13.10.2015

Safe Harbour ist geplatzt

Das EuGH-Urteil schreibt ein Stück Rechtsgeschichte

Ein Gastbeitrag von Oliver Dehning, Hornetsecurity GmbH

Gut zwei Jahre hat es gebraucht seit den ersten Enthüllungen von Edward Snowden, jetzt hat der Gerichtshof der Europäischen Union eine in Ihren möglichen Auswirkungen weitreichende Feststellung getroffen: Die USA bieten „kein angemessenes Schutzniveau für personenbezogene Daten“.

Ausgang des Verfahrens war eine an die irischen Datenschutzbehörden gerichtete Beschwerde eines österreichischen Bürgers gegen die Übermittlung seiner bei Facebook gespeicherten Daten in die USA, mit der Begründung, dass im Hinblick auf die von Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der USA, insbesondere der NSA, davon auszugehen sei, dass in den USA die Daten nicht hinreichend vor Überwachungstätigkeiten der dortigen Behörden geschützt seien. Die irische Behörde wies die Beschwerde mit dem Hinweis zurück, durch das Safe Harbour Abkommen sei ein angemessenes Schutzniveau in den USA festgestellt. Dieser Begründung hat der EuGH nun die Grundlage entzogen und die Safe Harbour Regelung gekippt.

Das Urteil hat vermutlich weitreichende Folgen: Mindestens dürfte die Übermittlung personenbezogener Daten in die USA auf Basis der Safe Harbour Regelung ab sofort als unzulässig gelten. Mit Blick auf die Begründung des EuGH könnte das Urteil aber auch Auswirkungen auf die vor allem von großen Unternehmen gern genutzten „Binding Corporate Rules“ haben. Die „Binding Corporate Rules“ sind ein Rahmen für verbindliche Richtlinien zum Umgang mit personenbezogene Daten. Wenn ein Unternehmen seine Binding Corporate Rules von europäischen Datenschutzbehörden verifizieren lässt, dann dürfen auf der Grundlage der dort festgelegten Richtlinien Daten in Drittstaaten, z.B. in die USA übermittelt werden.

Der EuGH hat nun aber festgestellt, dass „amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die […] vorgesehenen Schutzregeln unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen [der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten] stehen“. Damit sind die „Binding Corporate Rules“ eben nicht „Binding“, wenn es um den Schutz der Daten gegenüber amerikanischen Behörden geht. Zudem stellt der EuGH fest, dass die in den USA möglichen Zugriffe von Behörden auf diese Daten nicht auf das in der EU geforderte „absolut Notwendige“ beschränkt seien, „wenn sie generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen.“ Gemeint ist die anlasslose Massenspeicherung von Daten durch die NSA.

Mit anderen Worten: Wenn Daten in die USA übermittelt werden, dann unterliegen diese Daten uneingeschränkt dem Recht der USA, ganz gleich, ob es Binding Corporate Rules gibt oder nicht. Da das geltende Recht der USA nach Ansicht des EuGH kein ausreichendes Datenschutzniveau gewährleistet, wäre nach EU-Recht damit die Übermittlung personenbezogener Daten in die USA generell unzulässig.

Das ist aber noch nicht alles: US-Behörden erheben auch den Anspruch auf Zugriff auf Daten, die außerhalb der USA lagern, aber im Zugriff US-amerikanischer Unternehmen sind. Ein entsprechendes Verfahren gegen Microsoft zur Herausgabe von in Irland gespeicherten E-Mail-Daten ist in Berufung, in zwei Vorinstanzen wurde gegen Microsoft entschieden. Dem folgend wäre schon die Übermittlung von personenbezogenen Daten an US-amerikanische Unternehmen unzulässig.

Ob es wirklich so weit gehen wird, bleibt abzuwarten. Deutschen Unternehmen aber ist zu raten, personenbezogene Daten nur durch EU-Unternehmen innerhalb der EU verarbeiten zu lassen.