Server-innenNach dem ein oder anderen redaktionellen oder juristischen Schnellschuss zu den Folgen der EuGH-Entscheidung zu Safe Harbor, soll, nachdem sich die erste Aufregung gelegt hat, eine kurze Analyse der Entscheidung mit Empfehlungen für die Praxis gegeben werden.

Angemessenes Datenschutzniveau

Ausgangslage war, dass Unternehmen, die Daten innerhalb der EU und des EWR speichern und verarbeiten, beispielsweise im Rahmen einer Auftragsdatenverarbeitung, die Sicherheit hatten, dass mit entsprechenden Vereinbarungen das angemessene Datenschutzniveau gegeben war.

Eine Übermittlung von Daten in Staaten außerhalb der EU ist nur dann zulässig, wenn es sich um ein sicheres Drittland handelt. Eine entsprechende Liste dazu findet sich auf der Homepage der EU. Nicht als sicheres Drittland galt und gilt die USA, so dass eine Übermittlung von Daten nur an solche Unternehmen zulässig war, die sich den Safe Harbor Principles unterworfen hatten. Diese Safe Harbor Principles sollten ein dem EU-Recht angemessenes Datenschutzniveau sicherstellen.

Safe Harbor und unabhängige Prüfung des Datenschutzniveaus

Für die Praxis herauszuheben ist, dass mit der EuGH-Entscheidung nicht sämtliche Vereinbarungen unwirksam oder rechtswidrig geworden sind. Vielmehr entschied der EuGH nur, dies aber mit entsprechend großer mittelfristiger Auswirkung auf die Praxis, dass eine Entscheidung der EU-Kommission zur Frage, ob ein sicheres Drittland vorliegt, insbesondere also auch ob Unternehmen, die sich den Safe Harbor Principles unterwerfen, das erforderliche Datenschutzniveau rechtfertigen, nationale Behörden nicht daran hindert, die diesbezügliche Fragestellung eigenständig und unabhängig zu prüfen. Vielmehr urteilten die Brüsseler Richter:

Auch wenn die Kommission eine solche Entscheidung   erlassen   hat,   müssen   die  nationalen Datenschutzbehörden daher, wenn sie mit einer Beschwerde befasst werden, in völliger Unabhängigkeit prüfen können, ob bei der Übermittlung der Daten einer Person in ein Drittland die in der Richtlinie aufgestellten Anforderungen gewahrt werden

Alternativen zu Safe Habor

Gelebte Praxis, insbesondere in datenschutzaffinen Unternehmen mit internationaler Ausrichtung, war bereits zuvor, anstelle auf Safe Harbor Principles zu vertrauen, Binding Corporate Rules und/oder mit den sogenannten EU-Standardvertragsklauseln vorzugehen. Hierbei handelt es sich um von der EU vorgegebene Regelungsinhalte, die in den entsprechenden Verträgen dann berücksichtigt werden mussten und die das erforderliche Datenschutzniveau sicherstellen.

Folge der EuGH-Entscheidung ist somit, dass jede nationale Datenschutzbehörde, somit auch die jeweiligen Datenschutzbehörden der Länder nunmehr die entsprechenden Vereinbarungen auf den datenschutzrechtlichen Prüfstand stellen können. Angesichts der klaren Aussagen des EuGH dürfte indes zu erwarten sein, dass auch diese Datenschutzvereinbarungen mit Unternehmen, die sich nur den Safe Harbor Principles unterworfen haben, für nicht mehr ausreichend erachten. Bekanntlich können Verstöße gegen das Datenschutzrecht mit Bußgeldern und Auflagen geahndet werden.

Empfehlung

Wenngleich nicht damit zu rechnen ist, dass die jeweiligen Datenschutzbehörden sofort losschlagen, steht es doch zu erwarten, dass früher oder später die ersten Vereinbarungen überprüft und die ersten Verfahren geführt werden. Nicht zuletzt die Diskussion um Facebook und den Facebook Like Button zeigen, wie schnell hier eine gewisse Eigendynamik erzielt wird.

Für Unternehmen, die beispielsweise Regelungen zur Auftragsdatenverarbeitung noch nicht nach den EU-Standardvertragsklauseln ausgerichtet haben ist somit zu empfehlen, ihre Vereinbarungen entsprechend anzupassen, um für zukünftige Überprüfungen gerüstet zu sein.

Dennoch muss man sich auch für die EU-Standardvertragsklauseln auf die zu erwartende Bewertung einstellen, dass diese als nicht mehr ausreichen angesehen werden, da z.B. in § 5 b) garantiert wird, dass der Datenimporteur seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen:

EU-Standard-5b

 

Durch die allgemein diskutierten und bekannten Regelungen des US Rechts dürften US-amerikanische Unternehmen diese vertragliche Verpflichtung indes nicht mehr einhalten können.

Auftragsdatenverarbeitung – Was sind die Anforderungen, wie deren rechtliche Umsetzung?