Der Europäische Gerichtshof hat mit Urteil vom 6. Oktober 2015 (RS C‑362/14) u.a. entschieden, dass die Safe-Harbor-Grundsätze (das “Framework”) kein angemessenes Schutzniveau für Personendaten gewährleisten, die aus einem EU-Staat in die USA übermittelt werden und dass deshalb die Entscheidung 2000/520 der Europäischen Kommission — die — ungültig ist. Der EuGH hat dabei im Wesentlichen wie folgt argumentiert:
- Das für den Datenexport vorausgesetzte angemessene Schutzniveau im Empfängerstaat verlangt, dass dieser Staat effektiv ein Schutzniveau gewährleistet, das dem durch die Richtlinie 95/46 vermittelten Niveau in der Sache nach gleichwertig ist.
- Die Kommssion hat in der genannten Entscheidung festgestellt, dass das Framework ein angemessenes Schutzniveau gewährleiste. Offenlegungspflichten nach US-Recht gehen den Grundsätzen des Framework aber vor.
- Es steht ferner nicht fest, dass das US-Recht Eingriffe u.a. aus Gründen der nationalen Sicherheit begrenzt. Soweit es das US-Recht den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, verletzt es den Wesensgehalt des Grundrechts auf Achtung des Privatlebens.
- Es steht ebensowenig fest, dass das US-Recht wirksamen Rechtsschutz gegen derartige Eingriffe vermittelt. Insbesondere sind die Schiedsmechanismen und Verfahren gemäss dem Framework sind auf staatliche Eingriffe nicht anwendbar. Soweit das US-Recht Privaten keinen Anspruch einräumt, Zugang zu den sie betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, verletzt es den Wesensgehalt des Grundrechts auf wirksamen gerichtlichen Rechtsschutz.
Am 16. Oktober 2015 hat die Artikel-29-Arbeitsgruppe, ein Beratungsgremium der Kommission in Fragen des Datenschutzes, eine Stellungnahme veröffentlicht. Sie hat darin u.a. festgehalten,
- dass Personendaten auf der Grundlage von Binding Corporate Rules und der Standard-Vertragsklauseln vorläufig weiterhin erlaubt bleiben, unter Vorbehalt der Umstände des Einzelfalls, und
- dass die europäischen Datenschutzaufsichtsbehörden aktiv werden sollen, falls bis Ende Januar 2016 keine angemessene Lösung mit den USA gefunden werden kann.
Am 6. November 2015 hat sodann die Europäische Kommission zuhanden des Parlaments und des Rates eine Mitteilung veröffentlicht und ausdrücklich bestätigt, dass die die Standardvertragsklauseln weiterhin verwendert werden können und dass auch die Einwilligung der betroffenen Personen nach wie vor eine Grundlage für Datenübermittlungen in die USA bilden kann.
In der Schweiz hat der EDÖB am 7. Oktober und erneut am 22. Oktober
zum Urteil des EuGH Stellung genommen. Am 22. Oktober hat er dabei festgehalten:
Solange kein neues Abkommen mit der amerikanischen Regierung ausgehandelt ist, bildet das Safe-Harbor-Abkommen auch in der Schweiz keine genügende Rechtsgrundlage mehr für die datenschutzkonforme Übermittlung von Personendaten in die USA. In der Zwischenzeit empfiehlt der EDÖB, beim Datenaustausch mit US-Unternehmen vertragliche Garantien im Sinne des DSG zu vereinbaren (Art. 6 Abs. 2 lit. a).
Zudem:
Der EDÖB verlangt von den betroffenen Unternehmen, die notwendigen vertraglichen Anpassungen bis Ende Januar 2016 vorzunehmen. Zudem prüft er in Koordination mit europäischen Behörden, ob weitere Massnahmen zur Sicherstellung der Grundrechte erforderlich sind.
Der EDÖB hat dabei nicht ausdrücklich erwähnt, ob die EU-Standardvertragsklauseln auch aus schweizerischer Sicht noch eine ausreichende Grundlage für Datenübermittlungen in die USA darstellen. Er hat sich aber im Übrigen an die Stellungnahme der Artikel-29-Arbeitsgruppe angelehnt. Es scheint daher, dass die Standardvertragsklauseln auch aus Sicht des EDÖB vorläufig weiterhin ausreichend sind. Ganz eindeutig ist dies jedoch nicht, weil der EDÖB folgende Anforderungen an Datenübermittlungsverträge gestellt hat:
- Personen, deren Daten in die USA übermittelt werden, müssen klar und umfassend über die möglichen Behördenzugriffe informiert werden, damit sie ihre Rechte wahrnehmen können. Der Vertrag zum Austausch von Personendaten sollte die beteiligten Parteien dahingehend verpflichten.
- Die Parteien müssen sich verpflichten, betroffenen Personen die für einen wirksamen Rechtsschutz notwendigen Behelfe zur Verfügung zu stellen, entsprechende Verfahren tatsächlich durchzuführen und darauf ergehende Urteile zu akzeptieren.
Ob diese Anforderungen aus Sicht des EDÖB durch die Standardvertragsklauseln abgedeckt sind, ist offen. Ebenso unklar ist, ob es der EDÖB für erforderlich hält, betroffene Personen umfassender als bisher über Datenübermittlungen in die USA zu informieren.
Der Entscheid des EuGH und die folgenden Stellungnahmen waren Gegenstand zahlreicher Berichte in den Medien. Eine Übersicht über Stellungnahmen aus rechtlicher Sicht findet sich sodann im Blog von Nils Güggi.