22.04.2015

Aktuelles in Sachen Safe Harbor: Wird der Hafen endlich sicher?

Portrait von Dr. Jan-Michael Grages
Dr. Jan-Michael Grages Rechtsanwalt, Partner bei KNPZ Rechtsanwälte

In den USA geht die Federal Trade Commission gegen unzuverlässige Unternehmen vor. Deutsche Datenschutzaufsichtsbehörden sind weiter kritisch. Die Verhandlungen zur Neufassung der Safe Harbor-Vorgaben dauern an. Der EuGH wird über Vereinbarkeit der Safe Harbor-Zertifizierung mit EU-Grundrechten entscheiden.

Zweifel an der Gewährleistung des Datenschutzniveaus

Die datenschutzrechtliche Zulässigkeit des Exports personenbezogener Daten in die USA war angesichts der Enthüllungen zu den Überwachungspraktiken der NSA ein vieldiskutiertes Thema in den vergangenen Monaten. Insbesondere wurde in diesem Zusammenhang auch das Schicksal des Safe Harbor-Konzepts in Zweifel gezogen.

  • Struktur von Safe Harbor

Nach der Konzeption des BDSG bzw. nach der entsprechenden Entscheidung der EU-Kommission (2000/520/EG) soll eine Datenübermittlung in die USA – vorbehaltlich einer sachlichen Rechtfertigung der Übertragung an sich – zulässig sein, wenn eine empfangende Stelle in den USA den Vorgaben der EU-Kommission und der US-amerikanischen Federal Trade Commission (FTC) entsprechend als "sicherer Hafen" zertifiziert ist. In solchen Fällen sei nämlich von einem angemessenen Datenschutzniveau im Sinne von § 4b BDSG auszugehen. Im Wesentlichen handelt es sich um eine Selbstzertifizierung, in deren Rahmen sich das US-Unternehmen zu den Prinzipien des EU-Datenschutzes bekennt. Viele der in Deutschland bekannten US-Unternehmen sind in der entsprechenden Liste der FTC eingetragen.

  • Dilemma

In diesem Zusammenhang haben sich jüngst verschiedene Entwicklungen ergeben, die ein uneinheitliches Bild zur Zukunftsfähigkeit des Konzepts vermitteln. Einerseits sprechen die offenbar unversöhnlichen Grundhaltungen zum Datenschutz dies- und jenseits des Atlantiks gegen ein funktionierendes und anerkanntes Übermittlungsregime. Andererseits ist die Notwendigkeit des Datenaustauschs mit den USA aus rein praktischer und vor allem ökonomischer Sicht ebenso unbestritten.

USA: Aktuelle Aufsichtsmaßnahmen der FTC

Aus den USA kam zuletzt ein positives Signal, mit dem das Safe Harbor-Konzept Vertrauen zurückgewinnen könnte:

  • Der Verstoß

Die FTC hat nämlich Verfahren gegen zwei Unternehmen durchgeführt, die weiter mit ihrer angeblichen Zertifizierung warben, obwohl sie mittlerweile gar nicht mehr entsprechend akkreditiert waren. In Abweichung von den Safe Harbor-Bestimmungen gab eines der Unternehmen zudem unter anderem an, dass in Streitfällen ein kostenpflichtiges Schiedsgericht in Connecticut zuständig sei, während die Vorgaben eigentlich ein kostenneutrales Einschreiten der EU-Behörden vorsehen.

  • Die Sanktion

Die FTC traf mit den betreffenden Unternehmen Vergleichsvereinbarungen. Diese bestimmen, dass nicht weiter fälschlicherweise mit einer Zertifizierung geworben werden darf. Die FTC hat die Öffentlichkeit aufgefordert, die Vergleichsvereinbarungen zu kommentieren, bevor diese im Mai Gegenstand einer rechtskräftigen Entscheidung werden.

