Alea iacta est. Der Gerichtshof der europäischen Union (EuGH) hat die Entscheidung der Kommission, dass die USA ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten („Safe Harbor“ ), für ungültig erklärt.
Es rummst gerade und zwar gewaltig.
Die wenigsten haben bis jetzt die Urteilsgründe der Entscheidung EuGH C-362/14 gelesen (ich auch noch nicht habe es bislang auch nur überflogen). Und so bleibt zunächst einmal abzuwarten, was eine Analyse desselben ergibt bzw. welche Konsequenzen das Urteil im Einzelnen letztlich tatsächlich haben wird. Fest steht jedoch schon jetzt: Es werden nicht keine sein.
Nach der Pressemitteilung des EuGH genügt das Safe Harbour insoweit nicht europäischen Datenschutzstandards, als dieses Abkommen (ungerechtfertigte) Eingriffe in die Grundrechte von Personen seitens von Behörden (insb. NSA & Co) ermöglicht und vor allem, weil dem Betroffenen keine Rechtsbehelfe gegen derartige Eingriffe zur Verfügung stehen. Folglich sei die Entscheidung der Kommission, dass „dass die USA ein angemessenes Schutzniveau gewährleistet“ ungültig. Und damit steht Safe Harbor vor dem aus.
Das ist die sehr verkürzte Darstellung der ebenfalls bereits die Urteilsgründe stark vereinfachenden Pressemitteilung des EuGH, aber so im Wesentlichen die Begründung.
Diese Entscheidung hat nicht nur für amerikanische, sondern vor allem auch für europäische und damit deutsche Unternehmen Brisanz. Hier trifft es wiederum ganz besonders solche, die auf Dienstleistungen von US-Unternehmen angewiesen sind (Gretchenfrage: Wer ist das nicht?!) und/oder die selbst etwa übergreifende (personenbezogene) Big Data Analysen, CRMs (Customer-Relationship-Management-Tools) oder Webmonitoring nutzen oder anbieten.
Das Ende der (Daten-)Welt?
Und jetzt? Das Ende der Welt? Facebook und Twitter down? Apple vor dem aus? Wohl kaum. Die EU und USA müssen sich jetzt unmittelbar an ein neues Abkommen setzen, das wissen beide Seiten. Doch bis hier etwas steht, werden noch ein paar Tage *hust ins Land gehen. Und es gibt – neben Safe Harbor – durchaus Möglichkeiten datenschutzkonform Datentransfer zwischen den USA und Europa zu betreiben.
Schließlich war es schon immer so gewesen, dass nach § 4c Abs. 1 Nr. 3 BDSG die Übermittlung an andere Stellen, auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht (!) gewährleistet ist, zulässig ist, sofern
- der Betroffene seine Einwilligung gegeben hat oder
- die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist oder
- die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll […].
Das heißt, wenn der betroffene seine konkrete, bewusste und ausdrückliche Einwilligung gemäß der Anforderungen von § 4a BDSG gegeben hat, ist (fast) alles möglich. (Es ist aber durchaus nicht ganz einfach hier den Anforderungen zu genügen).
Ferner dürfen zur Vertragserfüllung weiterhin Daten ausgetauscht werden. Da dieses „Problem“ nun auch wahrlich kein Einzelfall ist, hält die EU Standard-Vertragsklauseln vor, nach bzw. mit denen der Transfer von personenbezogenen Daten zwischen den Parteien rechtskonform geregelt werden kann.
Last but not least, es gibt weiter die Möglichkeit für international aufgestellte Konzerne sich „betriebseigene“ verbindliche Regelungen zum Umgang mit personenbezogenen Daten – auf Basis von EU-Vorgaben – zu schaffen, diese Regelungen werden zumeist unter dem Schlagwort „Binding Corperate Rules“ abgehandelt (klingt ja auch gleich viel besser!). Auch hier steht der Konzern nicht alleine dar, die EU, bzw. konkret die Artikel 29 Datenschutzgruppe gibt hier mit dem Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen freundlicher Weise eine Handreichung (Obacht! Aus 2008. Im Zweifel mal genauer hingucken!).
Fazit (vorerst)
Safe Harbor ist aus. Das Spiel aber natürlich nicht. Es gab und gibt Wege legal mitzuspielen. Nur sind die jetzt etwas umständlicher geworden. Den Datenschutz schlicht zu ignorieren (ja, das tun immer noch relativ viele Unternehmen relativ ungeniert) wird immer ungemütlicher. Zumal die nationalen Aufsichtsbehörden die Entscheidung mit Sicherheit dergestalt lesen werden, als ihnen die Entscheidung nun erweiterte (wiedererhaltene, durch die Kommissions-Entscheidung vorher beschnittene) Befugnisse gewährt.
Update (06.10.2015, 15:28): Ja, die Aufsichtsbehörden fühlen sich gestärkt. Der Hamburgische Beauftragte für Datenschutz: „Bei der Umsetzung dieser Entscheidung werden die nationalen und europäischen Datenschutzbehörden künftig eine Schlüsselrolle einnehmen.“ (PM vom 06.10.2015).
Also, es bleibt spannend.
So auch die Frage: Was ist mit all den hübschen Social-PlugIns? Bedarf es nun Overlayer allerorten, mit denen die audrückliche Einwilligung der Nutzer eingeholt wird? Und genügt eine Einwilligung, die wie ein – lästiger – Cookie-Hinweis schlicht achtlos weggeklickt wird? Fragen über Fragen. Die Antworten kommen sicher. Beizeiten.
In diesem Sinne,
so schnell geht die Welt nicht unter, auch wenn sie sich gerade mächtig am ändern ist.