Schlussantrag des Generalanwalts in Sachen Schrems: Safe Harbor ist unwirksam

Transkript

1 September 2015 Schlussantrag des Generalanwalts in Sachen Schrems: Safe Harbor ist unwirksam Sind nun auch die EU-Standardvertragsklauseln in Gefahr? Inhalt Mit seinen Schlussanträgen im Verfahren Schrems vom 23. September 2015 hat der Generalanwalt am Europäischen Gerichtshof Yves Bot Zweifel geweckt, ob Übermittlungen personenbezogener Daten von EU-Bürgern in die USA weiterhin zulässig sind. Der Generalanwalt vertritt die Auffassung, dass die Entscheidung der Europäischen Kommission zu Safe Harbor aus dem Jahr 2000 unwirksam sei: Der massenhafte und anlasslose Zugang von US- Geheimdiensten wie der NSA zu personenbezogenen Daten in Unternehmen stelle einen Eingriff in die Grundrechte von EU-Bürgern dar. Die Safe Harbor- Entscheidung gestattete es europäischen Unternehmen bislang, personenbezogene Daten zum Beispiel ihrer Mitarbeiter oder Kunden in die USA zu übermitteln, etwa an deren Konzernunternehmen. Öffentliche Diskussion zu Datenübermittlungen in die USA... 1 Das Verfahren Schrems... 2 Die möglichen praktischen Folgen... 2 Wie sollte Ihr Unternehmen reagieren?... 4 Öffentliche Diskussion zu Datenübermittlungen in die USA Schon länger waren die enormen Mengen an personenbezogenen Daten, die US-Unternehmen insbesondere US-Technologiekonzerne über EU- Bürger speichern, Gegenstand der öffentlichen Diskussion. Nicht zuletzt im Zusammenhang mit den Enthüllungen von Edward Snowden im Jahr 2013 zur Überwachung durch die NSA wurden Zweifel laut, ob personenbezogene Daten weiterhin in die USA übermittelt werden dürften. Neben der Europäischen Kommission hatten auch die deutschen Datenschutzbehörden immer wieder Bedenken hinsichtlich der Safe Harbor-Entscheidung geäußert, wobei diese jedoch nie rechtlich außer Kraft gesetzt oder geändert wurde. Datenschutzrechtlicher Hintergrund ist, dass die Europäische Datenschutzrichtlinie und ihr folgend auch das deutsche Bundesdatenschutzgesetz die Übermittlung personenbezogener Daten wie zum Beispiel Name, Adresse, Telefonnummer, Geschlecht oder Familienstand in Drittstaaten, die kein adäquates Datenschutzniveau bieten, einschränkt. Auch die USA gelten als solch unsicherer Drittstaat. Hier konnten sich jedoch die Empfänger personenbezogener Daten gemäß den Vorgaben der Safe Harbor-Entscheidung zertifizieren lassen und damit personenbezogene Daten rechtmäßig empfangen und verarbeiten. Von dieser Möglichkeit haben ca US- Unternehmen Gebrauch gemacht. Schlussantrag des Generalanwalts in Sachen Schrems: Safe Harbor ist unwirksam. 1

2 Das Verfahren Schrems Max Schrems, ein österreichischer Jura-Student, hatte gegenüber dem irischen Datenschutzbeauftragten eine Mehrzahl an Beschwerden gegenüber Facebook Ireland Limited geltend gemacht. Eine dieser Beschwerden bezog sich darauf, dass Facebook Ireland Limited seine personenbezogenen Daten an Facebook Inc. in die USA weitergeleitet habe. Facebook Inc. ist Safe Harbor-zertifiziert. Der irische Datenschutzbeauftragte hatte die Beschwerde seinerzeit zurückgewiesen. Er sah sich an die Entscheidung der Europäischen Kommission zu Safe Harbor gebunden, wonach Facebook Inc. ein hinreichendes Schutzniveau nachweise. Schrems legte gegen die Zurückweisung seiner Beschwerde Widerspruch beim obersten irischen Zivil- und Strafgericht (Irish High Court) ein. Dieses leitete die Angelegenheit an den Europäischen Gerichtshof (EuGH) zur Entscheidung weiter. Nach den Schlussanträgen des Generalanwalts Yves Bot, die dieser dem EuGH nun vorgelegt hat, soll Safe Harbor nicht länger eine Rechtfertigung für den Transfer von personenbezogenen Daten in die USA darstellen (Schrems C-362/14). Die Hauptpunkte der Schlussanträge: > Die aktuelle Fassung von Safe Harbor sei wegen Verletzung mehrerer Grundrechte der EU-Bürger unwirksam, weil sich aus den Entscheidungen der Vorinstanz ergebe, dass das US-Recht und die Praxis der Vereinigten Staaten es gestatteten, übermittelte personenbezogene Daten von EU-Bürgern in großem Umfang zu sammeln, ohne dass es wirksamen gerichtlichen Rechtsschutz dagegen gäbe. Der Zugriff der US-Behörden stünde im Widerspruch zu den Voraussetzungen der Datenschutzrichtlinie sowie der Artikel 7 und 8 der Europäischen Grundrechtscharta. > Nationale Datenschutzbehörden der EU-Mitgliedstaaten besäßen vollständige Unabhängigkeit. Deshalb könnten sie die Anwendung von Safe Harbor und darauf fußende Datenübermittlungen selbst dann untersagen, wenn Safe Harbor nicht grundsätzlich für unwirksam erklärt werden sollte. Die möglichen praktischen Folgen Die Schlussanträge des Generalanwalts sind für den EuGH nicht bindend. Allerdings folgt der EuGH bei seiner Urteilsfindung häufig den Erwägungen des Generalanwalts. Eine abschließende Entscheidung des EuGH wird in den kommenden Monaten erwartet. Folgende praktische Fragen ergeben sich aus den Schlussanträgen des Generalanwalts für Unternehmen: Schlussantrag des Generalanwalts in Sachen Schrems: Safe Harbor ist unwirksam. 2

3 1. Können sich Unternehmen weiter auf Safe Harbor verlassen? Sollte sich der EuGH den Schlussanträgen des Generalstaatsanwalts anschließen, so ist kaum vorstellbar, dass Safe Harbor künftig eine Rolle spielen wird, es sei denn, die USA nähmen signifikante Gesetzesänderungen vor. Dies liegt insbesondere daran, dass der Generalanwalt seine Einschätzung durch Verweis auf die Grundrechte begründet, die in der EU- Grundrechtecharta ihren Ausdruck gefunden haben. Deshalb dürfte es kaum möglich sein, Safe Harbor schlicht durch ein anderes rechtliches Instrument zu ersetzen, ohne dass sich die Datenschutzbestimmungen in den Vereinigten Staaten ändern (vgl. dazu mehr gleich in Ziffern 2 und 3). 2. Kann eine neue Safe Harbor-Entscheidung Abhilfe leisten? Seit Bekanntwerden der der NSA-Spähaffäre hat die Europäische Kommission mit den USA verhandelt, um den Schutz durch Safe Harbor zu verbessern. Die Kommission hat hierzu insgesamt 13 Vorschläge unterbreitet und damit auch den Zugriff durch US-Behörden thematisiert: Beispielsweise sollte ein Zugriff auf personenbezogene Daten seitens der US-Sicherheitsbehörden nur erfolgen, sofern dies zur Gewährleistung der nationalen Sicherheit der USA unbedingt nötig und im Einzelfall angemessen sei. US-Unternehmen sollten nach Vorstellung der Kommission in ihren Datenschutzrichtlinien auf die Möglichkeit eines Zugriffs der US-Behörden hinweisen. Laut dem Generalanwalt Bot sind diese Empfehlungen jedoch nicht ausreichend. Stattdessen hält er viel weitreichendere Reformen für nötig: Die USA müssten ein adäquates Schutzniveau für personenbezogene Daten gewährleisten, das der EU-Datenschutzrichtlinie vergleichbar sei; Es bedürfe einer unabhängigen Behörde, die die Einhaltung der Datenschutzstandards überwacht. Die US Federal Trade Commission, die momentan für die Überwachung von Safe Harbor zuständig ist, könne dies nicht tun, weil sie keine Weisungsbefugnisse gegenüber den US Nachrichtendienste habe; und Unter keinen Umständen sei ein adäquates Schutzniveau gewährleistet, sofern die USA ein massenhaftes und anlassloses Überwachen und Abfangen von Daten zuließen, wie derzeit der Fall. 3. Können Unternehmen andere Datenschutzinstrumente anwenden? Unternehmen, die derzeit Safe Harbor verwenden, um einen Datentransfer in die USA zu rechtfertigen, sollten in Erwägung ziehen, auf andere rechtliche Mechanismen zurückzugreifen. In Betracht kommt insbesondere die Verwendung von EU-Standardvertragsklauseln. Mit diesen standardisierten Verträgen wird der Empfänger personenbezogener Daten in einem Drittstaat verpflichtet, bestimmte Datenschutzvorkehrungen zu treffen und Rechte der Betroffenen zu respektieren. Problematisch an der Verwendung der EU-Standardvertragsklauseln ist jedoch, dass viele der vorgebrachten Erwägungen des Generalanwalts auch auf Datenübermittlungen, die gemäß den EU-Standardvertragsklauseln vollzogen werden, Anwendung finden dürften. Sind Datenübermittlungen in die Schlussantrag des Generalanwalts in Sachen Schrems: Safe Harbor ist unwirksam. 3

4 USA grundrechtswidrig, ist nur schwer vorstellbar, dass der Abschluss von EU-Standardvertragsklauseln einen angemessenen Datenschutz gewährleisten kann. Auch wenn die EU-Standardvertragsklauseln einige spezifische Klauseln zur Gewährleistung des Datenschutzes enthalten, sind diese wohl nicht hinreichend, um die angesprochenen Datenschutzbedenken auszuräumen. Gleiches dürfte für datenschutzrechtliche Instrumente wie Binding Corporate Rules oder Intra-Group Agreements gelten, die die EU- Standardvertragsklauseln inkorporieren. Auch die für 2015 geplante EU- Datenschutzverordnung wird das Problem nicht umgehen können, da der europäische Verordnungsgeber keine grundrechtswidrigen Rechtsnormen schaffen darf. Hinzu kommt, dass der Generalanwalt den nationalen Datenschutzbehörden in der EU vollständige Unabhängigkeit zubilligt: Artikel 8 Abs. 3 der Grundrechtscharta erfordere die Einhaltung des Datenschutzrechts, welche von einer unabhängigen Stelle überwacht [wird]. Obwohl die nationalen Datenschutzbehörden Angemessenheitsentscheidungen der Europäischen Kommission berücksichtigen müssten, seien sie daher an diese nicht vollständig gebunden, insbesondere dann nicht, wenn wie vorliegend neue Fakten aufträten, die solche Entscheidungen in Frage stellten. Folglich könnten beispielsweise die deutschen Datenschutzbehörden eigenständig über Übermittlungen von personenbezogenen Daten in die USA entscheiden, gleich welche Entscheidung die Europäische Kommission zu Safe Harbor träfe. Die deutschen Datenschutzbehörden könnten nicht nur Safe Harbor, sondern auch die EU-Standardvertragsklauseln einer eigenen Prüfung unterziehen und unabhängig von anderslautenden Entscheidungen der Europäischen Kommission Datenübermittlungen in die USA als unzulässig ansehen. Solange der EuGH noch nicht im Verfahren Schrems entschieden hat, ist es jedoch schwierig, solche weitergehenden Risiken einzuschätzen. Folgt der EuGH dem Generalanwalt nicht oder nur teilweise, sind auch andere Reaktionen denkbar, etwa eine bloße Neuauflage von Safe Harbor. Wie sollte Ihr Unternehmen reagieren? Unternehmen, die derzeit personenbezogene Daten etwa von Mitarbeitern oder Kunden auf Grundlage einer Safe Harbor-Zertifizierung des Datenempfängers in die USA übermitteln, sollten rechtliche oder praktische Alternativen hierzu erwägen. Obwohl die Schlussanträge des Generalanwalts nicht bindend sind und Safe Harbor bis zu einem Urteil des EuGH wirksam bleibt, sollten jetzt schon Überlegungen angestellt werden, welche Maßnahmen bei einer Unwirksamerklärung von Safe Harbor zu verfahren wäre. Dies gilt insbesondere deshalb, weil der EuGH häufig den Erwägungen des Generalanwalts folgt. Möglichkeiten, auf eine Unwirksamkeit von Safe Harbor zu reagieren, können sein: > Ihr Unternehmen schließt mit dem US-Datenempfänger bilateral EU- Standardvertragsklauseln ab. Nachteil ist, dass auch EU- Standardvertragsklauseln möglicherweise von den deutschen Daten- Schlussantrag des Generalanwalts in Sachen Schrems: Safe Harbor ist unwirksam. 4

