Tag Archives: Übermittlung

Kurzanalyse: Standardvertragsklauseln und Binding Corporate Rules als Ausweg nach der „Safe Harbor“-Entscheidung?

Nachdem der Europäische Gerichtshof (EuGH) heute die „Safe Harbor“-Regelung aus dem Jahr 2000 für ungültig erklärt hat, drängt sich die Frage auf, ob dies zugleich das Ende transatlantischer Datenflüsse bedeutet.

Wir hatten bereits gestern darauf hingewiesen, dass dies mit der Ungültigkeit von „Safe Harbor“ nun zwar grundsätzlich der Fall ist, personenbezogene Daten jedoch in bestimmten Ausnahmefällen selbst dann in Drittstaaten übertragen werden dürfen, wenn diese kein angemessenes Datenschutzniveau aufweisen. Diese Ausnahmen erweisen sich im Hinblick auf Datenübermittlungen in die USA bei näherer Betrachtung jedoch allesamt als problematisch.

Die praktisch wichtigste dieser Ausnahmen in der EU-Datenschutzrichtlinie lässt die Übermittlung personenbezogener Daten zu, wenn die Betroffenen ausdrücklich und zweifelsfrei in die Übermittlung eingewilligt haben. Allerdings setzt diese Ausnahme voraus, dass die Betroffenen zuvor über den Zweck der Übermittlung und Verarbeitung, die Weitergabe an Dritte sowie Bedingungen und Reichweite dieser Weitergabe unterrichtet wurden. Nach US-Recht wiederum ist es Unternehmen, die mit den dortigen Nachrichtendiensten wie etwa der NSA zusammenarbeiten, jedoch untersagt, Informationen über diese Zusammenarbeit preiszugeben. Aus diesem Grund dürfte es datenverarbeitende Unternehmen aus den USA vor große Schwierigkeiten stellen, den Anforderungen der EU-Datenschutzrichtlinie in diesem Punkt zu genügen.

Reaktion der EU-Kommission
In einer ersten Reaktion auf die Entscheidung des EuGH ließ die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung, Vera Jourová, verlauten, dass personenbezogene Daten trotz der Ungültigkeit von „Safe Harbor“ weiterhin in die USA übermittelt werden dürften; Grundlage dafür seien die EU-Standardvertragsklauseln oder die „Binding Corporate Rules“. Diese Auffassung ist aus unserer Sicht jedoch nicht nachvollziehbar.

Spenden

EU-Standardvertragsklauseln
Die Standardvertragsklauseln basieren ebenso wie „Safe Harbor“ auf Entscheidungen der EU-Kommission. Es handelt sich dabei um fest vorgegebene Vertragswerke mit bestimmten Datenschutzgarantien für Datenexporteure und Datenimporteure. Inhaltlich entsprechen die Standardvertragsklauseln den Vorgaben der „Safe Harbor“ Regelung. Der Unterschied zwischen beiden besteht lediglich darin, dass sich „Safe Harbor“ auf das Datenschutzniveau eines ganzen Landes bezieht, die Standardvertragsklauseln hingegen nur auf das Datenschutzniveau innerhalb einzelner Unternehmen. Im Rahmen der Standardverträge muss der Datenimporteur bei Übermittlungen in einen unsicheren Drittstaat wie die USA zusichern, dass dort seines Wissens keine Rechtsvorschriften existieren, die die Garantien aus den Klauseln substanziell beeinträchtigen.

