EuGH: Countdown für Safe Harbor – Teil 3/3: Auswirkungen eines potenziellen Urteils
Noch vor Urteilsverkündung stellen wir in einer Serie von drei Blogbeiträgen die Schlussanträge des Generalanwalts ausführlich dar und untersuchen deren juristische Implikationen:
- In Teil 1 haben wir die Argumentation des Generalanwalts im Detail vorgestellt.
- Auf dieser Grundlage haben wir uns in Teil 2 kritisch damit auseinandergesetzt, welchen Sachverhalt der Generalanwalt seinen Schlussanträgen zugrunde legen darf und wie er begründet, dass die nationalen Datenschutzbehörden an die Entscheidung der EU-Kommission zu Safe Harbor nicht gebunden wären.
- In diesem Teil 3 zeigen wir nun die Dimensionen auf, in denen sich die Auswirkungen eines EuGH-Urteils auf jede Form des Datentransfers in die USA und sonstige Drittländer bewegen könnten.
In diesem dritten und letzten Teil behandeln wir die juristischen Auswirkungen, die das morgige Urteil des EuGH haben könnte, wenn das Gericht den Schlussanträgen folgt. Dabei beschäftigen wir uns ausführlich ausschließlich mit der Frage, wie das Urteil internationale Datentransfers beeinflussen würde.
Nach den Ausführungen des Generalanwalts ist davon auszugehen, dass Unternehmen nicht befürchten müssen, dass ihre bereits erfolgten Datenübermittlungen mit Wirkung ex tunc für unwirksam rechtswidrig erklärt werden. Stattdessen würde die Entscheidung 2000/520/EG, also die „Safe Harbor Entscheidung“ ex nunc außer Kraft gesetzt (Tz. 127).
Standardverträge bilden neben Safe Harbor die zweite wesentliche Methode, um Datenübermittlungen in die USA abzusichern. Legt man allerdings die Argumentation des Generalanwalts als Maßstab an, erscheint es zweifelhaft, dass dieses Instrument künftig weiterhin in der Lage wäre, ein angemessenes Datenschutzniveau in den USA zu garantieren. Denn es ist nicht ersichtlich, warum sich im Hinblick auf Standardverträge die Rechtslage grundlegend von der Rechtslage im Hinblick auf Safe Harbor unterscheiden sollte: Die DSRL weist der EU-Kommission gemäß Art. 26 Abs. 4 i.V.m. Abs. 2 DSRL auch für Standardverträge grundsätzlich die Befugnis zu, darüber zu entscheiden, dass sie ein angemessenes Datenschutzniveau beim Empfänger sicherstellen. Die Zugriffsmöglichkeiten seitens der amerikanischen Sicherheitsbehörden auf die Daten beim Empfänger werden aber durch den Abschluss der Standardvertragsklauseln nicht berührt. Der Standardvertrag für Auftragsdatenverarbeiter adressiert sogar explizit den Fall von rechtlich bindenden Anfragen seitens Behörden und verbietet eine Herausgabe der Daten nicht (Clause 5[d]).
Allerdings scheint der regulatorische Rahmen hier ohnehin nicht entscheidend zu sein. Falls die faktische und etablierte Datenverarbeitung seitens der Sicherheitsbehörden kein angemessenes Datenschutzniveau beachtet, sind die regulatorischen Grundlagen wohl nicht von Belang.
Mit der Argumentation des Generalanwalts würde man deshalb wohl zu dem Ergebnis kommen, dass auch bei Abschluss eines Standardvertrags kein angemessener Schutz bei einem Datenempfänger in den USA gewährleistet ist und deshalb auch diese Gestaltungsvariante nicht mehr zur Verfügung stünde.
Die soeben gemachten Ausführungen lassen sich auf Binding Corporate Rules („BCR“) entsprechend übertragen. Auch diese Binding Corporate Rules können den Zugriff der Sicherheitsbehörden in den USA nicht verhindern. Demnach dürften auch sie kein angemessenes Datenschutzniveau sicherstellen.
