Die Europäische Union hat 1995 eine Datenschutzrichtlinie beschlossen, die jedes Mitgliedsland in nationales Recht umsetzen musste. Unter anderem ist darin geregelt, dass die Übertragung von personenbezogenen Daten aus der EU in ein Land außerhalb der EU nur dann möglich ist, wenn entweder in diesem Land ein ähnliches Datenschutzniveau wie in der EU besteht und die EU dies anerkannt hat oder andere Rechtfertigungsgründe vorliegen.

In den Folgejahren verhandelten die USA und die EU darüber, ob die USA über das gleiche Datenschutzniveau wie Europa verfügen, was damals eindeutig nicht der Fall war. Da sowohl die USA als auch die EU ein Interesse daran hatten, den gegenseitigen Handel nicht durch eine Verhinderung von Datentransfers zu blockieren, kam die Idee einer Vereinbarung auf. Diese besagte, dass eine Übertragung personenbezogener Daten aus der EU in die USA im Rahmen der EU Datenschutzrichtlinie erfolgen kann, wenn das Unternehmen, an das die personenbezogenen Daten übertragen werden, sich an bestimmte Regeln zum Schutz eben dieser Daten hält. Diese Regeln wurden dann als Prinzipien in den sogenannten Safe-Harbor- Dokumenten niedergeschrieben und werden durch FAQs ergänzt.

Entscheidung des Europäischen Gerichtshofes
Es war schließlich die Klage von Maximilian Schrems vor dem Europäischen Gerichtshof, die die Safe-Harbor-Entscheidung nach Jahren der Kritik kippte. Der Österreicher wollte seinen Facebook- Account löschen und hat dabei von Facebook Auskunft darüber verlangt, welche Daten das soziale Netzwerk über ihn gespeichert hat. Er erhielt auch tatsächlich die Antwort in Form eines sehr umfangreichen Dokuments. Nun begannen die Veröffentlichungen Edward Snowdens und der Aufschrei war groß, auch im Hinblick auf Safe Harbor.

Weil nun das bekannter wurde, was in Fachkreisen längst vermutet wurde, dass nämlich die Geheimdienste und Behörden der "Five- Eyes"-Staaten (USA, Großbritannien, Kanada, Australien und Neuseeland) Daten sammeln und auswerten, ohne auf Safe Harbor Rücksicht zu nehmen. Maximilian Schrems erhob daraufhin bei der zuständigen Datenschutzbehörde in Irland Beschwerde darüber, dass Facebook seine Daten auf Grundlage von Safe Harbor in die USA übertragen hatte und behauptete, dass in den USA kein angemessenes Datenschutzniveau bestehen würde. Damit konstatierte er auch, dass die EU-Entscheidung zu Safe Harbor nicht richtig und zu überprüfen sei.

Die irische Datenschutzbehörde sah sich an die EU-Entscheidung gebunden und beschied Herrn Schrems abschlägig, woraufhin dieser Klage beim zuständigen irischen Gericht erhob. Das wiederum sah sich gezwungen, die Angelegenheit dem Europäischen Gerichtshof (EuGH) vorzulegen. Dieser entschied mit Urteil vom 6. Oktober 2015, dass die Safe-Harbor- Entscheidung der EU ungültig sei.

Die Konsequenzen
Nach dieser richtungsweisenden Entscheidung stellten sich Fragen darüber, wie Unternehmen nun Daten zwischen den beiden Kontinenten austauschen können, wenn Safe Harbor nicht mehr als Rechtsgrundlage herangezogen werden kann. Es gibt neben Safe Harbor jedoch weitere Möglichkeiten, eine Rechtsgrundlage für eine Datenübertragung in die USA (oder andere Länder) zu schaffen. Vorrangig werden momentan zwei unterschiedliche Methoden genutzt, die eine sind die sogenannten "EU Model Clauses" sowie "Binding Corporate Rules".

