Safe Harbor Regelung aufgehoben.
Der Europäische Gerichtshof hat am 6.10.2015 (C-362/14) die Safe-Harbor- Entscheidung der Europäischen Kommission aus dem Jahr 2000 für ungültig erklärt. Auf Basis dieser Entscheidung war der Datentransfer mit US Unternehmen, die sich freiwillig zur Einhaltung gewisser Datenschutzgrundsätzeverpflichteten und sich in die Safe Harbor Liste des US Handelsministeriums eintragen ließen, bisher genehmigungsfrei. Aufgrund des EuGH Urteils ist nun ein Großteil der Datentransfers von österreichischen Unternehmen in die USA genehmigungspflichtig. Dies sorgt für einige Verunsicherung.
Beschwerde gegen Facebook.
Anlass für das EuGH Urteil war eine Beschwerde des Österreichers Max Schrems gegen Facebook Irland, der europäischen Niederlassung von Facebook, an die irische Datenschutzbehörde. Er machte geltend, dass die Weitergabe von Nutzerdaten durch Facebook in die USA datenschutzwidrig sei, weil kein ausreichender Schutz gegen die Überwachungstätigkeit der US Behörden bestehe. Die irische Behörde wies die Beschwerde als unbegründet zurück und meinte, sie sei an die Safe-Harbor-Entscheidung der Kommission aus dem Jahr 2000 gebunden, wonach ein angemessener Datenschutz bestehe. Der EuGH hob nun diese Kommissions-Entscheidung auf und die Sache geht zurück an die irische Behörde. Begründung des EuGH. Der EuGH kam zum Schluss, dass durch die massenhafte und willkürliche Überwachung der US Behörden kein angemessenes Datenschutzniveau bestehe. Ausnahmen vom Schutz personenbezogener Daten müssten sich auf das absolut Notwendige beschränken. Regelungen, die eine Speicherung aller personenbezogenen Daten gestatten, die aus der EU in die USA übermittelt werden, und es Behörden ermöglichen, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, verletzen das Grundrecht auf Privatsphäre. Überdies fehle es an einem wirksamen Rechtsschutz für die Betroffenen.
Konsequenzen.
Datentransfers in die USA, die bisher auf Safe-Harbor gestützt wurden und demnach genehmigungsfrei waren, sind nun rechtswidrig. Ein Datentransfer aus Österreich in die USA bedarf ab sofort der Genehmigung der österreichischen Datenschutzbehörde, soweit der Datentransfer nicht ausnahmsweise aus anderen Gründen genehmigungsfrei ist. Ohne eine Genehmigung dürfen insbesondere Daten übermittelt werden, die bereits veröffentlicht sind oder anonym oder indirekt personenbezogen sind oder wenn ein im Interesse des Betroffenen abgeschlossener Vertrag nicht anders als durch Übermittlung der Daten in das Ausland erfüllt werden kann; ferner wenn der Betroffene ohne jeden Zweifel seine Zustimmung zur Übermittlung ins Ausland gegeben hat, oder wenn die Übermittlung in einer Standardverordnung ausdrücklich angeführt ist. In den meisten Fällen werden diese Ausnahmen nicht in Betracht kommen, sodass es beim Genehmigungserfordernis bleibt.
Genehmigungsantrag.
Um die Genehmigung zu erlangen, muss zunächst nachgewiesen werden, dass die zu überlassenden Daten aus einer in Österreich gemeldeten Datenanwendung oder einer meldefreien Standardanwendung stammen. Ferner muss nachgewiesen werden, dass beim Empfänger ein angemessener Datenschutz besteht. Hierfür werden in der Praxis in der Regel die von der Europäischen Kommission veröffentlichten Standardvertragsklauseln verwendet, nach denen der Datenimporteur und der Daten xporteur gewisse Zusicherungen abgeben müssen. Allerdings ist zu bedenken, dass das Grundproblem einer massenweisen Überwachung durch die US-Behörden auch bei Verwendung der Standardvertragsklauseln besteht. Es bleibt daher ungewiss, wie man bei einer Überlassung in die USA ein angemessenes Datenschutzniveau bescheinigen soll, wenn die Behörde dieses ähnlich wie zuletzt der EuGH anzweifelt. Die österreichische Datenschutzbehörde hat bereits erklärt, dass sie sich im Rahmen des Genehmigungsverfahrens vorbehalte, im Einzelfall zu prüfen, ob im Empfängerstaat ein angemessenes Datenschutzniveau gegeben ist. Die Europäische Kommission hat jedenfalls in einer offiziellen Stellungnahme zum Safe-Harbor-Urteil betont, dass ein Transfer personenbezogener Daten in die USA auch in Zukunft auf Standardvertragsklauseln gestützt werden könne.
Fazit.
Für Unternehmen, die Daten weiterhin in die USA transferieren, besteht jedenfalls dringend Handlungsbedarf und ist zu prüfen, auf welcher Rechtsgrundlage dieser Datentransfer erfolgt. Erforderlichenfalls ist eine Genehmigung der Datenschutzbehörde einzuholen. Andernfalls drohen spätestens ab Ende Jänner 2016 Geldstrafen. Bis dahin wurde von den europäischen Datenschutzbehörden eine Schonfrist angekündigt.