Kein sicherer Hafen mehr – Interview mit Rechtsanwalt Prof. Dr. Fabian Schuster über das Ende des Safe-Harbor-Abkommens

Die Übertragung personenbezogener Daten von europäischen Bürgerinnen und Bürgern in Drittländer, die keine vergleichbaren Datenschutzbestimmungen vorweisen können wie die EU, ist verboten. Da die Europäische Union verhältnismäßig strenge Datenschutzregeln verfolgt, gilt dies für beinahe jedes Land außerhalb der Staatengemeinschaft. Auch für die USA. Doch der Datentransfer über den Nordatlantik dank Facebook, Google und vielen anderen Unternehmen ist enorm. Daher wurde zwischen den USA und der EU im Jahr 2000 das sogenannte Safe-Harbor-Abkommen unterschrieben. Dieses sollte dafür sorgen, dass sich US-Unternehmen bei der Nutzung personenbezogener Daten aus der EU auch an EU-Datenschutzbestimmungen halten. Doch nun wurde das Abkommen am 6. Oktober 2015 vom Europäischen Gerichtshof (EuGH) für ungültig erklärt. Was das für den Endnutzer bedeutet und wie es weitergehen kann – netzorange hat nachgefragt.

Safe Harbor im Überblick

Grundlage des Safe-Harbor-Abkommens waren insgesamt sieben Prinzipien, welche den Umgang mit personenbezogenen Daten aus Europa für US-Unternehmen bestimmen sollten:

• Informationspflicht: Unternehmen sind dazu verpflichtet, Auskünfte darüber zu erteilen, zu welchem Zweck sie personenbezogene Daten speichern, in welchem Rahmen jene Daten verwendet werden und, welche Anlaufstellen es gibt, an die sich Bürgerinnen und Bürger der EU wenden können.
• Wahlmöglichkeit: Firmen, die personenbezogene Daten aus der EU speichern, sind dazu verpflichtet, es EU-Bürgern zu überlassen sich zu entscheiden, ob ihre Daten an Dritte weitergegeben werden dürfen und, ob ihre Daten auch für andere als die ursprünglich vereinbarten Zwecke verwendet werden dürfen. Dabei bedarf es laut dem Safe-Harbor-Abkommen bei besonders sensiblen Daten einer expliziten Zustimmung durch den Kunden.
• Weitergabe: Sofern personenbezogene Daten von US-Unternehmen A an US-Unternehmen B weitergegeben werden, ist es die Pflicht von Unternehmen A, dafür zu sorgen, dass auch Unternehmen B, selbst wenn es nicht Teil des Safe-Harbor-Abkommens ist, die Datenschutzbestimmungen einhält.
• Sicherheit: US-Unternehmen, die personenbezogene Daten von EU-Bürgern sammeln, sind dazu verpflichtet, ausreichende Sicherheitsvorkehrungen zu treffen, damit die Datenschutzbestimmungen, denen sie sich durch das Safe-Harbor-Abkommen verpflichtet haben, durchgesetzt werden.
• Datenintegrität: Die Verwaltung von personenbezogenen Daten muss immer zweckgebunden und für den vereinbarten Zweck ausreichend sein.
• Auskunftsrecht: Unternehmen und Konzerne verpflichten sich, eine ständige Möglichkeit des Zugangs, der Kontrolle und der Korrektur von gesammelten personenbezogenen Daten zu gewährleisten.
• Durchsetzung: Jedes US-Unternehmen, das personenbezogene Daten von EU-Bürgern sammelt und speichert, ist dazu verpflichtet, dass die Grundsätze von Safe Harbor umgesetzt werden und, dass ausreichende und klar kommunizierte Rechtsbehelfe für Nutzerinnen und Nutzer existieren. Außerdem müssen Sanktionen vorhanden sein, sofern die Bestimmungen des Safe-Harbor-Abkommens nicht eingehalten werden.

Wie das Safe-Harbor-Abkommen an Bedeutung verlor

So weit, so gut. Prinzipiell klingt das Safe-Harbor-Abkommen nach einer notwendigen und ordentlichen Lösung, um auch in den USA, zumindest für personenbezogene Daten aus Europa, europäische Datenschutzrichtlinien geltend zu machen. Doch fast schon seit Beginn des Abkommens gibt es Schwierigkeiten bei der Umsetzung.