Genau dies hat der EuGH im Rahmen der „Safe Harbor“ Entscheidung in Frage gestellt und moniert, dass sich die Regelung gerade nicht auf die Bereiche der nationalen Sicherheit und der Strafverfolgung in den USA erstreckt. Zudem hat der Gerichtshof klargestellt, dass faktisch unbegrenzte behördliche Zugriffe auf personenbezogene Daten mangels Verhältnismäßigkeit niemals mit dem EU-Datenschutzrecht und den EU-Grundrechten vereinbar sein können. Und tatsächlich erlaubt Sektion 702 des FISA Amendment Act (FAA) von 2008 den US-Geheimdiensten ohne besondere Schranken, die Daten von Nicht-US-Bürgern abzugreifen. Dabei kann die NSA wie im Fall von PRISM mit Online-Unternehmen kooperieren oder wie bei der „Upstream Collection“ genannten Massendatenerfassung direkt selbst an Internetknotenpunkten ansetzen. Die Datenschutzgarantien der Standardvertragsklauseln werden dadurch ebenso unterlaufen wie die Vorgaben von „Safe Harbor“, so dass beide Regelungen letztlich an demselben Fehler leiden. Datenübermittlungen in die USA auf Grundlage der Standardverträge dürften daher ebenso unzulässig sein, wie der EuGH dies heute für Übermittlungen auf der Basis von „Safe Harbor“ angenommen hat.

Binding Corporate Rules
Auch die „Binding Corporate Rules“ bieten hier keinen Ausweg. Im Unterschied zu den Standardvertragsklauseln sind sie nicht fest vorgegeben, sondern können insbesondere von multinationalen Konzernen für Fälle konzerninterner Datenübermittlungen selbst gestaltet werden. Diese Regeln bedürfen der Genehmigung durch eine federführende sowie zwei weitere europäische Datenschutzbehörden, um wirksame Grundlage für die Datenübermittlung in einen unsicheren Drittstaat zu sein. Dabei müssen die Behörden prüfen, ob durch die selbst auferlegten Regeln ein angemessenes Datenschutzniveau innerhalb des jeweiligen Konzerns gewährleistet ist. Spätestens an diesem Punkt kommen wiederum die Überwachungsbefugnisse der US-Nachrichtendienste ins Spiel. Daher können Unternehmen mit Sitz in den Vereinigten Staaten auch im Wege der „Binding Corporate Rules“ ein angemessenes Datenschutzniveau nicht garantieren.

Fazit
Ganz so einfach, wie es EU-Kommission und Unternehmen wie Facebook nun vorgeben, werden die Auswirkungen des EuGH-Urteils nicht zu bewältigen sein. Ein zulässiger Ausweg kann jedenfalls nicht darin bestehen, die Datenübermittlung künftig schlicht auf eine andere formale Grundlage zu stellen. Den materiellen Anforderungen des EU-Datenschutzrechts ist auf diese Weise nicht auszuweichen. Vielmehr bedarf es substanzieller Änderungen bei den Überwachungspraktiken der US-Geheimdienste ebenso wie bei ihrer Aufsicht und den Rechtsmitteln für Personen, die nicht in den USA ansässig sind.

2015_01 foerdermitglied_w

Safe-Harbor-Entscheidung des Europäischen Gerichtshofs: Das Ende transatlantischer Datenflüsse?

Vor rund 15 Jahren entschied die EU-Kommission, dass die USA ein „sicherer Hafen“ für personenbezogene Daten aus der EU seien. Diese sogenannte „Safe Harbor“ Entscheidung bildet seither die Grundlage für einen ungehinderten transatlantischen Datenfluss. Davon profitieren vor allem US-amerikanische IT-Konzerne wie Google oder Facebook, welche die Daten europäischer Nutzerinnen und Nutzer auf Servern in den Vereinigten Staaten speichern und verarbeiten. Am morgigen Dienstag könnte der Europäische Gerichtshof (EuGH) die „Safe Harbor“ Entscheidung für ungültig erklären. Doch welche Folgen hätte ein solcher Richterspruch für die Datenübermittlung in die USA und für die Nutzung US-amerikanischer Online-Dienste in Europa?

