Researchability - Verantwortung für Markt und Daten Das Safe-Harbor-Urteil: Wendepunkt auf Kosten der Rechtssicherheit

Die Ausgangslage

Safe Harbor, der "sichere Hafen", wurde im Jahr 2000 nach zweijährigen Verhandlungen zwischen der Europäischen Union (EU) und den Vereinigten Staaten ins Leben gerufen. Man wollte gewährleisten, dass die Übermittlung personenbezogener Daten aus der EU in die USA, trotz zwei unterschiedlicher Datenschutz-Systeme, rechtskonform von statten gehen kann.

Unternehmen, die sich den Safe Prinzipien bzw. den zugehörigen "Frequently Asked Questions" ("FAQs") durch eine Selbstzertifizierung unterwarfen, wurde die Einhaltung eines angemessenen Schutzniveaus nach europäischen Standards attestiert. Das Abkommen stieß vermehrt auf Kritik. Vor allem Aufsichtsbehörden bemängelten die Umsetzung der Prinzipien in den USA.

Den Europäischen Gerichtshof erreichte die Safe Harbor-Debatte 2014. Der irische High Court stellte dort die Frage nach der Verbindlichkeit des Safe-Harbor-Beschlusses der EU-Kommission aus dem Jahr 2000 für Datenschutzaufsichtsbehörden in Irland. Geklagt hatte der Österreicher Max Schrems. Er hielt die Speicherung personenbezogener Daten auf US-Servern der Facebook-Betreiber in Anbetracht der weitereichenden Zugriffe amerikanischer Geheimdienste für unzulässig.

Das Urteil

Der EuGH widmete sich in seinem Urteil im Wesentlichen zwei Fragen. Erstens: Ist Safe Harbor selbst zulässig? Zweitens: Sind nationale Datenschutzaufsichtsbehörden an eine Entscheidung der Kommission gebunden, die ein bestimmtes Datenschutzniveau – hier das im Safe Harbor-Abkommen fixierte – gebunden?

Keine Bindung der Datenschutzaufsicht an ein von der EU-Kommission festgelegtes Datenschutzniveau

Für den EuGH dürfen nationale Aufsichtsbehörden zwar grundsätzlich keine Maßnahmen ergreifen, die der Entscheidung der Kommission zu einem angemessenen Datenschutzniveau in den USA (Angemessenheitsentscheidung) entgegenstehen. Unabhängig von dieser grundsätzlichen Bindung an eine vermutete Rechtmäßigkeit der Kommissionsentscheidung müssen sie aber im konkreten Fall entscheiden, ob eine Datenübermittlung in ein unsicheres Drittland gegen europäische Datenschutzgrundsätze verstößt, wenn dazu Anhaltspunkte bestehen. Also: Hat die Datenschutzaufsicht konkret Bedenken, muss sie die Kommissionsentscheidung überwinden können und dazu eigenständig prüfen. Mit der Beantwortung dieser Frage, hätte der EuGH das Verfahren an das irische Gericht zurückverweisen können.

SafeHarbor-Regeln sind unzureichend für einen angemessenen europäischen Datenschutz

Der EuGH befasste sich aber zusätzlich mit der Zulässigkeit von Safe Harbor selbst. Es enthalte keine ausreichenden Maßnahmen, um die Vereinigten Staaten dazu anzuhalten, mittels nationaler Rechtsvorschriften oder internationaler Verpflichtungen ein für Europa angemessenes Datenschutzniveau zu gewährleisten. Im Übrigen müssten die Vorgaben von Safe Harbor nicht eingehalten werden, wenn diese im Konflikt zu einem US Gesetz stünden. Das Gericht erklärte das Konstrukt für unzulässig. Es ist nun keine Basis für den transatlantischen Datenverkehr mehr.

Was sind die Folgen für die Wirtschaft? Das Positive zuerst:

Unabhängigkeit der Aufsicht und ein klares Bekenntnis zum europäischen Datenschutzniveau

Die Entscheidung des EuGH ist inhaltlich richtig. In Zeiten ungehinderten Zugriffs der NSA auf US-Server und einem mehr als laxen Umgang der US-Unternehmen und der US-Administration tut Klartext dem Datenschutz gut. Auch die Klarstellung hinsichtlich der Kompetenz nationaler Aufsichtsbehörden gegenüber der Kommission ist wichtig und richtig. An Kommissionsentscheidungen gebundene Aufsichtsbehörden sind nicht unabhängig. Sie müssen es aber sein, um ihre Aufgabe zu erfüllen. Einzelne Datenexporte in ein unsicheres Drittland müssen im Falle tatsächlicher Anhaltspunkte für ein fehlendes angemessenes Datenschutzniveaus durch die Aufsicht unterbunden werden können, um eine wirksame und flexible Rechtsdurchsetzung gewährleisten zu können. Man muss aber die zwei Stufen sehen. Angemessenheitsentscheidungen der Kommission entfalten zunächst Bindungswirkung. Erst wenn die Vermutung für angemessenen Datenschutz aufgrund konkreter Anhaltspunkte erschüttert ist, muss von der Aufsicht geprüft und erforderlichenfalls eingeschritten werden.