So hebelt der USA PATRIOT Act, der als Reaktion auf die Terroranschläge vom 11. September 2001 verabschiedet wurde, alle Richtlinien des Safe-Harbor-Abkommens regelrecht aus. Denn danach erlaubte es die Gesetzeslage US-Geheimdiensten, ungehindert digitale Daten von US-Unternehmen einzusehen, zu verwerten und zu speichern. Das gilt auch für personenbezogene Daten von europäischen Bürgerinnen und Bürgern.

Diese Entwicklungen sind mit ein Grund dafür, dass der Europäische Gerichtshof nun das Safe-Harbor-Abkommen für ungültig erklärt hat. Doch was bedeutet diese Entscheidung im Einzelnen für den europäischen User und wie könnte der Datentransfer zwischen europäischen und US-amerikanischen Unternehmen in Zukunft geregelt werden? Wäre womöglich sogar ein Verzicht auf Dienste aus den USA denkbar? Wir haben darüber mit Rechtsanwalt Prof. Dr. Fabian Schuster (SBR Schuster & Partner) gesprochen:

Im Gespräch mit Prof. Dr. Schuster (SBR Schuster & Partner)

netzorange IT-Dienstleistungen: Herr Schuster, wie genau verlief die Entwicklung des Safe-Harbor-Abkommens?

Prof. Dr. Fabian Schuster: Nach Art. 25 Abs. 1 der EU-Datenschutzrichtlinie (95/46/EG) dürfen personenbezogene Daten nur dann in Länder außerhalb der Europäischen Union (sog. Drittländer) übertragen werden, wenn dieses Drittland ein angemessenes Schutzniveau für die Daten gewährleistet. Der EU-Kommission wurde jedoch auf Grundlage von Art. 25 Abs. 6 der Datenschutzrichtlinie die Möglichkeit eingeräumt, festzustellen, dass ein Drittland ein angemessenes Schutzniveau gewährleistet.

Mit der sog. Safe-Harbor-Entscheidung 2000/520 hat die EU-Kommission in diesem Sinne die Feststellung getroffen, dass die USA ein angemessenes Schutzniveau für die personenbezogenen Daten von EU-Bürgern gewährleisten. Da das US-amerikanische Recht tatsächlich kein mit den europäischen Bestimmungen vergleichbares Datenschutzrecht kennt, ging dieser Safe-Harbor-Entscheidung das sog. Safe-Harbor-Abkommen zwischen der EU und den USA voraus. Bei diesem Abkommen wurden die sog. Safe Harbor Principles, also die „Grundsätze des sicheren Hafens“ vereinbart, die verschiedene Regelungen vorsehen, die von einem amerikanischen Unternehmen eingehalten werden müssen, um von einem „angemessenen Schutzniveau“ sprechen zu können. US-Unternehmen, die diese Grundsätze befolgen, konnten sich auf einer entsprechenden Liste des US-Handelsministeriums eintragen.

Damit war es dann in diesem Zusammenhang möglich, personenbezogene Daten von EU-Bürgern an US-Unternehmen datenschutzkonform zu übermitteln.

Juristische Konsequenzen des Safe-Harbor-Abkommens

Durch den EuGH wurden durch das Safe-Harbor-Urteil nun zwei Feststellungen getroffen:
1. Nationale Datenschutzbehörden dürfen trotz solcher Entscheidungen der Kommission selbstständig prüfen, ob sie ein „angemessenes Datenschutzniveau“ für gegeben halten. Ist dies nach ihrer Ansicht nicht der Fall, muss die Datenschutzbehörde die Möglichkeit haben, den EuGH über die Frage der Wirksamkeit entscheiden zu lassen.
2. Das Safe-Harbor-Abkommen gewährleistet kein „angemessenes Schutzniveau“ bei der Übermittlung von personenbezogenen Daten in die USA. Dies wurde im Wesentlichen auf zwei Gründe gestützt: Zum einen sah das Safe-Harbor-Abkommen nur eine Selbstzertifizierung vor, d.h. die US-Unternehmen verpflichteten sich zwar zur Einhaltung der Safe-Harbor-Grundsätze. Die Einhaltung wurde aber durch amerikanische Behörden weder überwacht noch im Falle von Verstößen sanktioniert. Zum anderen sieht das Safe-Harbor-Abkommen ausdrücklich den Vorrang von amerikanischem Recht vor, d.h. die Safe-Harbor-Grundsätze fanden immer dann keine Anwendung, wenn sie im Widerspruch zu US-amerikanischem Recht standen. Die EU-Kommission hat aber nie behauptet oder festgestellt, dass das US-amerikanische Recht ebenfalls ein „angemessenes Schutzniveau“ gewährleistet.