Bei der mit Spannung erwarteten EuGH-Entscheidung in dem Verfahren des österreichischen Datenschutzaktivisten Max Schrems gegen Facebook geht es im Kern um die Frage, ob das Datenschutzniveau in den USA, wo Facebook die Daten seiner Nutzerinnen und Nutzer speichert, gemessen an europäischen Maßstäben als angemessen angesehen werden kann. Nur wenn dies der Fall ist, so schreibt es die EU-Datenschutzrichtlinie von 1995 vor, dürfen personenbezogene Daten überhaupt aus der EU über den Atlantik gesendet werden.

Was ist „Safe Harbor“?

Die Richtlinie sieht außerdem vor, dass die EU-Kommission in Einzelfällen anerkennen kann, dass ein Land über ein angemessenes Datenschutzniveau verfügt. Genau dies hat sie im Fall der USA im Jahr 2000 getan. Datenverarbeitende Unternehmen, die personenbezogene Daten aus der EU in die Vereinigten Staaten übertragen möchten, erklären im Gegenzug gegenüber der US-Handelskommission (Federal Trade Commission, FTC), dass sie bestimmte Datenschutzprinzipien einhalten werden. So müssen die Unternehmen unter anderem versprechen, personenbezogene Daten nur mit Einwilligung der Betroffenen zu sammeln und zu verwenden, diese Daten vor dem Zugriff Dritter zu schützen und sie nicht ohne Zustimmung der Betroffenen an Dritte weiterzugeben.

Ob und inwieweit die Unternehmen diese Versprechen tatsächlich einhalten, wurde von der EU-Kommission allerdings gar nicht und von der zuständigen FTC lediglich lax kontrolliert. Hinzu kommt, dass die Selbstverpflichtung der Unternehmen sich gerade nicht auf Datenübermittlungen in den Bereichen der nationalen Sicherheit und der Strafverfolgung erstreckt. Nicht zuletzt aus diesem Grund kritisieren Datenschutzbehörden und zivilgesellschaftliche Organisationen ebenso wie das EU-Parlament die „Safe Harbor“ Entscheidung schon seit Jahren.

2015_01 foerdermitglied_w

Die Kritik des Generalanwalts

Auch Generalanwalt Yves Bot, Rechtsgutachter in dem nun zur Entscheidung anstehenden EuGH-Verfahren, kam vor knapp zwei Wochen zu dem Ergebnis, dass die „Safe Harbor“ Entscheidung die EU-Grundrechte auf Privatsphäre und den Schutz personenbezogener Daten verletze und daher ungültig sei. Seinen Befund begründete Bot vor allem mit dem Umstand, dass US-amerikanische Geheimdienste wie die NSA faktisch unbeschränkten Zugriff auf die bei den dortigen Unternehmen gespeicherten Daten haben. Darüber hinaus vermisste der Generalanwalt eine wirksame unabhängige Kontrolle dieser Zugriffe ebenso wie effektive Rechtsmittel, mit denen sich Betroffene aus der EU gegen die Verwendung ihrer Daten durch Geheimdienste wehren können. Ein weiteres Indiz für die Unzulänglichkeiten der „Safe Harbor“ Entscheidung sah Bot in den aktuell laufenden Verhandlungen über ein neues Datenschutzabkommen zwischen der EU und den USA.

Das US-Außenministerium reagierte umgehend auf das Votum des Generalanwalts und erklärte, die Vereinigten Staaten seien „nicht dabei, irgendjemanden unüberlegt zu überwachen, auch keine normalen europäischen Bürger“; der Generalanwalt habe hinsichtlich der geheimdienstlichen Massenüberwachung Schlussfolgerungen der gerichtlichen Vorinstanz, dem irischen High Court, lediglich ungeprüft übernommen; das Privacy and Civil Liberties Oversight Board, ein der US-Regierung beigeordnetes Datenschutzgremium, sei nach eingehender Prüfung zu dem Ergebnis gelangt, dass es sich bei dem NSA-Programm PRISM nicht um Massenüberwachung handele. Unerwähnt blieb in der Stellungnahme, dass PRISM nur einen Baustein in der umfangreichen Überwachungsmaschinerie der NSA darstellt und keineswegs die einzige Methode ist, mit welcher der Dienst sich Zugriff auf personenbezogene Daten verschafft. Darüber hinaus darf die Einschränkung, dass die Überwachung nicht „unüberlegt“ sei, durchaus als Eingeständnis einer tatsächlich stattfindenden Überwachung gewertet werden.

