USA als Safe Harbor auf der Kippe: Daten von EU-Bür­gern nicht mehr im "sicheren Hafen"?

Bisher ist es rechtlich möglich, personenbezogene Daten von EU-Bürgern in die USA zu übermitteln, wenn das US-amerikanische Unternehmen, das die Daten erhält, den sogenannten "Safe Harbor Principles" beigetreten ist. In diesem Fall ist beim Datenempfänger von einem "angemessenen Datenschutzniveau" auszugehen. Die "Angemessenheitsentscheidung" wird von der Europäischen Kommission getroffen. Neben den USA (Safe Harbor) zählen derzeit etwa die Schweiz, Kanada, Argentinien, Australien, Neuseeland und Israel zu den "sicheren Drittländern" mit einem Datenschutzstandard, der dem der EU vergleichbar ist.

Die Entscheidung der Kommission zu Safe Harbor stammt aus dem Jahr 2000 – lange vor Edward Snowdens Enthüllungen über das Ausmaß der weltweiten Überwachungs- und Spionagepraktiken der NSA. Von der Möglichkeit einer Safe-Harbor-Zertifizierung haben bisher rund 4.410 Unternehmen Gebrauch gemacht und sich in die entsprechende Liste des US-Handelsministeriums eintragen lassen, darunter Internetgiganten wie Facebook, Google, Twitter und Yahoo. Safe Harbor soll es ihnen ermöglichen, Daten ihrer EU-Nutzer auch in den USA zu speichern.

Kunden- und Mitarbeiterdaten ebenso betroffen

Safe Harbor spielt jedoch nicht nur für die Übermittlung von Kunden- beziehungsweise Nutzerdaten, sondern auch für die Daten von Beschäftigten eine wichtige Rolle. Übermittelt zum Beispiel eine in Europa ansässige Gesellschaft Mitarbeiterdaten an eine Schwester- oder Muttergesellschaft in den USA, weil die Daten dort zentral gespeichert und verarbeitet werden, ist diese Übermittlung ebenfalls nur zulässig, wenn neben den auch für eine Datenübermittlung innerhalb Deutschlands oder der EU erfüllten Voraussetzungen auch bei der amerikanischen Gesellschaft ein angemessenes Datenschutzniveau vorhanden ist.

Im Visier der US-Geheimdienste

2013 war der Österreicher Max Schrems, Gründer des Vereins  zur Durchsetzung des Grundrechts auf Datenschutz "europe-v-facebook.org", mit seiner Beschwerde gegen die Speicherung seiner Daten von Facebook in den USA bei der irischen Datenschutzkommission mit Verweis auf Safe Harbor gescheitert. Der mit dem Fall anschließend befasste irische High Court legte dem EuGH die Frage vor, ob ein Einschreiten der nationalen Datenschutzbehörden aufgrund von Safe Harbor tatsächlich nicht möglich sei.

Für den Generalanwalt beim Europäischen Gerichtshof (EuGH), Yves Bot, ist diese Frage eindeutig mit "Nein" zu beantworten. Darüber hinaus sei das Safe-Harbor-Abkommen nach seiner Auffassung komplett ungültig. Denn die von den amerikanischen Nachrichtendiensten ausgeübte Überwachung sei massiv und nicht zielgerichtet. Der Zugang zu personenbezogenen Daten, über den die Nachrichtendienste verfügen, erfasse alle Personen und alle elektronischen Kommunikationsmittel sowie die übertragenen Daten und den Inhalt der Kommunikation. Safe Harbor könne EU-Bürger insbesondere vor dem Hintergrund der Enthüllungen von Edward Snowden nicht ausreichend vor diesem Zugriff schützen.

Kippt das Abkommen, sind Transfers kaum mehr möglich

Der EuGH will sein Urteil schon am Dienstag, den 06. Oktober, fällen. Ob das Gericht dem Vorschlag seines Generalanwalts folgt, ist vollkommen offen. Sollte das Gericht dies tun, wären Datenübermittlungen in die USA – wie beispielsweise in der Konstellation Schrems gegen Facebook - künftig kaum noch rechtlich in den Griff zu bekommen. Die Erlaubnistatbestände für die Übermittlung in Drittstaaten, die das Gesetz zur Verfügung stellt (Einwilligung des Betroffenen, die Erfüllung eines Vertrages oder die Wahrung lebenswichtiger Interessen des Betroffenen), ermöglichen jedenfalls keine Übermittlungen im bisherigen Umfang. Da die Einwilligung stets freiwillig erteilt werden muss und jederzeit mit Wirkung für die Zukunft widerrufen werden kann, ist sie keine Basis für einen flächendeckenden Datentransfer in Drittstaaten.

Zur Herstellung eines angemessenen Datenschutzniveaus kommt daneben den sogenannten EU-Standardvertragsklauseln sowie Binding Corporate Rules in der Praxis eine große Bedeutung zu. Beide enthalten allerdings Öffnungsklauseln zugunsten staatlicher Kontrollmaßnahmen. Bei Datenübermittlungen in die USA stellt sich daher ebenfalls das Problem, dass beim Empfängerunternehmen möglicherweise kein adäquater Schutz gegeben ist.

Erteilt der EuGH Safe Harbor eine Absage, entstünde also eine erhebliche Rechtsunsicherheit, die in erster Linie die in der EU ansässigen Unternehmen treffen würde, die die Daten übermitteln. Denn sie sind für die Rechtmäßigkeit der Übermittlung verantwortlich und als solche auch etwaigen Sanktionen der nationalen Aufsichtsbehörden ausgesetzt.

Die Autorin Sylle Schreyer-Bestmann ist Rechtsanwältin bei CMS Hasche Sigle am Standort Berlin. Sie berät nationale und internationale Unternehmen im Bereich des Datenschutzes, insbesondere bei der datenschutzkonformen Gestaltung ihrer Geschäftsmodelle, bei der internen Datenschutzorganisation und im Bereich Beschäftigtendatenschutz.