zukunft scheinen die Aufsichtsbehörden gleichfalls noch keine abschließende Entscheidung getroffen zu haben. Allerdings ist diese Gestaltungsvariante auch für transatlantische Datenübermittlungen derzeit die wohl sicherste Alternative und wird von den Behörden vorläufig jedenfalls grundsätzlich toleriert. Vor diesem Hintergrund haben viele Unternehmen seit dem EuGH-Urteil im Oktober 2015 die vormaligen Safe Harbor-Zertifizierungen durch Standardvertragsklauseln ersetzt. Hierzu gehören auch Dienstleister in den USA, die europäischen Kunden Cloud- oder "Software as a Service"-Anwendungen zur Verfügung stellen, bei deren Betrieb personenbezogene Daten verarbeitet werden. Dieses Vorgehen ist auch deshalb nachvollziehbar, weil deutsche Aufsichtsbehörden die Einhaltung des Safe Harbor-Urteils überprüfen und bereits erste Bußgeldverfahren angekündigt haben.

Die nächsten Wochen werden deshalb spannend für alle europäischen Unternehmen, die personenbezogene Daten in die USA übermitteln oder sich Dienstleistern mit Sitz oder Rechenzentren in den USA bedienen: Ob der EU-US Privacy Shield tatsächlich in Kraft tritt, ist derzeit ebenso offen wie die Zukunft der praktisch relevanten Standardvertragsklauseln.

Michael KapmsMichael Kamps ist Rechtsanwalt bei der Wirtschaftskanzlei CMS Hasche Sigle und berät schwerpunktmäßig im Datenschutzrecht.

www.cms-hs.com

 

 

 
GRID LIST
Tb W190 H80 Crop Int 706ed058ba0004d4fe9159b0807ac61f

WhatsApp und Co. können für Unternehmen teuer werden

Mit Inkrafttreten der EU-Datenschutzverordnung werden Kommunikationstools wie WhatsApp…
Frau hält EU-Flagge

DSGVO und Versicherer – Eins nach dem Anderen

Die EU-Datenschutz-Grundverordnung stärkt den Datenschutz und die Rechte der Versicherten…
Tb W190 H80 Crop Int 41266e15a4e5a9846fa11a56dc162bde

Compliance-Check testet Datenschutzpraxis von Unternehmen

Der europäische Security-Hersteller ESET stellt Organisationen und Unternehmen einen…
Datenschutz

Ab 2018 haften Geschäftsführer in Millionenhöhe

Wenn Geschäftsführer und Vorstände die neue EU-Datenschutz-Grundverordnung (DSGVO) nicht…
Security Specialist

Der moderne Datenschutzbeauftragte

Mittlerweile ist Datenschutz in aller Munde, unter anderem durch neue Regularien, die in…
Marcel Mock

Zweiter Anlauf für den Verschlüsselungsstandort Nummer 1 | Statement

Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet