print logo

Was bedeutet die „Safe Harbour“-Entscheidung des Europäischen Gerichtshofs?

Timo Schutt | 14.10.2015
Mit seinem Urteil zum Datenschutzabkommen „Safe Harbour“ vom 06.10.2015 hat der Europäische Gerichtshof (EuGH) für einen regelrechten Paukenschlag im Datenschutzrecht gesorgt. Das Urteil stellt sowohl alle Unternehmen, als auch die Politik vor große, ggf. sogar in der Praxis unlösbare Probleme. Wir beraten und unterstützen Sie bei der weiteren Vorgehensweise und der aufgrund des Urteils sicherlich zwingend erforderlichen Anpassungen und Änderungen sehr gerne und wollen Sie mit diesem Beitrag über den Inhalt des Urteils selbst und den aktuellen Diskussionsstand danach informieren.

Was hat der EuGH entschieden?

Der Europäische Gerichtshof hat am 06.10.2015 entschieden, dass das sogenannte „Safe Harbour“-Abkommen zwischen der EU und den USA unwirksam ist. In diesem Abkommen hatte die EU-Kommission im Namen der EU mit den Vereinigten Staaten von Amerika im Jahre 2000 vereinbart, dass alle US-Unternehmen, die sich den Anforderungen des „Sicheren Hafens“ anschließen, ohne Weiteres Datentransfers zwischen der EU und den USA vornehmen können und dürfen. Das Datenschutzrecht ist in Europa wesentlich strenger geregelt, als dies in den Vereinigten Staaten der Fall ist. „Datentransfer“ im Sinne des Datenschutzrechts bezieht sich dabei übrigens immer auf personenbezogene Daten. Alle Daten, die mittelbar oder unmittelbar auf eine natürliche Person zurückgeführt werden können, sind dem Datenschutzrecht unterworfen. Personenbezogen ist dabei nach zumindest aktuell herrschender Meinung beispielsweise auch die IP-Adresse, da sie über ein Auskunftsverlangen des zuständigen Internet-Service-Providers auch wiederum auf eine bestimmte natürliche Person zurückgeführt werden kann. Das bedeutet, dass gerade im Internet und bei internetbezogenen Datentransfers nahezu immer auch personenbezogene Daten betroffen sind.

In Europa ist der Datenschutz in erster Linie über die nationalen Datenschutzgesetze geregelt. Es gibt aber auch eine EU-Richtlinie (vom 24.10.1995) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, die in der ganzen EU Gültigkeit hat. Daneben gibt es die europäischen Grundrechte, die genauso wie die deutschen Grundrechte ein Recht auf informationelle Selbstbestimmung, also auch den Schutz der eigenen persönlichen Daten beinhalten.

In der eben genannten EU-Richtlinie ist die Möglichkeit der EU-Kommission geregelt, einen Staat zum sicheren Drittstaat zu erklären. Erfolgt eine solche Erklärung, dann sind Datentransfers in diesen sicheren Drittstaat grundsätzlichen ohne weiteres erlaubt. Dieses Abkommen ist eben nun vom Europäischen Gerichtshof für unwirksam erklärt worden, was bedeutet, dass ab Verkündung dieser Entscheidung am 06.10.2015 grundsätzlich einmal alle Datentransfers in die USA nicht mehr aufgrund des Safe Harbour-Abkommens zulässig sind.

Zwar können diese Datentransfers weiterhin unter bestimmten Umständen zulässig sein aber ein Bezug auf diese Vereinbarung ist ab sofort nicht mehr möglich.

Was bedeutet das Urteil für die Unternehmen?

Das Urteil führt dazu, dass jedes Unternehmen in Europa genau prüfen muss, welche Daten aus welchen Gründen und aufgrund welcher Vereinbarung in die USA transferiert werden. Das betrifft beispielsweise auch alle Arten von Cloud-Lösungen, die von US-amerikanischen Anbietern stammen und auch sämtlichen Datenverkehr über Google, Facebook, Amazon, Apple, Dropbox, LinkedIn usw.

Nach unserem Dafürhalten gibt es daher kein Unternehmen, das nicht von dieser Entscheidung betroffen ist und nicht unverzüglich auf das Urteil reagieren sollte.

Wie ist zu reagieren?

Wie genau die Reaktion auszusehen ist, ist allerdings aktuell nur sehr schwer konkret darzustellen, da sich die zuständigen Behörden gar nicht bzw. widersprüchlich zu der Gerichtsentscheidung geäußert haben.

Auf jeden Fall aber ist allen Unternehmen jetzt schon zu raten, unverzüglich eine Prüfung der Datentransfers vorzunehmen und Alternativen zu evaluieren. Möglich und ratsam ist es daneben, den jeweils für das Unternehmen zuständigen Landesdatenschutzbeauftragten nach seiner Rechtsauffassung und der weiteren Vorgehensweise zu befragen. Daneben wird auf jeden Fall eine Rechtsberatung nötig sein, um den weiteren Prozess nach der Urteilsverkündung rechtssicher begleiten und die sich in Zukunft herausstellenden Änderungen unverzüglich vornehmen zu können.

Doch auch bereits bei der erforderlichen Evaluation der Datentransfers und der möglichen Alternativen ist eine Rechtsberatung nach unserer Meinung unverzichtbar. Dass sich die zuständigen Behörden bislang nicht oder nicht einheitlich geäußert haben, bedeutet jedenfalls nicht, dass nicht drastische Maßnahmen vorgenommen werden, um das Urteil des EuGH in der Praxis durchzusetzen.

Wir sind der Meinung, dass man durch bestimmte Maßnahmen trotz der aktuellen Rechtsunsicherheit auf der sicheren Seite sein kann. Sprechen Sie uns jederzeit sehr gerne auf diese Möglichkeiten an. Wir beraten und unterstützen Sie in diesem Bereich.

Jedenfalls gilt auch hier der Grundsatz, dass eine Rechtsberatung im Vorfeld nicht nur die sicherere, sondern auch die günstigere Variante ist im Vergleich zu einem Abwarten bzw. einem bloßen „Weiter so“.

Wir freuen uns auf Ihre Kontaktaufnahme.

Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht