Nachdem der EuGH Anfang Oktober die Regelung zum Austausch von Daten zwischen den USA und der EU für ungültig erklärt hat, haben die deutschen Datenschutz-Aufsichtsbehörden angekündigt, dass sie bereits jetzt mögliche Beschwerden prüfen werden.
Der Reihe nach: Mit Urteil vom 06.10.2015 (Az. C-362/14) hat der Europäische Gerichtshof entschieden, dass der Transfer von personenbezogenen Daten in die USA nicht mehr auf Grundlage des „Safe-Harbor“-Abkommens (zu Deutsch: sicherer Hafen) erfolgen darf. Dieses Abkommen hatte die Europäische Kommission im Jahr 2000 beschlossen, wodurch es Unternehmen bisher möglich war, entsprechende Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie 95/46/EG aus einem Land der Europäischen Union in die Vereinigten Staaten zu übermitteln und weiterverarbeiten zu lassen.
Beschränkung nationaler Befugnisse
Der Beschluss war erforderlich, da die Richtlinie es grundsätzlich verbietet, Daten in ein Land zu transferieren, das kein vergleichbares Schutzniveau gewährleisten kann. Bis heute sind über 5.000 amerikanische Unternehmen dem Abkommen beigetreten, u.a. die Weltkonzerne Microsoft, Google und Facebook.
Nun aber hat sich der Wind am Hafen gedreht: Die EU-Kommission hätte durch die damalige Entscheidung die Befugnisse der nationalen Datenschutzbehörden nicht beschränken dürfen, da die personenbezogenen Daten in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt seien. Die nationalen Datenschutzbehörden müssten, wenn sie mit einer Beschwerde befasst werden, in völliger Unabhängigkeit prüfen können, ob bei der Datenübermittlung alle Anforderungen erfüllt werden.
Diese Entscheidung ist gerade im Hinblick auf die Aktivitäten der US-Geheimdienste konsequent und richtig. Diesen könne nämlich gestattet werden, generell auf den Inhalt elektronischer Kommunikation zuzugreifen. Das verletzt nach Ansicht des Gerichts den Wesensgehalt des Grundrechts auf Achtung des Privatlebens.
Entscheidung bis Ende Januar 2016
Nun sind zunächst die nationalen Datenschutzbehörden an der Reihe: Sie wollen bis Ende Januar 2016 entscheiden, ob die EU-Standardvertragsklauseln sowie die Binding Corporate Rules ungültig sind. Bis dahin soll gegen Unternehmen nicht gemeinsam vorgegangen werden.
Eine andere Möglichkeit wäre, dass zukünftig die Datenübermittlung nur in Einzelfällen untersagt wird. Hier wird insbesondere geprüft und berücksichtigt werden, ob ein US-Unternehmen, wie zum Beispiel große IT-Konzerne, Teil des NSA-Überwachungsprogramms PRISM war.
Verarbeitung in Europa anzuraten
Auf die angekündigte Frist sollte sich allerdings nicht verlassen werden: Wenn sich z.B. Kunden bei den Aufsichtsbehörden während der nächsten drei Monate über bestimmte Sachverhalte beschweren, werden die Behörden bereits vorher in die konkrete Prüfung einsteigen. Selbst wenn eine Entscheidung sinnvoller Weise nicht vor Februar fällt, sind früher oder später Abmahnungen denkbar.
Wer sicher gehen will, sollte, wie der Hamburgische Datenschutzbeauftragte Johannes Caspar anmerkt, Unternehmen auswählen, welche die Daten ausschließlich in Europa verarbeiten“.