Der Europäische Gerichtshof hat am gestrigen Tag das Safe Harbor Abkommen mit den USA gekippt. Diese Entscheidung wird die nationalen Aufsichtsbehörden stärken. Somit folgte der EuGH der Einschätzung des Generalanwalts Yves Bot und ließ sich von der Kritik der Amerikaner nicht einschüchtern.

SAFE HARBOR FÜR UNGÜLTIG ERKLÄRT

Der EuGH erklärte den Beschluss der EU-Kommission zum Safe Harbor Abkommen für ungültig. Somit verliert Safe Harbor seinen bisherigen Status als Rechtsgrundlage für die Datenübermittlung an Unternehmen in den USA. Wie der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. in seiner gestrigen Pressemitteilung verkündet, stützt der EuGH „die Feststellung der Ungültigkeit des Safe Harbor-Abkommens unter mehreren Gesichtspunkten auf die fehlenden Feststellungen zu Zugriffsbefugnissen der US-Sicherheitsbehörden und zu (fehlenden) Rechtsbehelfe der dadurch Betroffenen bei solchen Zugriffen trotz Safe Harbor.“ Des Weiteren kritisierte der EuGH die EU-Kommission, da sie damals bei der Entscheidung zu Safe Harbor nur die Regelung an sich überprüft habe. Das Schutzniveau im Rahmen der europäischen Datenschutzwerte wurde aber gänzlich übersehen.

UNABHÄNGIGKEIT DER DATENSCHUTZBEHÖRDEN

Mit großer Freude wurde von den Datenschützern die zweite Feststellung des EuGH aufgenommen. Ab sofort können die nationalen Datenschutzaufsichtsbehörden selbständig prüfen- und dies völlig unabhängig von den Entscheidungen der EU-Kommission zur Angemessenheit des Datenschutzniveaus. Eine Einschränkung hat das EuGH ihnen allerdings auferlegt: sie können diese nicht aus eigener Machtvollkommenheit außer Kraft setzen. Dazu bedarf es der Entscheidung des EuGH. Es müssen also entweder die nationalen Datenschutzbehörden oder der Betroffene selbst sich an die nationalen Gerichte wenden. Diese erst können dann die Frage der Angemessenheit beim EuGH zur Klärung einreichen. Wie der BvD bemerkt, resultieren daraus zwei Probleme: „Die deutschen Datenschutzaufsichtsbehörden können nicht direkt deutsche Gerichte damit befassen, sondern müssen den Umweg über Anordnungen bzw. Untersagungen oder Bußgelder gehen. Die deutschen Gerichte sind – wie die Praxis zeigt – nicht besonders „vorlagefreudig“.“

WEITREICHENDE FOLGEN

Konzerne wie Facebook oder Google, die Daten ihrer Kunden aus Europa auf Servern in den USA verarbeiten, brauchten bisher nicht extra vorher zu prüfen, ob dies den europäischen Datenschutzbestimmungen entspricht. Das ändert sich jetzt. Jetzt gilt es für die Europäische Kommission schnell zu handeln. Im Grunde genommen muss Safe Harbor jetzt ausgesetzt werden. Alternativ könnte man natürlich noch versuchen, die beanstandeten Punkte neu zu verhandeln. Verhandlungen zwischen EU und den USA werden zu Safe Harbor allerdings schon seit Jahren geführt, ohne dass sich großartig etwas getan hätte. Einige tausend Firmen stehen jetzt auf rechtsunsicherem Terrain.
Zwischenzeitlich gibt es für betroffene Unternehmen zweierlei Möglichkeiten. Zum einen besteht die Möglichkeit die EU-Standardvertragsklauseln zu verwenden. Andererseits könnte man dies auch über die Binding Corporate Rules (BCR) regeln.