5 schutzbehörden nicht mehr als wirksame Grundlage einer Datenübermittlung in die USA angesehen werden könnten; dies ist derzeit aber noch nicht abzusehen. > Zumindest in dem Fall, dass bereits eine gute Arbeitsbeziehung zu einer zuständigen deutschen Datenschutzbehörde besteht, könnte Ihr Unternehmen die Rechtslage mit dieser Datenschutzbehörde diskutieren und fragen, ob die Behörde gleichwohl die Übermittlung personenbezogener Daten in die USA für genehmigungsfähig hält. Im Falle einer positiven Antwort könnte Ihr Unternehmen die personenbezogenen Daten zunächst weiter in die USA übermitteln. > Weitestgehende Möglichkeit wäre, Datenübermittlungen in die USA zunächst auszusetzen und / oder künftig dadurch zu vermeiden, dass personenbezogene Daten nur noch innerhalb europäischer Datenzentren oder Server gespeichert werden. Ob dies praktisch durchführbar und kommerziell vertretbar ist, hängt stark von den Verhältnissen des einzelnen Unternehmens ab. Ob diese Möglichkeiten bereits jetzt umgesetzt werden sollen, sollten Sie im Einzelfall entscheiden und ggf. rechtliche Beratung einholen. Führt Ihr Unternehmen zum Beispiel nur wenige Datenübermittlungen in die USA durch, könnte es sich anbieten, mit geringem Aufwand EU-Standardvertragsklauseln als zusätzliche Absicherung abzuschließen. Sind dagegen umfangreiche oder sogar unternehmenskritische Datenübermittlungen betroffen, so wäre es möglicherweise sinnvoller, zunächst eine Entscheidung des EuGH abzuwarten und dann darauf zu reagieren. Dagegen ist von einem Abwarten der geplanten EU-Datenschutzverordnung eher abzuwarten: Diese tritt erst zwei Jahre ab Verabschiedung in Kraft, würde also voraussichtlich frühestens ab Beginn des Jahres 2018 Rechtswirkung entfalten. Wir werden für Sie das Verfahren Schrems weiter im Auge behalten und Sie bei neuen Entwicklungen umgehend informieren. Wenn Sie zu diesem Thema Fragen, Feedback oder Anregungen haben, melden Sie sich gern bei uns. Unsere Kontaktdaten finden Sie auf der nächsten Seite. Schlussantrag des Generalanwalts in Sachen Schrems: Safe Harbor ist unwirksam. 5

6 Kontakte Bei weiteren Fragen kontaktieren Sie bitte: Dr. Daniel A. Pauly Partner, Frankfurt/Main Dr. Konrad Berger Counsel, München Dr. Ingemar Kartheuser Managing Associate, Frankfurt/Main Mainzer Landstraße Frankfurt am Main Postfach Frankfurt am Main Autoren: Dr. Daniel A. Pauly, Dr. Ingemar Kartheuser Diese Veröffentlichung verfolgt ausschließlich den Zweck, bestimmte Themen anzusprechen und erhebt keinen Anspruch auf Vollständigkeit; diese Veröffentlichung stellt keine Rechtsberatung dar. Sollten Sie weitere Fragen bezüglich der hier angesprochenen oder hinsichtlich anderer rechtlicher Themen haben, so wenden Sie sich bitte an Ihren Ansprechpartner bei Linklaters LLP oder an den Herausgeber. Linklaters LLP. Alle Rechte vorbehalten 2014 Linklaters LLP ist eine in England und Wales unter OC registrierte Limited Liability Partnership, die als Anwaltskanzlei durch die Solicitors Regulation Authority zugelassen ist und deren Bestimmungen unterliegt. Der Begriff "Partner" bezeichnet in Bezug auf die Linklaters LLP Gesellschafter sowie Mitarbeiter der LLP oder der mit ihr verbundenen Kanzleien oder sonstigen Gesellschaften mit entsprechender Position und Qualifikation. Eine Liste der Namen der Gesellschafter der Linklaters LLP und der Personen, die zwar nicht Gesellschafter sind, aber als Partner bezeichnet werden, sowie ihrer jeweiligen fachlichen Qualifikation steht am eingetragenen Sitz der Firma in One Silk Street, London EC2Y 8HQ, England, oder unter zur Verfügung. Bei diesen Personen handelt es sich um deutsche oder ausländische Rechtsanwälte, die an ihrem jeweiligen Standort als nationale, europäische oder ausländische Anwälte registriert sind. Wichtige Informationen bezüglich unserer aufsichtsrechtlichen Stellung finden Sie unter Ihre Kontakt-Daten sind in unserer Datenbank gespeichert. Sie werden von unseren verschiedenen internationalen Büros ausschließlich für interne Zwecke und für diese oder ähnliche Marketing-Aktionen genutzt. Eine Weitergabe an Dritte für deren Zwecke findet nicht statt. Wenn Sie diese Publikation nicht mehr erhalten möchten oder Ihre Daten nicht korrekt sind, teilen Sie uns dies bitte per an mit. Linklaters ist seit dem 1. Mai 2007 eine Limited Liability Partnership (LLP) englischen Rechts. Die Bezugnahme auf Linklaters in diesem Dokument meint Linklaters LLP und ggf. verbundene Gesellschaften weltweit. Telefon (+49) Telefax (+49) Prinzregentenplatz München Postfach München Telefon (+49) Telefax (+49) Linklaters.com 6 A /0.1/24 Sep 2015