netzorange: Seit 2000 besteht das Safe-Harbor-Abkommen. Wie kann es sein, dass erst jetzt seitens der EU auf die offensichtlichen Unzulänglichkeiten der Vereinbarung reagiert wird?

Schuster: Bis zu den NSA-Enthüllungen stand das Thema Datenschutz und insbesondere das Safe-Harbor-Abkommen kaum in der medialen Öffentlichkeit. Erst mit den Enthüllungen von Edward Snowden geriet auch das Safe-Harbor-Abkommen in die Kritik. Das EU-Parlament hat daraufhin bereits 2013 dafür plädiert, das bisherige Safe-Harbor-Abkommen neu zu verhandeln und zu verbessern. Deshalb wurde schon vor dem jetzigen Urteil des EuGH durch die Europäische Kommission seit Ende 2013 mit der US-amerikanischen Regierung über ein Nachfolgeabkommen verhandelt, das ein „angemessenes Schutzniveau“ garantieren soll. Dieses Nachfolgeabkommen sollte ursprünglich schon im Jahr 2014 abgeschlossen werden und das alte Abkommen ablösen. Hierzu ist es aber bis heute nicht gekommen. Für die Zwischenzeit wurde – vermutlich aus Praktikabilitätsgründen – an dem jetzt vom EuGH gekippten Abkommen festgehalten, obwohl von verschiedenen Seiten immer wieder Stimmen laut wurden, die eine Aussetzung forderten.

In den USA erhobene Daten fielen nicht unter das Safe-Harbor-Abkommen

netzorange: Welche Konsequenzen können nun nach der Entscheidung des EuGH erwartet werden – für die Wirtschaft und vor allem auch ganz konkret für den privaten Nutzer?

Schuster: Für den privaten Nutzer ergeben sich aus dem EuGH-Urteil keine tiefgreifenden direkten Veränderungen, sondern vielmehr für die Unternehmen, die Daten in die USA auslagern (wollen).

Entschließt sich beispielsweise ein deutscher Nutzer, die Cloud-Dienste von dropbox zu verwenden, schließt er einen direkten Vertrag mit dem Unternehmen in den USA. Das Safe-Harbor-Abkommen hat in diesem Fall keine Bedeutung, da bereits das datenverarbeitende Unternehmen seinen Sitz in den USA hat und nicht dem europäischen Datenschutzrecht unterliegt. Im EuGH-Urteil bestand die Besonderheit, dass Facebook mit allen Nutzern in der Europäischen Union einen Vertrag mit Facebook Ireland, einer Tochtergesellschaft der in den USA ansässigen Facebook Inc., abschließt. Nur in diesem speziellen Fall stellt sich die Frage, ob Facebook Ireland auf Grundlage des Safe-Harbor-Abkommens die personenbezogenen Daten an die Mutter in den USA übertragen darf. US-Unternehmen sind von dem für ungültig erklärten Safe-Harbor-Abkommen also schon dann nicht betroffen, wenn sie die personenbezogenen Daten unmittelbar in den USA erheben.

Auswirkung für Unternehmen, die Daten an Dienstleister in den USA übermitteln

Tiefgreifende Konsequenzen bringt die Entscheidung des EuGH hingegen für Unternehmen in der Europäischen Union, die personenbezogene Daten verarbeiten und hierbei ausschließlich auf das Safe-Harbor-Abkommen setzen. Konkret geht es also um Unternehmen, die beispielsweise Daten ihrer Mitarbeiter oder Kunden an externe Dienstleister in den USA übermitteln. Hier hat sich in den letzten Jahren nicht nur bei Großkonzernen, sondern auch bei kleinen und mittelständischen Unternehmen ein großer Trend hin zu Cloud-Computing und Software-as-a-Service (SaaS) entwickelt. Da auch hier US-amerikanische Unternehmen eine Vorreiterrolle haben, wurden viele der hierzu abgeschlossenen Verträge auf das Safe-Harbor-Abkommen gestützt. Durch die Unzulässigkeit des Datentransfers durch das EuGH-Urteil drohen Ihnen jetzt Konsequenzen durch die nationalen Datenschutzbehörden und möglicherweise auch von Betriebsräten. Sie müssen nun dringend reagieren.

netzorange: Wie könnten solche Reaktionen aussehen?

