Safe-Harbor-Entscheid des EuGH: Stellungnahmen der Art.-29-Arbeitsgruppe, des EDÖB und der Europäischen Kommission

Der Europäis­che Gericht­shof hat mit Urteil vom 6. Okto­ber 2015 (RS C‑362/14) u.a. entsch­ieden, dass die Safe-Har­bor-Grund­sätze (das “Frame­work”) kein angemessenes Schutzniveau für Per­so­n­en­dat­en gewährleis­ten, die aus einem EU-Staat in die USA über­mit­telt wer­den und dass deshalb die Entschei­dung 2000/520 der Europäis­chen Kom­mis­sion — die — ungültig ist. Der EuGH hat dabei im Wesentlichen wie fol­gt argumentiert:

  • Das für den Daten­ex­port voraus­ge­set­zte angemessene Schutzniveau im Empfänger­staat ver­langt, dass dieser Staat effek­tiv ein Schutzniveau gewährleis­tet, das dem durch die Richtlin­ie 95/46 ver­mit­tel­ten Niveau in der Sache nach gle­ich­w­er­tig ist.
  • Die Komms­sion hat in der genan­nten Entschei­dung fest­gestellt, dass das Frame­work ein angemessenes Schutzniveau gewährleiste. Offen­le­gungspflicht­en nach US-Recht gehen den Grund­sätzen des Frame­work aber vor.
  • Es ste­ht fern­er nicht fest, dass das US-Recht Ein­griffe u.a. aus Grün­den der nationalen Sicher­heit begren­zt. Soweit es das US-Recht den Behör­den ges­tat­tet, generell auf den Inhalt elek­tro­n­is­ch­er Kom­mu­nika­tion zuzu­greifen, ver­let­zt es den Wesens­ge­halt des Grun­drechts auf Achtung des Pri­vatlebens.
  • Es ste­ht eben­sowenig fest, dass das US-Recht wirk­samen Rechtss­chutz gegen der­ar­tige Ein­griffe ver­mit­telt. Ins­beson­dere sind die Schiedsmech­a­nis­men und Ver­fahren gemäss dem Frame­work sind auf staatliche Ein­griffe nicht anwend­bar. Soweit das US-Recht Pri­vat­en keinen Anspruch ein­räumt, Zugang zu den sie betr­e­f­fend­en per­so­n­en­be­zo­ge­nen Dat­en zu erlan­gen oder ihre Berich­ti­gung oder Löschung zu erwirken, ver­let­zt es den Wesens­ge­halt des Grun­drechts auf wirk­samen gerichtlichen Rechtss­chutz.

Am 16. Okto­ber 2015 hat die Artikel-29-Arbeits­gruppe, ein Beratungs­gremi­um der Kom­mis­sion in Fra­gen des Daten­schutzes, eine Stel­lung­nahme veröf­fentlicht. Sie hat darin u.a. festgehalten, 

  • dass Per­so­n­en­dat­en auf der Grund­lage von Bind­ing Cor­po­rate Rules und der Stan­dard-Ver­tragsklauseln vor­läu­fig weit­er­hin erlaubt bleiben, unter Vor­be­halt der Umstände des Einzelfalls, und 
  • dass die europäis­chen Daten­schutza­uf­sichts­be­hör­den aktiv wer­den sollen, falls bis Ende Jan­u­ar 2016 keine angemessene Lösung mit den USA gefun­den wer­den kann.

Am 6. Novem­ber 2015 hat sodann die Europäis­che Kom­mis­sion zuhan­den des Par­la­ments und des Rates eine Mit­teilung veröf­fentlicht und aus­drück­lich bestätigt, dass die die Stan­dard­ver­tragsklauseln weit­er­hin ver­wen­dert wer­den kön­nen und dass auch die Ein­willi­gung der betrof­fe­nen Per­so­n­en nach wie vor eine Grund­lage für Datenüber­mit­tlun­gen in die USA bilden kann.

In der Schweiz hat der EDÖB am 7. Okto­ber und erneut am 22. Oktober
zum Urteil des EuGH Stel­lung genom­men. Am 22. Okto­ber hat er dabei festgehalten: 

Solange kein neues Abkom­men mit der amerikanis­chen Regierung aus­ge­han­delt ist, bildet das Safe-Har­bor-Abkom­men auch in der Schweiz keine genü­gende Rechts­grund­lage mehr für die daten­schutzkon­forme Über­mit­tlung von Per­so­n­en­dat­en in die USA. In der Zwis­chen­zeit emp­fiehlt der EDÖB, beim Date­naus­tausch mit US-Unternehmen ver­tragliche Garantien im Sinne des DSG zu vere­in­baren (Art. 6 Abs. 2 lit. a).

Zudem:

Der EDÖB ver­langt von den betrof­fe­nen Unternehmen, die notwendi­gen ver­traglichen Anpas­sun­gen bis Ende Jan­u­ar 2016 vorzunehmen. Zudem prüft er in Koor­di­na­tion mit europäis­chen Behör­den, ob weit­ere Mass­nah­men zur Sich­er­stel­lung der Grun­drechte erforder­lich sind.

Der EDÖB hat dabei nicht aus­drück­lich erwäh­nt, ob die EU-Stan­dard­ver­tragsklauseln auch aus schweiz­erisch­er Sicht noch eine aus­re­ichende Grund­lage für Datenüber­mit­tlun­gen in die USA darstellen. Er hat sich aber im Übri­gen an die Stel­lung­nahme der Artikel-29-Arbeits­gruppe angelehnt. Es scheint daher, dass die Stan­dard­ver­tragsklauseln auch aus Sicht des EDÖB vor­läu­fig weit­er­hin aus­re­ichend sind. Ganz ein­deutig ist dies jedoch nicht, weil der EDÖB fol­gende Anforderun­gen an Datenüber­mit­tlungsverträge gestellt hat:

  • Per­so­n­en, deren Dat­en in die USA über­mit­telt wer­den, müssen klar und umfassend über die möglichen Behör­den­zu­griffe informiert wer­den, damit sie ihre Rechte wahrnehmen kön­nen. Der Ver­trag zum Aus­tausch von Per­so­n­en­dat­en sollte die beteiligten Parteien dahinge­hend verpflichten.
  • Die Parteien müssen sich verpflicht­en, betrof­fe­nen Per­so­n­en die für einen wirk­samen Rechtss­chutz notwendi­gen Behelfe zur Ver­fü­gung zu stellen, entsprechende Ver­fahren tat­säch­lich durchzuführen und darauf erge­hende Urteile zu akzeptieren. 

Ob diese Anforderun­gen aus Sicht des EDÖB durch die Stan­dard­ver­tragsklauseln abgedeckt sind, ist offen. Eben­so unklar ist, ob es der EDÖB für erforder­lich hält, betrof­fene Per­so­n­en umfassender als bish­er über Datenüber­mit­tlun­gen in die USA zu informieren.

Der Entscheid des EuGH und die fol­gen­den Stel­lung­nah­men waren Gegen­stand zahlre­ich­er Berichte in den Medi­en. Eine Über­sicht über Stel­lung­nah­men aus rechtlich­er Sicht find­et sich sodann im Blog von Nils Güg­gi.