  • Das Ziel und die Praxis

Die Vorsitzende der FTC Edith Ramirez kommentierte, dass man entschlossen sei, die Safe Harbor-Bestimmungen im Sinne der Absprachen mit der EU-Kommission durchzusetzen. Der Umstand, dass das Fehlverhalten der Unternehmen bereits aus den Jahren 2010 bzw. 2012 stammte, deutet allerdings nicht unbedingt auf eine besonders effiziente Aufsicht durch die US-Behörde.

Insofern ist auch zu bemerken, dass bereits im August 2014 das Center for Digital Democracy als US-Verbraucherschutzinstitution eine Beschwerde gegen 30 Unternehmen bei der FTC eingereicht hatte, die trotz Zertifizierung angeblich die Regeln des Safe-Harbor-Abkommens nicht eingehalten und insbesondere Daten in unzulässiger Weise für eigene Zwecke kommerzialisiert haben sollen. Eine Reaktion der FTC ist hierauf bislang – jedenfalls gegenüber der Öffentlichkeit – nicht erfolgt.

Deutschland: Kritische Position der Datenschutzaufsichtsbehörden

Angesichts der nur sehr zögerlichen Entwicklungen in den USA im Sinne des internationalen Datenschutzes ist es nicht überraschend, dass der Mechanismus zur Rechtfertigung von Datenübermittlungen in die USA von den deutschen Aufsichtsbehörden zuletzt als grundsätzlich unzureichend bewertet wurde (Konferenz der Datenschutzbeauftragen des Bundes und der Länder, Entschließung v. 18./19.3.2015). Denn im Zielland sei jedenfalls derzeit davon auszugehen, dass die europäischen Vorgaben angesichts der Tätigkeiten der US-Geheimdienste gar nicht eingehalten werden könnten, selbst wenn sich ein Unternehmen hierzu bekennen würde.

  • Ansatz in Bremen und Berlin

Die Aufsichtsbehörden aus Bremen und Berlin haben in diesem Sinne Datenexporte auf Grundlage der Safe Harbor-Bestimmungen untersagt und entsprechende Gerichtsverfahren zur Überprüfung angestoßen.

  • Ansatz in Bayern

Das Bayerische Landesamt für die Datenschutzaufsicht relativierte in seinem jüngsten Tätigkeitsbericht diese Einschätzung, indem es darauf verwies, dass die angesprochene Entscheidung der EU-Kommission einstweilen weiter Bestand habe und auch die deutschen Behörden binde. Die Datenschutzbehörden könnten zwar im Einzelfall Datenübermittlungen an zertifizierte US-Unternehmen aussetzen, wenn eine hohe Wahrscheinlichkeit bestehe, dass die Safe Harbor-Grundsätze verletzt werden. Solche Maßnahmen habe allerdings zumindest das Bayerische Amt derzeit nicht eingeleitet oder geplant.

Alles Neue macht der Mai?

Auf politischer Ebene hatte die EU-Kommission in einer Mitteilung v. 27.11.2013 durchaus deutliche Kritik an der aktuellen Praxis in den USA geäußert.

  • Neuverhandlungen der Safe Harbor-Bedingungen in Riga

Vor diesem Hintergrund laufen nunmehr aktuell die Verhandlungen zwischen der EU-Kommission und der US-Regierung zur Novellierung der Safe Harbor-Bestimmungen. Die Kommissarin für Justiz Jourová möchte insofern beim Treffen der Justiz- und Innenminister der EU und der USA am 28.5.2015 in Riga einen neuen Entwurf vorlegen, der insbesondere Missbrauchsprävention und wirksame Haftungsregeln in den USA vorsehen soll.

  • Droh-Szenario: Zwangsweise Aussetzung von Datentransfers

Die Bundesbeauftragte für den Datenschutz Voßhoff schaltete sich Anfang des Jahres mit der Aufforderung an die Beteiligten ein, die Verhandlungen voranzutreiben. Andernfalls drohe die zwangsweise Aussetzung von Datentransfers in die USA durch die Datenschutzaufsichtsbehörden. Zudem solle die EU-Kommission zur Erhöhung des Verhandlungsdrucks eine Aufhebung ihrer grundlegenden Entscheidung 2000/520/EG erwägen.