Schuster: Betroffene Unternehmen sollten entweder ihre Daten in den USA löschen oder Alternativen bei der rechtlichen Ausgestaltung zügig umsetzen. Die alternativen Rechtsgrundlagen sind jedoch nach der Safe-Harbor-Entscheidung des EuGH unsicherer denn je: Möglich wäre nach derzeitigem Stand noch eine Ausgestaltung auf Grundlage der sog. EU-Standardvertragsklauseln. An deren Wirksamkeit besteht aber nach dem jetzigen Urteil ebenfalls erheblicher Zweifel, da diese ebenfalls durch die EU-Kommission festgelegten Regelungen die Mängel in der US-amerikanischen Rechtsordnung nicht beseitigen können.

Möglich bliebe damit nur ein Antrag bei der Datenschutzbehörde auf Genehmigung des Datentransfers oder das Vorliegen eines Erlaubnistatbestandes nach dem deutschen Datenschutzrecht. Dies muss jedoch von jedem Unternehmen im Einzelfall durch die Einholung von Rechtsrat geprüft werden.

Zur Person: Prof. Dr. Fabian Schuster Nach Tätigkeiten in einer Wirtschaftskanzlei und in der Rechtsabteilung von Thyssen gründete Prof. Dr. Fabian Schuster 1998 seine auf IT-Recht spezialisierte Kanzlei. Heute gilt er als einer der renommiertesten IT- und Telekommunikationsrechtsanwälte in Deutschland. Er ist Fachanwalt für IT-Recht und Honorarprofessor an der Universität Köln und durch viele wissenschaftliche Zeitschriftenartikel und Bücher ausgewiesen.

netzorange: Im Netz werden bereits einige alternative Lösungen diskutiert. Beispielsweise ist in Bezug auf die Nutzung von Cloud-Diensten die Rede davon, in Zukunft mehr auf europäische Anbieter mit Servern in der EU zu setzen. Wie bewerten Sie diesen Ansatz?

Schuster: Die Nutzung von deutschen oder europäischen Anbietern wurde schon nach den Snowden-Enthüllungen intensiv diskutiert und propagiert. Tatsache ist jedoch, dass der Markt von Cloud- und SaaS-Lösungen auch heute noch von US-amerikanischen Unternehmen dominiert wird. Hieran wird sich auch nach dem jetzigen EuGH-Urteil wohl kurz- und mittelfristig nichts ändern. Aus datenschutzrechtlicher Sicht ist es für Unternehmen wesentlich einfacher, auf europäische Anbieter zu setzen. Mittlerweile besteht aber für Unternehmen das tatsächliche Problem, sowohl in preislicher als auch technischer Hinsicht gleichwertige Anbieter in der Europäischen Union zu finden. Daher wird uns die datenschutzrechtliche Zulässigkeit einer Datenverarbeitung in den USA auch weiterhin beschäftigen.

Dominanz von US-Unternehmen auf dem Markt erschwert die Datenschutz-Situation

netzorange: Oder wäre es womöglich ein Lösungsansatz, dass US-Unternehmen in Zukunft ihre Datenverarbeitung von Daten aus Europa auch nur noch in Europa umsetzen?

Schuster: Die meisten US-amerikanischen Anbieter sehen schon heute die Möglichkeit vor, mit einem in der EU ansässigen Tochterunternehmen den Vertrag zu schließen und die Datenverarbeitung in Europa (vor allem Irland) vorzunehmen. Allerdings zeigt unsere Beratungserfahrung, dass die meisten US-Anbieter sich häufig dann doch das Recht vorbehalten, die Daten in die USA zu transferieren, da viele Dienste (zumindest Wartungsarbeiten und die Fehlerdiagnose) letztlich vom amerikanischen Mutterkonzern erbracht werden oder auf Subunternehmer in den USA zurückgegriffen wird.

netzorange: Es scheint beinahe unmöglich, eine allgemein vereinbare Regelung bezüglich des Datenschutzes zwischen den USA und Europa zu finden und die Dominanz amerikanischer Unternehmen ist nicht zu leugnen. Glauben Sie, dass Europa mittelfristig seine Datenschutzbestimmungen entschärfen muss bzw. entschärfen wird?