Und was nun? Standardvertragsklauseln und BCRs stellen keine Alternative dar. Es verblieben also keine rechtlichen standardisierten Instrumente, mittels derer bei einer Übertragung von Daten in die USA ein angemessenes Datenschutzniveau zu gewährleisten wäre. Auch Unternehmen, die nur die eigenen HR-Daten an die US-amerikanische Muttergesellschaft übermitteln wollen, ständen damit vor exorbitanten Herausforderungen.
Es würden dann nur noch zwei Möglichkeiten existieren, um auf der sogenannten zweiten Stufe einen Datentransfer zu rechtfertigen:
- Eine Einwilligung der Betroffenen oder
- eine Genehmigung durch die Datenschutzbehörden im Einzelfall.
Beide Optionen sind nicht zufriedenstellend:
Das Einholen von massenhaften Einwilligungen ist häufig schon kaum praktikabel, außerdem besteht die Gefahr, dass Betroffenen sie jederzeit widerrufen. Für die Ausgestaltung kontinuierlicher, umfassender Geschäftsprozesse sind sie deshalb ungeeignet.
Eine Genehmigung der Datenschutzbehörden benötigt mehrere Monate und ist mit einem erheblichen Koordinationsaufwand verbunden. Jedenfalls soweit nicht unbedeutende personenbezogene Daten betroffen sind, dürfte es außerdem nur in Ausnahmefällen möglich sein, eine derartige Genehmigung zu erhalten. Denn die Datenschutzbehörden werden die staatlichen Zugriffsmöglichkeiten naturgemäß auch für derartige Einzelgenehmigungen berücksichtigen müssen.
Die Argumentation des Generalanwalts führt dazu, dass Datenübermittlungen auch in viele weitere Staaten erheblich erschwert werden dürften. Denn gerade der ungehinderte staatliche Zugriff auf im Land gespeicherte Daten ist sicher kein originär US-amerikanisches Phänomen.
Auch in China, Russland und vielen weiteren Ländern (!) dürften die Behörden sehr umfangreiche Befugnisse haben, die einen weitgehenden Zugriff auf Daten ermöglichen und den Möglichkeiten der amerikanischen Sicherheitsbehörden mindestens gleichkommen. Ein entsprechendes Urteil des EuGH hätte also beileibe nicht nur Auswirkungen auf Datentransfers in die USA.
Die faktischen Auswirkungen eines entsprechenden Urteils des EuGH sind kaum abzusehen. Es können an dieser Stelle nur kursorische Überlegungen angestrengt werden:
- Neues "Safe Harbor"-Abkommen: Die EU-Kommission wird ihre Verhandlungen mit den USA im Hinblick auf das „Safe Harbor“-Abkommen forcieren. Jedoch ist es wohl eher unwahrscheinlich, dass die USA zu den Garantien bereit sind, die der Generalanwalt in seinen Schlussanträgen fordert.
- Territoriale Verlagerung der Datenverarbeitung: US-amerikanische Cloud-Anbieter werden deshalb wahrscheinlich verstärkt dazu übergehen, ihre Dienste über europäische Tochtergesellschaften anzubieten. Auf diese Weise können sie vermeiden, dass ein Datentransfer in die USA notwendig ist, um diese Dienste zu nutzen. Das befreit diese Unternehmen freilich nicht von dem Problem, dass amerikanische Gerichte die Unternehmen verpflichten, auch Daten, die sich bei europäischen Tochtergesellschaften befinden, bei Vorliegen einer entsprechenden Rechtspflicht an die amerikanischen Behörden herauszugeben (zur Unmöglichkeit rechtskonformer Datenübermittlung für gleichzeitig in USA und Deutschland operierende Cloud-Anbieter siehe Becker/Nikolaeva, "Das Dilemma der Cloud-Anbieter zwischen US Patriot Act und BDSG", CR 2012, 170 ff.).