Die Entscheidung des EuGH und die Folgen

Der EuGH ist an das Votum des Generalanwalts zwar nicht gebunden, folgt ihm jedoch in den meisten Fällen. Es ist daher durchaus wahrscheinlich, dass der Gerichtshof „Safe Harbor“ als ungültig verwerfen wird. Sollte das tatsächlich geschehen, wären transatlantische Übermittlungen personenbezogener Daten in rechtlicher Hinsicht zwar nicht gänzlich unmöglich, sie würden jedoch deutlich erhöhten Hürden unterliegen. Noch erheblicher könnten die politischen Konsequenzen einer solchen Entscheidung ausfallen.

Ist „Safe Harbor“ ungültig, so würden die USA zunächst nicht mehr als Drittstaat mit angemessenem Datenschutzniveau im Sinne des europäischen Datenschutzrechts gelten. Dies hätte zur Folge, dass personenbezogene Daten grundsätzlich nicht mehr in die Vereinigten Staaten übermittelt werden dürfen. Personenbezogene Daten zeichnen sich dadurch aus, dass sie einer bestimmten Person zugeordnet werden können, dass also die hinter dem jeweiligen Datum stehende Person bestimmbar ist.

Überwachung bekämpfen

Übermittlung nicht personenbezogener Daten

Soweit nur Daten ohne einen solchen Personenbezug übertragen werden sollen, ändert sich für Online-Dienste, Nutzerinnen und Nutzer daher nichts. Anonyme Suchanfragen wären grundsätzlich ebenso weiterhin möglich wie nicht personalisierte Webseitenzugriffe. Als problematisch könnte sich in diesem Zusammenhang allerdings der Umstand erweisen, dass bei jedem Zugriff auf eine Webseite auch die jeweilige IP-Adresse übermittelt wird.

Hier sind sich Juristen uneinig, ob es sich bei einer IP-Adresse um ein personenbezogenes Datum handelt. Manchen reicht für den Personenbezug schon die abstrakte Möglichkeit aus, notfalls unter Heranziehung Dritter, wie etwa dem Telekommunikationsprovider, die dahinter stehende Person zu bestimmen. Nach dieser Ansicht, die auch wir für richtig halten, sind IP-Adressen stets personenbezogene Daten. Andere wollen nur dann den Personenbezug bejahen, wenn die datenverarbeitende Stelle allein mit eigenen Mitteln in der Lage ist, aus der IP-Adresse die betreffende Person abzuleiten. Der EuGH hat sich in einem Urteil von 2011 (Urt. v. 24. November 2011, C-70/10) der erstgenannten Meinung angeschlossen. IP-Adressen, egal ob dynamisch oder statisch, weisen nach Ansicht des Gerichtshofs immer einen Personenbezug auf. Bleibt der EuGH in der morgigen Entscheidung bei dieser Auffassung, so ist jegliche Nutzung US-amerikanischer Online-Dienste stets zwingend mit der Übermittlung personenbezogener Daten verknüpft.

Übermittlung personenbezogener Daten

Zwar verbietet das EU-Recht die Übermittlung personenbezogener Daten in einen Drittstaat ohne angemessenes Datenschutzniveau, jedoch sieht es zugleich eine Reihe von Ausnahmen vor. So dürfen personenbezogene Daten jedenfalls dann in einen solchen Staat versendet werden, wenn dies für die Erfüllung eines Vertrages, für die Wahrung lebenswichtiger Interessen der Betroffenen oder für die gerichtliche Geltendmachung von Ansprüchen erforderlich ist. Bei der Nutzung von Online-Diensten dürften diese Ausnahmen in der Regel jedoch nicht greifen, sieht man einmal von gezielten Einkäufen oder Reisebuchungen ab.

