EuGH kippt Safe Harbor Decision der EU Kommission

Die Entscheidung des EuGH schlug heute Vormittag ein wie eine Bombe! Auch wenn es nicht vollkommen unwahrscheinlich war, hatten einige dem höchsten Europäischen Gericht nicht zugetraut, eine derart weit reichende Entscheidung zu fällen.

Der EuGH hat entschieden, dass die Safe Harbor Entscheidung der EU-Kommission, wonach die USA in datenschutzrechtlicher Hinsicht zumindest dann einem sicheren Drittland gleichgestellt werden kann, wenn das US-Unternehmen, bei dem die personenbezogenen Daten aus Europa empfangen und verarbeitet werden, sich der Safe Harbor Regelung unterworfen hat, unwirksam ist. Dies ist z. B. im Falle Facebook, Twitter, Amazon und Co. der Fall, so dass ein Datentransfer in die USA bislang auf dieser wenn auch wackeligen Grundlage rechtlich vertretbar erscheinen konnte. Dies gestaltet sich nun anders, da der EuGH entschieden hat, dass die Entscheidung der EU-Kommission aus dem Jahre 2000, wonach die USA mit dieser Maßgabe ein angemessenes Schutzniveau gewährleiste, hinfällig ist.

Der Kläger, eine Privatperson aus Österreich, hatte beim irischen Datenschutzbeauftragten eine Beschwerde über die Weitergabe seiner personenbezogenen Daten von Facebook Irland an Facebook USA eingereicht und geltend gemacht, dass in den USA spätestens seit den Enthüllungen des Whistleblowers Edward Snowden kein angemessenes Datenschutzniveau mehr herrschen könne. Das höchste irische Zivilgericht legte daraufhin dem EuGH die Frage der Vereinbarkeit der Datenweitergabe mit den aktuellen EU-Datenschutzvorschriften vor, der sodann die Safe Harbor Decision aus dem Jahre 2000 kassierte.

Nun stellt sich insbesondere für Unternehmen die Frage der rechtlichen Zulässigkeit des Datentransfers in die USA, und zwar sowohl auf Basis bestehender als auch künftiger Vertragsbeziehungen. Zwar gibt es Alternativen zur Safe Harbor Regelung, z. B. die Verwendung der EU-Standardvertragsklauseln (EU Model Clauses) oder auch sog. Binding Corporate Rules (BCR), doch auch hier muss nach intensiver Bewertung der vollständigen Entscheidungsgründe sorgfältig geprüft werden, ob diese Alternativen eine tragfähige Grundlage darstellen können, solange den US-Geheimdiensten derart umfangreiche Zugriffsmöglichkeiten auf personenbezogene Daten ohne Anlass zustehen. In jedem Fall muss der Fokus in der Vertragsgestaltung in grenzüberschreitenden Vertragsbeziehungen noch mehr als bisher auf datenschutzrechtliche Fragestellungen gerichtet werden.

Der Volltext der Entscheidung kann hier eingesehen werden. Wir werden diesen nun sehr sorgfältig mit Blick auf tragfähige Alternativen sichten und in den nächsten Tagen ein Whitepaper zu den rechtlichen Konsequenzen der Entscheidung herausbringen. 

Für Fragen hierzu stehen wir Ihnen an unseren Standorten jederzeit gerne zur Verfügung. 

Christian Welkenbach 

Partner 

TCI Rechtsanwälte Mainz