Safe Harbor: Quo Vadis Datenschutzabkommen?

Nach knapp 15 Jahren sicherer Hafen hieß es diesen Herbst nun „ade und leb’ wohl, liebes Safe Harbor Abkommen!“ Nachdem schon länger die Kritik brodelte, befand schließlich der EuGH, dass das Abkommen nichtig ist. Das Geschrei war groß, die Verunsicherung noch größer. Dieser Artikel soll zeigen, was bisher geschah und wohin die Reise mittlerweile geht.

Eine kurze Bestandsaufnahme

Bereits im September 2015 deutet sich in Gestalt der Schlussanträge des Generalanwalts am Europäischen Gerichtshof Yves Bot an, was dann am 06. Oktober 2015 Realität wurde: Das Safe Harbor Abkommen wurde vom EuGH für ungültig erklärt. Der Grund dafür ist, dass das Abkommen nicht den europäischen Datenschutzstandards genüge. Insbesondere werden unter dem Deckmantel des Abkommens Eingriffe in die Grundrechte von EU-Bürgern seitens amerikanischer Behörden (NSA & Co) ermöglicht. Zudem stehen den Betroffenen gegen derartige Eingriffe keine Rechtsbehelfe zur Verfügung. Details gibt es hier.

Nach diesem Knall dauerte es auch nicht lange, bis es die ersten Statements seitens der Datenschutzbehörden zu dem Urteil gab. Allen voran sorgte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) mit Seinem Positionspapier vom 14.10.15 für helle Aufregung. Kurz zusammengefasst liest sich nämlich deren Stellungnahme so, dass ein rechtskonformer Datenaustausch mit den USA nicht möglich sei, solange dort keine umfassenden gesetzlichen Änderungen vorgenommen würden.

“Einwilligen” könnten EU-Bürger auch nicht in eine Datenverarbeitung in Übersee. Die EU-Standardvertragsklauseln seien auch keine akzeptable Lösung. Schließlich behält es sich das ULD, vor Anordnungen gegen Unternehmen zu treffen, nach denen die Datenübermittlung eingestellt werden muss. Obendrein könnten auch Bußgelder gemäß § 43 Abs. 2 Nr. 1 BDSG von bis zu max. 300.000 € verhängt werden. Eine ausführliche Auseinandersetzung mit dem Positionspapier gibt es hier zu lesen.

Am 16. Oktober äußerte sich dann die “Art. -29-Gruppe” ebenfalls zu der besagten EuGH-Entscheidung – im Wesentlichen mit einem Appell an die Mitgliedstaaten, eine politische, technische und rechtliche Einigung mit den US-Behörden zu finden. Im Gegensatz zum ULD sieht die Art. 29 Gruppe aber die Möglichkeit als Zwischenlösung (bis Ende Januar 2016) bei Datentransfers in die USA auf die EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR) zurückzugreifen. Ein Einschreiten zu einem früheren Zeitpunkt gäbe es erst, wenn es konkrete Beschwerden gegen ein Unternehmen gibt.

Kurze Zeit später folgte dann das Positionspapier der Datenschutzkonferenz. Dort wurden quasi die EU-Standardvertragsklauseln und ebenfalls die BCR für ungültig erklärt. Zwischen den Zeilen konnte man aber vermuten, dass auch hier den Unternehmen eine Galgenfrist bis Ende Januar 2016 gewährt wird, um die eigenen Datenströme zu prüfen und Auswege zu finden. Darüber hinaus forderte auch die Datenschutzkonferenz die Politik auf, endlich (!) Lösungen für das alt bekannte Problem zu finden. Ausführlichere Infos zu den Äußerungen der Art. 29 Gruppe und der Datenschutzkonferenz gibt es hier.

Fazit: Alles schön und gut. Oder?

Wer die drei bislang in diesem Blog zu dieser Thematik erschienenen Artikel gelesen hat (oder einen… oder zwei) und auch bis hier gekommen ist, steht berechtigter Weise vor der Frage: was genau soll denn jetzt bitte gemacht werden? Viele Institutionen reden noch viel mehr, aber konkrete Handlungsanweisungen für Unternehmen vermisst man schmerzlich. Die Verunsicherung bleibt, auch wenn bis Ende Januar erst mal quasi „alles beim alten“ bleiben soll, wenn man die Standardvertragsklauseln oder BCR nutzt.

Wenn aber auch diese beiden Instrumente keine akzeptablen Mittel mehr für den Datentransfer mit den USA sein sollen… verabschieden wir uns dann mit dem Safe Harbor Abkommen auch gleichzeitig gänzlich von US-Amerikanischen Konzernen? Tschüss Amazon, Apple, Facebook, Google und Co.?

Es geht voran

Was genau der Stand der Dinge in etwa sechs Wochen sein wird, kann natürlich nicht mit Sicherheit gesagt werden.

Aber: es ist definitiv Bewegung in die Sache gekommen. Dies ergibt sich vor allem aus Interviews der EU-Justizkommissarin Věra Jourová mit dem österreichischen Wirtschaftsblatt und der Frankfurter Allgemeinen Zeitung. Sie prognostiziert, dass mit Mitte Januar alle Streitfragen hinsichtlich des geplanten Nachfolgeabkommens geklärt sein sollten. Huch – jahrelang passiert trotz Kritik nichts und plötzlich soll alles ganz schnell gehen? Der Grund hierfür liegt darin, dass seit dem Urteil des EuGH im Herbst ernsthafter Handlungsbedarf und Druck an allen Fronten entstanden ist.

 „Wir müssen die Phase der Rechtsunsicherheit so schnell wie möglich beenden“,

sagt auch die Tschechin. Unternehmen, die zuvor im sicheren Hafen angelegt hatten, sind nun mehr oder minder gezwungen sich mit den Standardvertragsklauseln auseinandersetzen, wohl wissend, dass es sich dabei vermutlich auch nur um eine Zwischenlösung handelt.

Ob die Standardvertragsklauseln überhaupt von der EuGH Entscheidung betroffen sind, ist derweil noch nicht geklärt. US-Unternehmen auf der anderen Seite stehen vor dem Problem, dass Kunden zu europäischen Anbietern wechseln. Auch für sie wird der Aufwand steigen, wenn sie Kunden aus Übersee rechtskonform betreuen möchten.

 Optimismus trotz offener Streitpunkte

Doch natürlich gibt es noch offene Streitpunkte, die alsbald geklärt werden müssen. Kernproblempunkte bei dem neuen Abkommen sind unter anderem die Kompetenzen der europäischen Datenschutzbehörden und dem Federal Committee of Trade (deren US-Amerikanischem Gegenstück). Es ist vorgesehen, dass diese die Vorgaben des geplanten Abkommens umsetzen. Zudem sollen sie sich mit den Beschwerden der Bürger auseinandersetzen, denn gerade der Punkt der Klagemöglichkeit für EU-Bürger hatte einen großen Raum in dem Urteil aus dem Herbst eingenommen.

Des Weiteren ändert ein neues Abkommen an sich nichts daran, dass US-Geheimdienste weiterhin den vollen Zugriff auch auf Daten von EU-Bürgern haben, sofern deren Daten in den USA verarbeitet werden. Auch künftig könne man nicht sicher sein, was die Geheimdienste alles abgreifen. Als Gegengewicht dazu soll es eine intensivere und laufende Überwachung des Abkommens geben. Zuvor war es so, dass das Safe Harbor Abkommen im Jahr 2000 durch die Kommission abgesegnet wurde und damit war es das. Diesen Fehler wolle man auf keinen Fall wiederholen.

Doch die Justizkommissarin gibt sich optimistisch. Insbesondere sorge das Urteil des EuGH mit seinen strengen Kriterien hinsichtlich der Datenschutzstandards für eine starke Position der EU bei den Verhandlungen mit den USA.

Doch auch dieser Beitrag hat ein offenes Ende: “Abwarten, Tee trinken und nicht in Panik verfallen”, lautet weiterhin das Motto. Es scheint zumindest so, dass mit Hochdruck an einer Lösung gearbeitet wird. Und ab Mitte/Ende Januar sind wir dann alle (vielleicht) ein bisschen schlauer.

Hinterlassen Sie eine Antwort

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Sie können folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>