Schuster: Es handelt sich hierbei um ein grundsätzliches Problem. Im Rahmen der von der EU geplanten Datenschutzgrundverordnung, die die bisherige Datenschutzrichtlinie ablösen soll, wurde und wird immer noch darüber gestritten, welches Datenschutzniveau innerhalb der Europäischen Union gelten soll. Letztlich handelt es sich dabei immer auch um eine Abwägung, inwieweit die Einführung digitaler Trends dadurch beschränkt werden soll und muss. Fakt ist, dass schon heute die Nutzung von Big-Data-Anwendungen innerhalb der EU nur eingeschränkt möglich ist und sich neue Trends aufgrund des geringen Datenschutzniveaus eher in den USA entwickeln. Insoweit fördert das hier geltende, hohe Datenschutzniveau geradezu die bereits angesprochene Dominanz amerikanischer Unternehmen. Letztlich haben aber auch amerikanische Unternehmen und die amerikanische Regierung ein Interesse daran, in der EU tätig werden zu können. Ich gehe daher davon aus, dass letztlich beide Seiten Zugeständnisse beim Datenschutzrecht machen müssen, um eine Datenverarbeitung in den USA weiterhin zu ermöglichen.

netzorange: Was raten Sie europäischen Nutzern von amerikanischen Online-Diensten?

Schuster: Für private Nutzer gilt weiterhin, was bereits vor der nun ergangenen Safe-Harbor-Entscheidung galt: Bei einem Vertragsschluss mit einem US-amerikanischen Diensteanbieter werden keine mit der EU vergleichbaren Datenschutzbestimmungen eingehalten. Jeder Nutzer muss daher für sich selbst entscheiden und abwägen, ob und wenn ja, wie viele personenbezogenen Daten er von sich preisgeben will.

Stetig wandelnde Rechtsprechung erfordert rechtliche Beratung

Für Unternehmen, die personenbezogene Daten ihrer Mitarbeiter und Kunden an US-amerikanische Online-Dienste übermitteln wollen, gilt es nach dem Safe-Harbor-Urteil, die bereits bestehenden Verträge ggf. auf ein neues rechtliches „Fundament“ zu stellen und beim Abschluss neuer Verträge nach jetzigem Stand – soweit möglich – auf eine Datenverarbeitung innerhalb der Europäischen Union zu setzen. In den allermeisten Fällen ist hierzu aufgrund der unzähligen Vorschriften und der sich ständig wandelnden Rechtsprechung eine rechtliche Beratung notwendig geworden.

netzorange: Ist es überhaupt machbar, darauf zu achten, dass so wenige personenbezogene Daten wie möglich den europäischen Kontinent verlassen?

Schuster: Auf der einen Seite gelten bei der Verarbeitung von personenbezogenen Daten durch Unternehmen innerhalb der Europäischen Union heute strenge Maßstäbe. Auf der anderen Seite wird angesichts der fortschreitenden technischen Entwicklung und Globalisierung niemals auf eine Übermittlung von personenbezogenen Daten in die USA verzichtet werden können. Diese Entwicklung bietet aber nicht nur Risiken, sondern auch Chancen. Es sollte mit dem Nachfolgeabkommen zu Safe-Harbor und der kommenden Datenschutzgrundverordnung ein tatsächlich „angemessenes Schutzniveau“ bei einer Übertragung von Daten in die USA angestrebt werden. Denn es ist – um die Frage zu beantworten – faktisch nicht möglich, gänzlich zu verhindern, dass personenbezogene Daten den europäischen Kontinent verlassen.

Weiterführende Informationen zum Thema Safe Harbor:

• Computer Base: Safe-Harbor-Ende – Kompromiss mit US-Behörden bis Ende Januar fällig
• heise online: Nach Safe Harbor – Die Eskalation vermeiden
• SBR Schuster und Partner Rechtsanwälte mbB (Homepage)
• tagesschau.de: Was ist “Safe Harbor”?
• BfDI: Safe Harbor