EuGH: Einfluss des Schrems-Verfahrens

Auch der EuGH wird ein gewichtiges Wort mitreden, wenn er demnächst über die Klage des österreichischen Datenschutz-Aktivisten Schrems urteilt. Bei dessen Vorgehen gegen Facebook hatte die irische Datenschutzbehörde mit Verweis auf die vorliegende Safe Harbor-Zertifizierung die eigene Prüfungskompetenz abgelehnt. Angesichts dieser Praxis wird der EuGH nunmehr über die Vereinbarkeit des Safe Harbor-Konzepts mit der Grundrechte-Charta entscheiden (Rechtssache C-362/14).

Zukunftsfähigkeit des Safe Harbor-Regimes?

Die jüngsten Entscheidungen der FTC werden allein nicht ausreichen, um das Vertrauen in den Safe Harbor-Mechanismus in Deutschland und der Europäischen Union wieder herzustellen. Die berechtigte Forderung der deutschen Aufsichtsbehörden nach einer flächendeckenden Kontrolle der Selbstzertifizierungen ist sicher noch nicht erreicht. Die Maßnahmen der US-Behörde zeigen aber zumindest in die richtige Richtung, in der datenschutzrechtliche Vorgaben in den USA zumindest zur Kenntnis genommen werden.

Nichtsdestotrotz gilt im Großen und Ganzen derzeit immer noch die Aussage des Kommissars für den Digitalen Binnenmarkt Ansip, der im vergangenen Jahr vor dem EU-Parlament sagte:

"Safe Harbor ist nicht sicher. Das Abkommen muss seinen Namen erst noch verdienen."

  • An sich sinnvolle Regelungsoption

Gleichwohl erscheint das Modell der regulierten Selbstregulierung weiterhin als zukunftsträchtige Regelungsoption. Auch die Art. 29-Arbeitsgruppe ist insofern der Ansicht, dass die Datenübermittlung auf Grundlage des Safe Harbor-Konzepts zwar verbesserungswürdig sei, gleichzeitig aber ein wichtiges Element zur Gewährleistung des internationalen Informationsaustausches darstelle.

  • Faktische Notwendigkeit für Datentransfers

Das Safe Harbor-Regime muss also durch modifizierte Konditionen Akzeptanz zurückgewinnen. Angesichts der faktischen Notwendigkeit des reibungslosen Datenaustauschs zwischen Deutschland und den USA – allen Vorbehalten zum Trotz – ist es sehr zu hoffen, dass dies gelingt. Denn ein "Rückzug nach Europa" würde insbesondere im zukunftsträchtigen Bereich des Cloud Computing wohl zu einem technologischen Rückstand führen. Die Alternative, trotz unzureichender rechtlicher Grundlagen weiter personenbezogene Daten zu übermitteln, würde dagegen die Anstrengungen zu einer Etablierung verlässlicher Standards im Sinne des europäischen Schutzniveaus weiter schwächen.

Fazit

Einstweilen bleibt der Verweis auf die aktuellen Safe Harbor-Bestimmungen rechtlich möglich, um Datentransfers unter hiesigem Recht zu legitimieren.

Allerdings können sich die verantwortlichen Stellen in Deutschland nicht hinter offenkundig falschen Safe Harbor-Zertifizierungen der Datenimporteure in den USA verstecken. Vielmehr kann eine Pflicht bestehen, die Reichweite und die Gültigkeit der Akkreditierungen im Einzelfall zu überprüfen (v. d. Bussche in: Plath (Hrsg.), BDSG, § 4b BDSG, Rz. 31).

Es bedarf gerade deshalb dringend der Auffrischung des Mechanismus durch aktualisierte Bedingungen einer wirksamen Zertifizierung, damit der sichere Hafen in Zukunft auch mit gutem Gewissen und ohne aufwendige Einzelfallprüfung angelaufen werden kann.

 

Zurück