- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Persönliche Daten: Schutzniveau hoch angesiedelt


EuGH-Urteil zu "Safe Harbor" ist positives Signal für Datenschutz europäischer Prägung
"Binding Corporate Rules" kein Ersatz auf angemessenem Schutzniveau

Stellungnahme der TeleTrusT-AG "Cloud Security"

(30.10.15) – Gut zwei Jahre hat es gebraucht seit den ersten Enthüllungen von Edward Snowden, jetzt hat der Europäische Gerichtshof (EuGH) eine in ihren möglichen Auswirkungen weitreichende Feststellung getroffen: Die USA bieten aus europäischer Sicht "kein angemessenes Schutzniveau für personenbezogene Daten".

1) Das EuGH-Urteil schreibt ein Stück Rechtsgeschichte. Ausgangspunkt des Verfahrens war eine an die irische Datenschutzbehörde gerichtete Beschwerde des österreichischen Bürgers Maximilian Schrems gegen die Übermittlung seiner bei Facebook gespeicherten Daten in die USA, mit der Begründung, dass im Hinblick auf die von Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der USA, insbesondere der NSA, davon auszugehen sei, dass die Daten in den USA nicht hinreichend vor Überwachungstätigkeiten der dortigen Behörden geschützt seien. Die irische Behörde wies die Beschwerde seinerzeit mit dem Hinweis zurück, durch das "Safe Harbor"-Abkommen sei ein angemessenes Schutzniveau in den USA gegeben. Dieser Begründung hat der EuGH nun die Grundlage entzogen und die sog. "Safe Harbor"-Regelung gekippt. Der EuGH kassierte das bereits vor zwölf Jahren von der EU-Kommission installierte "Safe-Harbor"-Abkommen mit den USA.

2) Die Begründung der höchstrichterlichen Instanz der Europäischen Union ist beachtlich: In Bezug auf die Beschwerde stellt das Gericht fest, dass ab sofort die (zuständige) irische Behörde sorgfältig zu prüfen habe, ob die Übermittlung von personenbezogenen Daten aus dem EU-Raum auf amerikanische Server nicht auszusetzen sei, "weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet."

Gleichzeitig greift das Gericht die Europäische Kommission an: "Die Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden […] zu beschränken." Damit stärkt dieses Urteil die Befugnisse und die Unabhängigkeit europäischer Datenschutzbehörden, da sie nun nicht (mehr) an die "Safe-Harbor"-Regelung gebunden sind.

3) Das Urteil hat für den transatlantischen Datenaustausch und insbesondere für US-Internetunternehmen sowie US-Cloud Service Provider Konsequenzen. Mindestens dürfte die Übermittlung personenbezogener Daten in die USA auf Basis der "Safe Harbor"-Regelung ab sofort als unzulässig gelten. Mit Blick auf die Begründung des EuGH könnte das Urteil aber auch Auswirkungen auf die vor allem von großen Unternehmen, insbesondere multinationalen Konzernen und Organisationen, gern genutzten "Binding Corporate Rules" haben. Die "Binding Corporate Rules" sollen ein Rahmen für verbindliche Richtlinien zum Umgang mit personenbezogenen Daten sein. Wenn ein Unternehmen seine "Binding Corporate Rules" von europäischen Datenschutzbehörden verifizieren lässt, dann dürfen auf Grundlage dieser festgelegten Richtlinien Daten in Drittstaaten, z.B. in die USA, übermittelt werden.

Der EuGH hebt jedoch kritisch hervor, dass "amerikanische Unternehmen ohne jede Einschränkung verpflichtet sind, die […] vorgesehenen Schutzregeln unangewendet zu lassen, wenn sie in Widerstreit zu Erfordernissen [der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten] stehen". Damit sind die "Binding Corporate Rules" eben nicht "Binding", wenn es um den Schutz der Daten gegenüber amerikanischen Behörden geht, sondern nicht viel mehr als ein Papiertiger.

Zudem stellt der EuGH fest, dass die in den USA möglichen Zugriffe von Behörden auf diese Daten nicht auf das in der EU geforderte "absolut Notwendige" beschränkt seien, "wenn sie generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen." Gemeint ist die anlasslose Massenspeicherung von Daten durch die NSA.

Mit anderen Worten: Wenn Daten in die USA übermittelt werden, dann unterliegen diese Daten uneingeschränkt dem Recht der USA, ganz gleich, ob es "Binding Corporate Rules" gibt oder nicht. Da das diesbezüglich geltende Recht der USA nach Ansicht des EuGH kein ausreichendes Datenschutzniveau gewährleistet, wäre nach EU-Recht damit die Übermittlung personenbezogener Daten in die USA generell unzulässig.

Wenn die "Safe-Harbor"-Regelung amerikanischen Gesetzen entgegensteht oder im Widerspruch zur nationalen Sicherheit oder zum öffentlichen Interesse steht, sind dortige Unternehmen ohne jede Einschränkung verpflichtet, die in der Regelung vorgesehenen Schutzmaßnahmen unangewendet zu lassen." Eine Regelung verletzt den "Wesensgehalt des Grundrechts auf Achtung des Privatlebens", wenn sie es Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen.

