Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder gibt Positionspapier zu den Auswirkungen des Safe Harbor-Urteils des EuGH heraus
Neue Genehmigungen für Datenübertragungen in die USA auf der Grundlage von verbindlichen Unternehmensregelungen (BCR) oder Ad-hoc-Klauseln werden nicht erteilt
Nach dem Stellungnahme der Art. 29-Gruppe vom 16. Oktober 2015 über die praktischen Konsequenzen der Entscheidung durch den Europäischen Gerichtshof („EuGH“), durch welche Safe Harbor für ungültig erklärt wurde (das „Safe-Harbor-Urteil“), hat die Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder (die „Konferenz“) am 26. Oktober 2015 ein Positionspapier herausgegeben. Dieses Positionspapier enthält wichtige Hinweise dazu, wie die deutschen Datenschutzbehörden Datenübertragungen in die USA beurteilen, nachdem der EuGH die Safe Harbor-Entscheidung 2000/520/EG der Europäischen Kommission („Safe Harbor“) für ungültig erklärt hat.
Standardvertragsklauseln und verbindliche Unternehmensregelungen (BCR) in Frage gestellt
Gemäß dem Positionspapier der Konferenz werden die Datenschutzbehörden, soweit sie Kenntnis über ausschließlich auf Safe Harbor gestützte Datenübermittlungen in die USA erlangen, diese untersagen. Die Hamburger Datenschutzbehörde hat sogar angekündigt, dass sie Unternehmen diesbezüglich überprüfen wird, insbesondere Tochtergesellschaften von Safe Harbor gelisteten US-Unternehmen mit Sitz in Hamburg, die Daten an ihre in den USA ansässigen Muttergesellschaften übermitteln. Im Lichte des Safe Harbor-Urteils sieht die Konferenz ferner die Zulässigkeit von Datenübertragungen in die USA auf Grundlage von Standardvertragsklauseln oder verbindlichen Unternehmensregelungen (BCR) in Frage gestellt. In diesem Zusammenhang hat die Konferenz beispielsweise auf die Befugnis der Datenschutzbehörden verwiesen, durch Standardvertragsklauseln gestützte Datenübermittlungen in bestimmten Einzelfällen gemäß Artikel 4 der Standardvertragsklauseln auszusetzen, und erklärt, dass die Datenschutzbehörden bei Ausübung dieser Befugnis die Grundsätze des Safe Harbor-Urteils berücksichtigen werden, insbesondere dass Gesetze, die einen allgemeinen Zugriff auf die Inhalte elektronischer Mitteilungen gewähren und den Betroffenen einen sicheren Rechtsschutz verwehren, nicht als angemessen angesehen werden. Dies deutet an, dass die Konferenz die Standardvertragsklauseln zur Regelung von Datentransfers in die USA nicht per se für unangemessen hält, sondern sie unterstreicht vielmehr das Recht der Datenschutzbehörden, Datentransfers in bestimmten Einzelfällen auszusetzen. Die Datenschutzbehörden erteilen jedenfalls derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von bindenden Unternehmensregeln (BCR) oder Datenexportverträgen (auch bekannt als Ad-hoc-Klauseln).
Die Konferenz hat die Unternehmen daher aufgerufen, unverzüglich ihre Verfahren zum Datentransfer datenschutzgerecht zu gestalten. Unternehmen, die Daten in die USA oder andere Drittländer exportieren wollen, sollten sich dabei auch an der Entscheidung der Konferenz vom 27.03.2014 „Gewährleistung der Menschenrechte bei der elektronischen Kommunikation“ und an der „Orientierungshilfe Cloud Computing“ vom 09.10.2014 orientieren.
Einwilligung zu Datentransfers in die USA nur unter restriktiven Bedingungen
Die Konferenz hat bestätigt, dass eine Einwilligung zum Transfer personenbezogener Daten unter engen Bedingungen eine tragfähige Grundlage sein kann. Jedoch darf der auf einer Einwilligung basierende Datentransfer laut Konferenz nicht wiederholt, routinemäßig oder massenhaft erfolgen. Beim Export von Beschäftigtendaten oder wenn gleichzeitig auch Daten Dritter betroffen sind, kann die Einwilligung nur in Ausnahmefällen eine zulässige Grundlage für eine Datenübermittlung in die USA sein. Die Konferenz hat jedoch nicht definiert, welche Arten der Übermittlung als „Ausnahmefälle“ gelten.