Gerade für die Verwendung von sozialen Netzwerken und Suchmaschinen, deren Geschäftsmodelle im Wesentlichen auf der Verarbeitung und Vermarktung personenbezogener Daten beruhen, dürfte jedoch eine andere Ausnahme wichtig werden: Haben Nutzerinnen und Nutzer der Übermittlung ihrer personenbezogenen Daten zweifelsfrei ausdrücklich zugestimmt, dürfen die Informationen in einen Drittstaat ohne angemessenes Datenschutzniveau übertragen werden. Voraussetzung dafür ist jedoch stets, dass sie vor Abgabe der Einwilligung über die betroffenen Daten, über den genauen Verwendungszweck und die Reichweite der Datenverarbeitung, insbesondere eine eventuelle Weitergabe an Dritte, unterrichtet wurden. Online-Dienste in den USA müssten Nutzerinnen und Nutzer aus der EU daher zunächst darüber aufklären, welche Daten sie genau erheben, was sie mit diesen Daten anstellen und an wen sie die Daten unter welchen Bedingungen weitergeben.

Fazit

Gerade bei sozialen Netzwerken geschieht dies weitestgehend bereits heute im Wege allgemeiner Geschäftsbedingungen (AGB), denen Nutzerinnen und Nutzer vor der Verwendung des Dienstes zustimmen müssen. Bei anderen Diensten, etwa Suchmaschinen, ist das bisher hingegen eher unüblich, so dass sich hier tatsächlich eine Änderung ergeben würde – vor der Eingabe einer Suchanfrage müsste dann zunächst per Mausklick den AGB zugestimmt werden. Zudem müsste in den AGB auch darauf hingewiesen werden, dass und unter welchen Umständen US-Geheimdienste auf die bei den Anbietern gespeicherten personenbezogenen Daten zugreifen können. Dies dürfte für amerikanische Online-Dienste zugleich die heikelste Folge der Ungültigkeit von „Safe Harbor“ sein: Sie wären gezwungen, gegenüber ihren europäischen Nutzerinnen und Nutzern ihre Mithilfe an den Massenüberwachungsprogrammen der NSA offenzulegen. Das könnte sie vor unlösbare Probleme stellen, da es ihnen nach US-amerikanischem Recht untersagt ist, ihre Zusammenarbeit mit der NSA in irgendeiner Form öffentlich zu machen. Selbst die Tatsache, dass den Online-Diensten Äußerungen über die Kooperation verboten sind, dürfen sie der Allgemeinheit nicht mitteilen.

Spätestens an dieser Stelle wird noch einmal besonders deutlich, warum das US-Außenministerium so vehement auf das Votum des Generalanwalts beim EuGH reagiert hat. Eine Ungültigkeit von Safe Harbor würde zwar nicht unbedingt das Ende transatlantischer Datenflüsse bedeuten; im Interesse ihrer eigenen Online-Wirtschaft würde es die USA aber zu politischen Konsequenzen und Reformen im Bereich der geheimdienstlichen Massenüberwachung zwingen. Daher darf sich die europäische Öffentlichkeit auch nicht von der nach der Entscheidung zu erwartenden EuGH-Schelte blenden lassen, sondern muss diese Konsequenzen und Reformen selbstbewusst einfordern. Dadurch könnte sich schließlich die Erkenntnis durchsetzen, dass die geheimdienstlichen Spähexzesse nicht nur Grundrechte verletzen und die Rechtsstaatlichkeit erodieren, sondern auch schwerwiegende wirtschaftliche Schäden nach sich ziehen. Damit wäre ein entscheidender Beitrag zum Beginn eines politischen Umdenkens in Fragen der Massenüberwachung auf beiden Seiten des Atlantik geleistet.

Spenden