- Unternehmerische Data-Sourcing-Strategie: Europäische Unternehmen könnten gezwungen sein, ihre Sourcing-Strategie bzgl. Mitarbeiter- und Kundendaten ad hoc zu überdenken und das Datenhosting evtl. kurzfristig auf andere Anbieter oder Jurisdiktionen zu übertragen. Schwieriger – um nicht zu sagen unmöglich – würde es bei so genannten Funktionsübertragungen, bei denen z.B. Mitarbeiterdaten an eine US-amerikanische Muttergesellschaft für eigene Zwecke übertragen werden – etwa weil von dort bestimmte HR-Funktionen erbracht werden. Wie hier eine datenschutzkonforme Lösung aussehen kann, ist noch nicht absehbar. Vermutlich sollten sich betroffene Unternehmen schnellstmöglich mit der für sie zuständigen Datenschutzbehörde ins Benehmen setzen, um gemeinsam Lösungsszenarien zu erarbeiten.
Wir wissen es nicht!
Allerdings hat der EuGH in der Vergangenheit bewiesen, dass er keine Hemmungen hat, auch überraschend Urteile zu fällen, die weitreichende faktische Konsequenzen haben können:
- Das Urteil aus dem letzten Jahr, in dem er ein „Recht auf Vergessen“ statuiert hat (EuGH, Urt. v. 13.5.2014 - C-131/12, CR 2014, 460 ff.), und
- das Urteil aus der letzten Woche, mit dem er die innereuropäischen datenschutzrechtlichen Kollisionsnormen weitgehend außer Kraft gesetzt hat (EuGH, Urt. v. 1.10.2015 - C-230/14, CRonline News v. 1.10.2015),
sind zwei Beispiele für solche Urteile. Jedenfalls nach unserer Wahrnehmung entsprachen beide Urteile nicht der herrschenden Meinung in der Kommentarliteratur (Arning/Moos/Schefzig, CR 2014, 447 ff.). Aus diesem Grund scheint es auch im vorliegenden Verfahren durchaus möglich, dass der EuGH den Anträgen des Generalanwalts folgt und damit das etablierte System internationaler Datentransfers ins Chaos stürzt.
Vielleicht wird sich der EuGH darauf zurückziehen, die Wirksamkeit von „Safe Harbor“ gerade nicht grundsätzlich zu beurteilen.
Weder Gegenstand der Vorlagefrage, noch entscheidungserheblich
Es leuchtet nämlich eigentlich nicht ein, warum der EuGH diese Frage hier überhaupt behandeln sollte. Weder war die Wirksamkeit der Entscheidung Gegenstand der Vorlagefragen des irischen High Courts, noch ist die Wirksamkeit der Entscheidung – wenn man der Argumentation des Generalanwalts folgt – für die Beantwortung der Vorlagefragen wirklich entscheidungserheblich. Denn der Generalanwalt geht ja davon aus, dass die Entscheidung 2000/520 gerade keine Bindungswirkung für die nationalen Datenschutzbehörden hat. Auch die vom Generalanwalt angeführte Kasuistik enthält keinen vergleichbaren Fall, in dem der EuGH die Wirksamkeit einer Entscheidung geprüft hat, obwohl diese weder für eine Vorlagefrage relevant, noch Gegenstand einer Vorlagefrage war. Vor diesem Hintergrund scheint es durchaus möglich, dass der EuGH die Wirksamkeit der „Safe Harbor – Entscheidung“ nicht betrachtet.
Startsignal für nationale Datenschutzbehörden
Dann wären die nationalen Datenschutzbehörden am Zug. Gerade die deutschen Datenschutzbehörden haben sich insoweit bereits anlässlich der Enthüllungen von Edward Snowden im Vorfeld klar positioniert. Auch ohne entsprechendes Urteil des EuGH wären demnach interessante Auseinandersetzungen zu der Wirksamkeit von Datentransfers in die USA zu erwarten.
No Business As Usual
Nur, falls der EuGH die „Safe Harbor–Entscheidung“ für bindend und wirksam erachten sollte, könnten Unternehmen auch in Zukunft personenbezogene Daten in die USA unbesorgt in unveränderter Weise transferieren.