Safe Harbor gekippt – im unsicheren HafenGründe und Konsequenzen der EuGH-Entscheidung zur Unwirksamkeit von Safe Harbor

Der Europäische Gerichtshof (EuGH) hat am 6. Oktober 2015 die Entscheidung der Europäischen Kommission, wonach die Vereinigten Staaten von Amerika im Rahmen des Safe Harbor-Abkommens ein angemessenes Schutzniveau für aus der EU über-mittelte personenbezogene Daten gewährleisten, für ungültig erklärt. Ein Datentrans- fer ist damit auf Basis dieses Abkommens nicht mehr rechtskonform möglich. Um empfindlichen Bußgeldern zu entgehen, sind Unternehmen in Zugzwang. Doch auch die Alternativen sind limitiert.

HintergrundIm europäischen Datenschutzrecht gilt der Grundsatz: Die Übermittlung von personenbezogenen Daten in Drittlän-der (wie auch die USA) ist nur dann erlaubt, wenn die über-mittelten Daten dort mindestens genauso gut geschützt sind wie innerhalb des Geltungsbereichs europäischer Datenschutzregulierung. Ein solches „angemessenes Datenschutzniveau“ kann von der europäischen Kommis-sion auch individuell festgestellt werden, wie es in ihrer Safe Harbor-Entscheidung vom 26. Juli 2000 der Fall war. Gemäß diesem Abkommen können sich US-Unternehmen gegenüber der Federal Trade Commission (FTC) zur Ein-haltung der sogenannten „Safe Harbor Privacy Principles“ verpflichten und so zum „sicheren Hafen“ für europäische Daten werden.

Entsprechend konnten Unternehmen bisher personenbe-zogene Daten aus EU-Ländern an Safe Harbor zertifizierte Unternehmen in den USA übermitteln. Durch die Entschei-dung des EuGH besteht diese Möglichkeit nicht mehr.

Entscheidung des EuGHDer Europäische Gerichtshof führt in seiner Entscheidung aus, dass die Kommission bei der Feststellung eines ange-messenen Datenschutzniveaus der Vereinigten Staaten nach dem Safe Harbor-Abkommen wesentliche Punkte nicht geprüft hat. Sie betreffen unter anderem die Frage, ob und unter welchen Umständen staatliche Stellen nach US-Recht Zugriff auf diese Daten verlangen können und ob hiergegen Rechtsschutzmöglichkeiten für die Betroffe-nen bestehen. Ob letztlich in den USA ein angemessenes Datenschutzniveau bestehen kann, wurde durch den EuGH nicht abschließend beurteilt. Allein die Tatsache aber, dass die vorgenannten Punkte nicht geprüft wurden, führt nach Auffassung des Gerichts dazu, dass die Safe Harbor-Ent-scheidung insgesamt als ungültig anzusehen ist.

Position der AufsichtsbehördenVor diesem Hintergrund haben nun die deutschen Auf-sichtsbehörden für den Datenschutz ein einheitliches Posi-tionspapier zum Safe Harbor-Urteil veröffentlicht. Ihm zufolge verbleiben derzeit für Unternehmen nur noch limi-tierte Möglichkeiten für Transfers personenbezogener Daten in die USA.

• Der Safe Harbor-Mechanismus ist nach dem Urteil des EuGH nicht mehr möglich. Aufsichtsbehörden kündigen sofortige Untersagungsverfügungen für den Fall an, dass sie Kenntnis von Transfers personenbezogener Daten auf dieser Basis erlangen.

• Binding Corporate Rules, also verbindliche Unterneh-mensregeln, werden von den Aufsichtsbehörden für Datentransfers in die USA zukünftig nicht mehr geneh-migt. Gleiches gilt für sogenannte genehmigungspflich-tige Datenexportverträge. Die Aufsichtsbehörden äußern bisher nicht die Absicht, bestehende Regelungen für ungültig zu erklären. Unklar bleibt die Frage, wie deut-sche Aufsichtsbehörden mit Binding Corporate Rules umgehen werden, die zukünftig von anderen Mitglieds-staaten genehmigt werden.