Unmittelbares Klagerecht der Behörden
Die Konferenz hat die Gesetzgeber in Deutschland außerdem aufgefordert, den Datenschutzbehörden ein Klagerecht einzuräumen. Im Safe Harbor-Urteil hat der EuGH bestätigt, dass ihm allein die Zuständigkeit obliegt, einen verbindlichen Rechtsakt der EU für ungültig zu erklären. Andererseits hat der EuGH die nationalen Datenschutzbehörden ermutigt, vor den nationalen Gerichten Klage zu erheben, wenn bei ihnen ein Anspruch geltend gemacht wird, auch wenn die Europäische Kommission eine Entscheidung erlassen hat, gemäß der sie befindet, dass ein Drittland ein angemessenes Datenschutzniveau für personenbezogene Daten bietet. Dies würde den nationalen Gerichten die Möglichkeit geben, ein Vorabentscheidungsersuchen an den EuGH zum Zwecke der Prüfung der Gültigkeit der Entscheidung der Europäischen Kommission zu richten. In Deutschland haben die Datenschutzbehörden jedoch kein unmittelbares Klagerecht. Derzeit sind Gerichtsverfahren nur in Fällen möglich, in denen Datenschutzbehörden Aussetzungsanordnungen erlassen haben und die Empfänger dieser Anordnungen entscheiden, ihre Rechte gerichtlich geltend zu machen.
Weit reichende Datenschutzrechte sollen in Verhandlungen mit den USA garantiert werden
Die Konferenz hat die Europäische Kommission ferner dazu aufgefordert, bei ihren Verhandlungen mit den USA auf ausreichend weitreichende Garantien zum Schutz der Privatsphäre zu drängen. Dies gelte vor allem für das Recht auf gerichtlichen Schutz, die materiellen Datenschutzrechte und den Grundsatz der Verhältnismäßigkeit. Laut Konferenz gelte es ferner, die Entscheidungen der Kommission zu den Standardvertragsklauseln zeitnah an die im Safe Harbor-Urteil gemachten Vorgaben anzupassen.
Schließlich hat die Konferenz die Europäische Kommission, den Rat und das Parlament aufgefordert, die strengen Kriterien des Safe Harbor-Urteils in Kapitel V der kommenden Datenschutzverordnung, die internationale Datentransfers regelt, umfassend umzusetzen.
Zusammenfassung der Position
In einigen Punkten geht das Positionspapier der Konferenz weiter als die Stellungnahme der Art. 29-Gruppe (z. B. im Hinblick darauf, dass derzeit keine neuen Genehmigungen für Datentransfers in die USA auf Grundlage von verbindlichen Unternehmensregelungen und Ad-hoc-Klauseln erteilt werden, oder im Hinblick auf die Beschränkung der Gültigkeit von Einwilligungen auf Ausnahmefälle). Die Konferenz scheint jedoch nicht der in der Stellungnahme der Landesdatenschutzbehörde Schleswig-Holstein zum Ausdruck gebrachten Meinung zu folgen, dass Datenübermittlungen in die USA auf Grundlage von Standardvertragsklauseln per se untersagt sind. Die Konferenz lässt Unternehmen somit weiterhin die Möglichkeit, ihre Datentransfers in die USA auf Grundlage von Standardvertragsklauseln vorzunehmen – zumindest für einen Übergangszeitraum bis Ende Januar 2016, während dem die Art. 29-Gruppe Standardvertragsklauseln und verbindliche Unternehmensregelungen im Lichte des Safe Harbor-Urteils weiter bewerten wird.
Kontakte
Undine von Diemar
München
+49.89.20.60.42.200
sstoehr@jonesday.com
Mauricio F. Paez
New York
+1.212.326.7889
mfpaez@jonesday.com
Ted-Philip Kroke
Frankfurt
+49.69.9726.3939
tkroke@jonesday.com
Stefanie Stöhr
München
+49.89.20.60.42.200
sstoehr@jonesday.com