EU Model Clauses sind Vertragsbedingungen, die die EU-Kommission vorgibt, die nicht verändert werden dürfen und bei deren Einhaltung davon ausgegangen wird, dass beim Empfänger ein angemessenes Datenschutzniveau besteht. Diese Vertragsbedingungen werden vielfach genutzt und der Umgang mit ihnen ist wohlbekannt. Möchte ein Unternehmen Änderungen daran vornehmen, muss es diese von den Datenschutzbehörden genehmigen lassen – was angesichts des damit verbundenen Aufwandes in der Regel unterlassen wird. Eine der bekannten Ausnahmen davon ist Microsoft, das einige Veränderungen durch den Genehmigungsprozess gebracht hat.

Binding Corporate Rules und Binding Processor Rules sind Regelwerke, die sich ein Unternehmen (BCR für nachfragende Unternehmen, BPR für Anbieter) gibt und die ein aufwendiges Genehmigungsverfahren bei den Datenschutzbehörden bedeuten. Alleine schon die Abfassung der Regelwerke ist nicht einfach und bedarf vielfacher Abstimmung mit den Behörden. Das sich daran anschließende Genehmigungsverfahren ist ebenfalls aufwendig und dürfte sich im Bereich von zwei bis drei Jahren bewegen.

Nachfolger: EU-US-Privacy Shield
Am 2. Februar hat die EU die Absicht erklärt, ein sogenanntes "EU-US Privacy Shield" in Form eines Briefaustausches zu vereinbaren. Zwischen der EU und den USA will sie damit der Datenübertragung von personenbezogenen Daten aus der EU in die USA, soweit sie bisher auf Safe Harbor gestützt wurde, eine neue Rechtsgrundlage geben – dann wohl mit einer Adäquanzentscheidung der EU-Kommission gekoppelt. Die Adäquanzentscheidung würde besagen, dass das Datenschutzniveau in den USA als ebenso hoch wie in der EU angesehen wird.

Gegenstand des Briefwechsels zuvor soll sein, dass die USA sich verpflichten die Unternehmen, die in den USA aufgrund eines solchen Briefwechsels personenbezogene Daten empfangen, stärker zu kontrollieren und enger mit den Datenschutzbehörden in der EU zusammenzuarbeiten. Im Weiteren sollen die Zugriffsrechte der staatlichen Behörden in den USA begrenzt werden und ein Ombudsmann eingesetzt werden. Betroffene Bürger der EU sollen ähnliche Auskünfte über die Verwendung ihrer personenbezogenen Daten erhalten wie auch in den Mitgliedsstaaten der EU.

Anfang Februar war das alles aber reine Absichtserklärung und ist kein konkreter Text zu Ende verhandelt worden. Wie die Datenschutzbehörden sich zu dem Thema stellen, war zum Redaktionsschluss dieser Ausgabe noch unbekannt. Absehbar ist, dass massive Kritik aufkommen wird. Ein Briefwechsel wird vielen als rechtlich nicht bindend genug erscheinen. Der Ombudsmann scheint mit wenig bis gar keiner Macht ausgestattet zu sein.

Die Rechtslage hinsichtlich des Zugriffs auf Daten durch Behörden in den USA soll nicht geändert werden, sondern es soll lediglich eine Interpretation davon im Briefwechsel festgehalten werden. Nicht angesprochen wurde bisher auch, ob die Unternehmen, die sich bisher dem Safe Harbor Regime unterwerfen, automatisch auch dem neuen Regime unterworfen werden. Ob die Lösung also Bestand haben wird oder nicht, lässt sich derzeit noch nicht sagen.

Fazit
Die Entscheidung des EuGH hat wieder einmal gezeigt, dass sich der Weg zu Gericht lohnen kann und dass die obersten Gerichte durchaus folgenschwere Entscheidungen treffen. Inwieweit der "US-EU-Privacy Shield" die personenbezogenen Daten in den USA zukünftig wirklich schützt, war zum Redaktionsschluss dieser Ausgabe noch nicht absehbar.

Rechtsanwalt Alexander Eichler (alexander@ eichler.com) arbeitet seit mehr als 17 Jahren als IT-Anwalt unter anderem in den Bereichen Cloud Computing, Outsourcing, Datenschutz, internationaler Datentransfer, Softwarelizenzierung sowie Projektverträgen.

Alexander Eichler/dr