4) Europäischen Firmen, die auch weiterhin ihre personenbezogenen Daten ausschließlich in Deutschland oder der europäischen Union verarbeiten, wird mit dem Urteil der Rücken gestärkt. Und auch Initiativen wie das TeleTrusT-Qualitätszeichen "IT Security made in Germany" erhalten die Bestätigung, dass der Datenschutz ein hohes Gut ist, das nicht ausgehöhlt werden darf.

5) Das EuGH-Urteil ist eine Chance auf Verbesserung der aktuellen Situation. Insgesamt gesehen bringt der EuGH neuen Schwung in die seit etwa zwei Jahren laufenden Verhandlungen um eine neue Safe-Harbor-Regelung, aber auch in den TTIP-Verhandlungen dürften Datenschutzaspekte nun eine stärkere Gewichtung erhalten, vermutlich oder hoffentlich zugunsten europäischer Standards.
(TeleTrusT: ra)

TeleTrust: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Verpflichtende Dokumentation von Arbeitszeiten

    Zum EuGH-Urteil zur verpflichtenden Dokumentation von Arbeitszeiten erklärte Bitkom-Präsident Achim Berg: "Der Europäische Gerichtshof hat entschieden, dass Arbeitgeber in der Europäischen Union die Arbeitszeiten ihrer Arbeitnehmer systematisch erfassen müssen. Das Urteil hat weitreichende Konsequenzen für die Arbeitswelt. In Deutschland existiert der klassische Acht-Stunden-Tag oft nur noch auf Papier. Viele Arbeitnehmer wollen flexibler arbeiten und fordern das aktiv ein.

  • Gesetzlicher Provisionsdeckel überflüssig

    Die Deutsche Kreditwirtschaft (DK) kritisiert die Pläne des Bundesfinanzministeriums (BMF), bei der Restkreditversicherung einen gesetzlichen Provisionsdeckel von 2,5 Prozent einzuführen. Dieser ist einem Referentenentwurf des Bundesfinanzministeriums zu einem "Gesetz zur Deckelung der Abschlussprovision von Lebensversicherungen und von Restschuldversicherungen" zu entnehmen. Die deutschen Banken und Sparkassen verweisen darauf, dass unter anderem die erst kürzlich veröffentlichte Selbstverpflichtung der DK für verbraucherfreundliche Restkreditversicherungen (RKV) diesen - auch verfassungsrechtlich bedenklichen - staatlichen Eingriff in die Preisgestaltung überflüssig mache. Die freiwillige Empfehlung sei viel besser dafür geeignet, die RKV-Produkte in vielen Aspekten für die Kunden weiter zu verbessern und verbraucherfreundliche Regelungen zu ermöglichen.

  • Umsetzung der SatCab-Richtlinie

    Der Europäische Rat entschied über die sogenannte SatCab-Richtlinie. Durch diese Richtlinie soll die Rechteklärung für lineare Fernsehangebote vereinfacht werden - unabhängig vom Endgerät und der Übertragungstechnologie, egal ob mit heimischem Fernseher per Kabel, übers WLAN zum Notebook auf dem Balkon oder unterwegs per Mobilfunk aufs Smartphone.

  • Niedersachsen: Datenschutzfreie Regierung?

    Die Deutsche Vereinigung für Datenschutz e. V. (DVD) hat mit größtem Befremden einen Bundesrats-Antrag der Niedersächsischen Landesregierung zur Kenntnis genommen, in dem diese fordert, im Interesse der "Entlastung von kleinen und mittleren Unternehmen von zusätzlichen Bürokratiekosten" die Pflicht zur Benennung von Datenschutzbeauftragten aufzuweichen und eingetragene Vereine mit überwiegend ehrenamtlich Tätigen von dieser Pflicht möglicherweise völlig auszunehmen. Außerdem sollen die Fristen zur Benachrichtigung von Datenschutzverletzungen verlängert, die Abmahnmöglichkeit von Datenschutzverstößen ausgeschlossen sowie die Nutzung von Echtdaten für "Erprobungs- und Testzwecke" generell erlaubt werden (BR-Drucksache. 144/19 vom 03.04.2019).

  • Entscheidung des Rates zum Urheberrecht

    "Nach zähem Ringen um die nötigen Anpassungen des Urheberrechts an die digitalen Rahmenbedingungen ist die Verabschiedung der Urheberrechtsrichtlinie ein hart erkämpfter und wichtiger Erfolg. Ein zeitgemäßes Urheberrecht für einen digitalen Binnenmarkt ist wichtig für Künstlerinnen und Künstler, für Journalistinnen und Journalisten, für Verlage, für Kultur- und Gedächtniseinrichtungen und auch für die Nutzerinnen und Nutzer. Es stärkt die kulturelle und journalistische Vielfalt und eine lebendige Kultur- und Kreativwirtschaft in Europa", erklärte die Staatsministerin für Kultur und Medien, Monika Grütters.