Die Entscheidung hat aber einen Pferdefuß für die Wirtschaft.

Datentransfer in die Vereinigten Staaten im rechtlichen Vakuum

Wer auf Datenexporte in Drittländer wie die Vereinigten Staaten angewiesen ist, braucht einen sicheren Rechtsrahmen. Die Urteilsgründe veranlassen zur Annahme, dass nicht nur Datenübermittlungen von europäischen Stellen an Safe Harbor zertifizierte Unternehmen in den USA nunmehr ohne rechtliche Erlaubnis erfolgen. Alle Instrumente, die auf ein angemessenes Datenschutzniveau in den USA abzielen, sind faktisch betroffen. Den Vereinigten Staaten werden nämlich insgesamt unzureichende Schutzvorkehrungen im Falle staatlich veranlasster Zugriffe attestiert. Die Europäische Kommission muss in Zusammenarbeit mit der amerikanischen Regierung nun regulatorische Maßnahmen erst vereinbaren. Dass wird dauern.

In der Zwischenzeit steht jeder Datenexport in die USA vor der Frage, auf welcher Basis er erfolgen darf. Viele Unternehmen stehen faktisch vor der Wahl entweder den Geschäftsverkehr in die USA einzustellen und Rechtstreue zu beweisen oder illegal zu handeln, nur weil sie ihr Geschäft weiter betreiben. Das betrifft letztlich jedes Unternehmen, das auf US-amerikanische Internetdienste angewiesen ist. Dementsprechend prüfen Aufsichtsbehörden hierzulande bereits eine mögliche Aussetzung einzelner Datenexporte, die auf andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules gestützt werden. Dem Export personenbezogener Daten in die Vereinigten Staaten wird hierdurch jegliche Rechtssicherheit genommen. Besonders bemerkenswert ist es, dass Transfers in andere Staaten, etwa in asiatische Staaten und insbesondere nach China weiterhin zulässig sind, obwohl das Datenschutzniveau dort vermutlich kaum sicherer sein dürfte, als das der USA.

So gesehen ist die Entscheidung des EuGH ohne Augenmaß. Er hätte die Frage beantworten sollen, was auf Safe Harbor folgt und das nicht irgendwann, sondern am Tag der Entscheidung. Er hätte der Kommission unter Fristsetzung Zeit geben können, mit der amerikanischen Regierung Möglichkeiten einer umfassenden gesetzlichen Regulierung von behördlichen Zugriffen zu eruieren, was dringend geboten wäre. Das ist versäumt. Dabei greift das Urteil massiv in transatlantische Datenflüsse ein. Die kurzfristige Schaffung einer datenschutzrechtlichen Legitimation ist nicht möglich, da der EuGH keinerlei Übergangsfristen für eine Verbesserung von Safe Harbor, wie es von Datenschutzverbänden gefordert wird, vorsieht.

Auch Einwilligungen in Vorgänge, die man nicht begreift, sind unzulässig

Mängel hinsichtlich der Entscheidungsfindung der Kommission werden so letztlich auf dem Rücken der Datenexporteure ausgetragen, die die Rechtmäßigkeit ihrer Datenflüsse in die USA suchen. Safe Harbor war kein guter Weg für Datentransporte in die USA. Aber so holprig und unsicher er war, war er ein gangbarer und rechtsstaatlich abgesicherter Weg. Nun ist er abgeschnitten und auch die anderen Wege sind vom Urteil betroffen.

Es gibt mit Standardvertragsklauseln und Corporate Bindung Rules sowie Einwilligungslösungen zwar theoretisch Alternativen zu Safe Harbor. Ad hoc sind sie jedoch schwierig umzusetzen. Jedes Unternehmen, dass sich nun mit Akribie und erheblichem Aufwand und aller Rechtstreue daran macht, beispielsweise Einwilligungslösungen zu erarbeiten, muss sich vor Augen führen, dass auch Einwilligungen in massenhafte Datenübertragungsvorgänge, die der Nutzer nicht begreift, datenschutzrechtlich unzulässig sind. Jede datenverarbeitende verantwortliche Stelle ist nun sich selbst und für jeden Einzelfall einer einzelnen – nicht abschätzbaren – behördlichen Sanktionierungspraxis überlassen. Diese kann dann von der Rechtsprechung überprüft werden. Bis dahin muss die Wirtschaft jetzt auch ohne sicheren Rechtsrahmen leben.

Von Prof. Dr. Rolf Schwartmann