zurück

Urteil: EuGH kassiert Safe Harbour und verlangt Prüfung des Datenschutzniveaus

Folge: Wiedererwachtes Straf- und Bußgeldrisiko für Unternehmen bei Datenübertragung. Der Umgang mit personenbezogenen Daten ist heikel. Das Urteil des EuGH vom 6.10.2015 (C-362/14) unterstreicht nochmals die Bedeutung von Datenschutz und erweckt Strafbarkeits- und Bußgeldrisiken zu erneutem Leben.

Ausgangslage

Grundsätzlich dürfen befugt erworbene personenbezogene Daten nicht an Dritte übermittelt werden - es sei denn, es liegt eine gesetzliche Erlaubnis oder eine (wirksame) Einwilligung des Betroffenen vor (§ 4 BDSG) oder es wurde mit dem Dritten ein Auftragsdatenverarbeitungsvertrag abgeschlossen (§ 11 BDSG).  Liegt eine dieser Voraussetzungen für die zulässige Datenübermittlung nicht vor, greift der Bußgeldtatbestand des § 43 BDSG und unter weiteren Voraussetzungen sogar der Straftatbestand des § 44 BDSG.

Auftragsdatenverarbeitungsverträge sind zunächst einmal jedoch nur mit Dritten möglich, die in der EU ansässig sind (§ 3 Abs. 8 BDSG). Außerhalb der EU ist eine Datenübermittlung in Drittstaaten nur dann zulässig, wenn es sich um ein Land mit hinreichendem Datenschutzniveau handelt. Die Liste solcher anerkannter Länder mit einem hinreichenden Datenschutzniveau ist jedoch kurz (vgl. Internetseite der EU). Die USA sind kein sicheres Drittland.

An Unternehmen oder Organisationen in nicht sicheren Drittländern durfte eine Datenübermittlung grundsätzlich nur erfolgen, wenn sie sich den Regelungen des sogenannten Safe-Harbour-Abkommens (Grundsätze des "sicheren Hafens" zum Datenschutz) der EU unterworfen und eine Safe-Harbour-Zertifizierung erhalten haben. Dann galt eine dem europäischen Datenschutzniveau entsprechende Sicherheit.

Die Entscheidung

Der EuGH hat das nun gekippt. Letztlich reagierte der EuGH auf die Feststellung, dass die Einhaltung der Safe-Harbour-Regeln tatsächlich nicht geprüft wurde (Urteil Rn. 75, 76) und dass zahlreiche US-Unternehmen und Behörden die Daten entgegen den EU-Datenschutzvorgaben auswerteten (Urteil Rn. 90, vgl. auch #PRISM).

Dem Verfahren lag eine Klage eines Facebooknutzers zugrunde. Alle im Unionsgebiet wohnenden Personen müssen bei ihrer Anmeldung einen Vertrag mit Facebook Ireland abschließen, einer Tochtergesellschaft der in den USA ansässigen Facebook, Inc.. Die personenbezogenen Daten der im Unionsgebiet wohnhaften Facebooknutzer werden ganz oder teilweise an Server der Facebook, Inc. in den USA übermittelt und dort verarbeitet bzw. ausgewertet. Der klagende Facebooknutzer begehrte ursprünglich vom irischen Datenschutz die Übermittlung seiner personenbezogenen Daten in die USA zu untersagen, da sowohl das Recht als auch die Praxis der USA keinen ausreichenden Schutz der in diesem Land gespeicherten Daten gewährleisten.

Schon der damit befasste High Court in Irland stellte vor seiner Vorlage des Verfahrens an den EuGH fest:

"Der massenhafte und undifferenzierte Zugriff auf personenbezogene Daten verstößt offenkundig gegen den Grundsatz der Verhältnismäßigkeit und die durch die irische Verfassung geschützten Grundwerte. Die Erfassung elektronischer Kommunikation könne nur dann als verfassungsgemäß angesehen werden, wenn nachgewiesen werde, dass sie zielgerichtet sei, dass die Überwachung bestimmter Personen oder Personengruppen im Interesse der nationalen Sicherheit oder der Verbrechensbekämpfung objektiv gerechtfertigt sei und dass es angemessene und nachprüfbare Schutzmechanismen gebe."