• Standardvertragsklauseln werden ebenfalls kritisch be-wertet, aber mit Blick auf die Äußerung der Artikel 29- Gruppe, bestehend aus Vertretern der nationalen Daten-schutzbehörden der Mitgliedsstaaten der Europäischen Union, ist davon auszugehen, dass bis zum 31. Januar 2016 keine umfassenden Zwangsmaßnahmen umge-setzt werden. Bis dahin können Standardvertragsklau-seln eine mögliche, vorübergehende Rechtsgrundlage für Transfers von personenbezogenen Daten in die USA darstellen.

• Einwilligungen zur Übermittlung personenbezogener Daten werden nur in engen Ausnahmefällen als zuläs-sige Rechtsgrundlage gewertet. Sie sollen aber keinen dauerhaften/regelmäßigen Datentransfer rechtfertigen können.

Die Aufsichtsbehörden für den Datenschutz fordern betrof-fene Unternehmen auf, „unverzüglich ihre Verfahren zum Datentransfer datenschutzgerecht zu gestalten“.

Handlungsmaßnahmen für UnternehmenWir empfehlen Unternehmen aktuell, folgende Fragen zu klären:

• Werden personenbezogene Daten in die USA übermittelt?

• Auf welcher Rechtsgrundlage werden sie transferiert? • Was sind gegebenenfalls bestehende Handlungs-

alternativen?

Zunächst sollten alle Unternehmen prüfen, ob und welche personenbezogenen Daten sie auf Basis des Safe Harbor- Abkommens in die Vereinigten Staaten übermitteln. Dabei sollte auch die Übermittlung durch dritte Parteien, wie Cloud-Anbieter oder sonstige externe Datenverarbeiter bedacht werden. Werden Daten in die USA übertragen, sollten die Unternehmen gemeinsam mit ihren amerikani-schen Partnern Alternativen erarbeiten.

Unternehmen, die nicht über bestehende Binding Corpo-rate Rules oder einen genehmigten Datenexportvertrag verfügen, dürften kurzfristig und vorübergehend bis Ende Januar 2016 auf die Standardvertragsklauseln zurückgreifen können, in absoluten Einzelfällen auch auf Einwilligungen. Klar wird aber auch, dass mit der Entschließung der deut-schen Aufsichtsbehörden eine wirklich belastbare Rechts-grundlage für Unternehmen aktuell nicht mehr besteht. Vor dem Hintergrund der klaren Positionierung der deut-schen Aufsichtsbehörden sind Unternehmen dazu angehal-ten, auch kurzfristig den Transfer von personenbezogenen Daten in die USA auf ein Mindestmaß zu beschränken und möglicherweise bestehende Datentransfers umzugestal-ten. Rechtssicherheit kann nur die von vielen Seiten ange-mahnte politische Lösung mit den USA bringen. Bis dahin werden deutsche Unternehmen aber nicht auf eine Schon-frist der Aufsichtsbehörden vertrauen können, sondern müssen proaktiv ihre Datenschutz-Compliance auch für Datentransfers in die USA sicherstellen.

Wie Maßnahmen für Ihr Unternehmen aussehen können und wie diese kurzfristig effizient umgesetzt werden kön-nen, erarbeiten wir gerne gemeinsam mit Ihnen.

Fortlaufend aktualisierte Informationen zum Thema finden Sie unter: www.kpmg.de/safeharbor

Kontakt

KPMG AG Wirtschaftsprüfungsgesellschaft

Barbara SchebenPartner, Audit ForensicT +49 69 9587-3737bscheben@kpmg.com

www.kpmg.de

KPMG Rechtsanwaltsgesellschaft mbH

Dr. Tobias FuchsPartner, Leiter Practice Group Technology, Media & TelecommunicationT +49 89 599 7606 1380tobiasfuchs@kpmg-law.com

www.kpmg-law.de

Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation. Unsere Leistungen erbringen wir vorbehaltlich der berufsrechtlichen Prüfung der Zulässigkeit in jedem Einzelfall.

© 2015 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.