Selbst die EU-Kommission hatte schon im November 2013 festgestellt, dass alle US-Unternehmen, die am PRISM-Programm der NSA teilnehmen, sich andererseits aber der Safe-Harbour-Regelung unterworfen hatten (Spiegel Online v. 6.10.2015, http://www.spiegel.de/netzwelt/netzpolitik/safe-harbor-urteil-triumph-fuer-snowden-blamage-fuer-merkel-kommentar-a-1056438.html).

Der EuGH entschied nun, dass das Safe-Harbour-Abkommen keine in Stein gemeißelte Generalerlaubnis für die Datenübermittlung und keine Gewähr für einen ausreichenden Datenschutz darstelle. Vielmehr müssen die nationalen Datenschutzbehörden, insbesondere wenn sie mit einer Beschwerde befasst werden, in völliger Unabhängigkeit prüfen, ob bei der Übermittlung der Daten ein angemessenes Datenschutzniveau (auch immer noch) gewährleistet ist (Urteil Rn. 57, 99, 104-106).

Konsequenzen

Folge der Entscheidung ist also nicht nur, dass jede nationale Datenschutzbehörde Datenübermittlungen auch in Länder, die bzw. deren Organisationen sich den Regeln des Safe-Harbour-Abkommens unterworfen haben, überprüfen können und müssen und erforderlichenfalls untersagen können. Wird im Gebiet der Bundesrepublik ein unzureichendes Datenschutzniveau festgestellt, kann neben der Untersagung der Datenübermittlung auch ein Bußgeld (vgl. § 43 BDSG) verhängt werden oder sogar eine Strafbarkeit nach § 44 BDSG in Betracht kommen. Der Bußgeldrahmen des § 43 BDSG sieht zunächst ein Bußgeld bis zu 50.000 EUR bzw. 300.000 EUR vor. § 43 Abs. 3 BDSG stellt aber klar, dass das Bußgeld den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen soll. Genügen die Bußgeldrahmen dafür nicht, können diese sogar noch überschritten werden können.

Die Praxis zeigt, dass viele europäische Unternehmen keine Verträge über eine den EU-Vorgaben entsprechende Datenverarbeitung abgeschlossen haben; Datenübertragungen in einem solchen Zusammenhang sind in Deutschland rechtswidrig nach dem BDSG mithin Bußgeldrisiken und ggf. sogar Strafbarkeitsrisiken ausgesetzt.

Die Ausführungen des EuGH lassen darüber hinaus erwarten, dass selbst geschlossene Vereinbarungen über die Datenverarbeitung im Drittland unzureichend sein könnten, wenn dadurch tatsächlich nicht ein den EU-Vorgaben entsprechendes Datenschutzniveau gewährleistet ist. Auch hieraus erwachsen nicht unerhebliche Rechtsrisiken.

Spätestens, wenn der EuGH darüber entscheidet, ob IP-Nummern personenbezogene Daten sind, sollten nicht nur Unternehmen, die personenbezogene Daten in die USA übermitteln, sondern auch Betreiber von Websites, die Social Plug-Ins oder Analysetools wie google analytics uä. verwenden, bei denen personenbezogene Daten in die USA übermittelt werden,  prüfen, ob die Datenübermittlung von wirksamen Einwilligungen der User oder einer hinreichenden vertraglichen Vereinbarung über den gewährleisteten Datenschutz abgedeckt sind. Andernfalls können erhebliche Bußgeldrisiken oder sogar Strafbarkeitsrisiken bestehen.

Link: Urteil EuGH, Volltext

Niels Hoffmann am