- Anzeigen -

Persönliche Daten: Schutzniveau hoch angesiedelt


EuGH-Urteil zu "Safe Harbor" ist positives Signal für Datenschutz europäischer Prägung
"Binding Corporate Rules" kein Ersatz auf angemessenem Schutzniveau

Stellungnahme der TeleTrusT-AG "Cloud Security"

(30.10.15) – Gut zwei Jahre hat es gebraucht seit den ersten Enthüllungen von Edward Snowden, jetzt hat der Europäische Gerichtshof (EuGH) eine in ihren möglichen Auswirkungen weitreichende Feststellung getroffen: Die USA bieten aus europäischer Sicht "kein angemessenes Schutzniveau für personenbezogene Daten".

1) Das EuGH-Urteil schreibt ein Stück Rechtsgeschichte. Ausgangspunkt des Verfahrens war eine an die irische Datenschutzbehörde gerichtete Beschwerde des österreichischen Bürgers Maximilian Schrems gegen die Übermittlung seiner bei Facebook gespeicherten Daten in die USA, mit der Begründung, dass im Hinblick auf die von Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der USA, insbesondere der NSA, davon auszugehen sei, dass die Daten in den USA nicht hinreichend vor Überwachungstätigkeiten der dortigen Behörden geschützt seien. Die irische Behörde wies die Beschwerde seinerzeit mit dem Hinweis zurück, durch das "Safe Harbor"-Abkommen sei ein angemessenes Schutzniveau in den USA gegeben. Dieser Begründung hat der EuGH nun die Grundlage entzogen und die sog. "Safe Harbor"-Regelung gekippt. Der EuGH kassierte das bereits vor zwölf Jahren von der EU-Kommission installierte "Safe-Harbor"-Abkommen mit den USA.

2) Die Begründung der höchstrichterlichen Instanz der Europäischen Union ist beachtlich: In Bezug auf die Beschwerde stellt das Gericht fest, dass ab sofort die (zuständige) irische Behörde sorgfältig zu prüfen habe, ob die Übermittlung von personenbezogenen Daten aus dem EU-Raum auf amerikanische Server nicht auszusetzen sei, "weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet."

Gleichzeitig greift das Gericht die Europäische Kommission an: "Die Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden […] zu beschränken." Damit stärkt dieses Urteil die Befugnisse und die Unabhängigkeit europäischer Datenschutzbehörden, da sie nun nicht (mehr) an die "Safe-Harbor"-Regelung gebunden sind.

3) Das Urteil hat für den transatlantischen Datenaustausch und insbesondere für US-Internetunternehmen sowie US-Cloud Service Provider Konsequenzen. Mindestens dürfte die Übermittlung personenbezogener Daten in die USA auf Basis der "Safe Harbor"-Regelung ab sofort als unzulässig gelten. Mit Blick auf die Begründung des EuGH könnte das Urteil aber auch Auswirkungen auf die vor allem von großen Unternehmen, insbesondere multinationalen Konzernen und Organisationen, gern genutzten "Binding Corporate Rules" haben. Die "Binding Corporate Rules" sollen ein Rahmen für verbindliche Richtlinien zum Umgang mit personenbezogenen Daten sein. Wenn ein Unternehmen seine "Binding Corporate Rules" von europäischen Datenschutzbehörden verifizieren lässt, dann dürfen auf Grundlage dieser festgelegten Richtlinien Daten in Drittstaaten, z.B. in die USA, übermittelt werden.

Der EuGH hebt jedoch kritisch hervor, dass "amerikanische Unternehmen ohne jede Einschränkung verpflichtet sind, die […] vorgesehenen Schutzregeln unangewendet zu lassen, wenn sie in Widerstreit zu Erfordernissen [der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten] stehen". Damit sind die "Binding Corporate Rules" eben nicht "Binding", wenn es um den Schutz der Daten gegenüber amerikanischen Behörden geht, sondern nicht viel mehr als ein Papiertiger.

Zudem stellt der EuGH fest, dass die in den USA möglichen Zugriffe von Behörden auf diese Daten nicht auf das in der EU geforderte "absolut Notwendige" beschränkt seien, "wenn sie generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen." Gemeint ist die anlasslose Massenspeicherung von Daten durch die NSA.

Mit anderen Worten: Wenn Daten in die USA übermittelt werden, dann unterliegen diese Daten uneingeschränkt dem Recht der USA, ganz gleich, ob es "Binding Corporate Rules" gibt oder nicht. Da das diesbezüglich geltende Recht der USA nach Ansicht des EuGH kein ausreichendes Datenschutzniveau gewährleistet, wäre nach EU-Recht damit die Übermittlung personenbezogener Daten in die USA generell unzulässig.

Wenn die "Safe-Harbor"-Regelung amerikanischen Gesetzen entgegensteht oder im Widerspruch zur nationalen Sicherheit oder zum öffentlichen Interesse steht, sind dortige Unternehmen ohne jede Einschränkung verpflichtet, die in der Regelung vorgesehenen Schutzmaßnahmen unangewendet zu lassen." Eine Regelung verletzt den "Wesensgehalt des Grundrechts auf Achtung des Privatlebens", wenn sie es Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen.

4) Europäischen Firmen, die auch weiterhin ihre personenbezogenen Daten ausschließlich in Deutschland oder der europäischen Union verarbeiten, wird mit dem Urteil der Rücken gestärkt. Und auch Initiativen wie das TeleTrusT-Qualitätszeichen "IT Security made in Germany" erhalten die Bestätigung, dass der Datenschutz ein hohes Gut ist, das nicht ausgehöhlt werden darf.

5) Das EuGH-Urteil ist eine Chance auf Verbesserung der aktuellen Situation. Insgesamt gesehen bringt der EuGH neuen Schwung in die seit etwa zwei Jahren laufenden Verhandlungen um eine neue Safe-Harbor-Regelung, aber auch in den TTIP-Verhandlungen dürften Datenschutzaspekte nun eine stärkere Gewichtung erhalten, vermutlich oder hoffentlich zugunsten europäischer Standards.
(TeleTrusT: ra)

TeleTrust: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Zusätzliche Rechtsunsicherheit

    Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat jüngst das Verhältnis der neuen Datenschutz-Grundverordnung zum bestehenden Telemediengesetz (TMG) bewertet. Nach Auffassung der Datenschutzkonferenz würde die ab 25. Mai 2018 anwendbare Datenschutz-Grundverordnung die bisherigen Vorschriften des Telemediengesetzes zum Webtracking komplett ersetzen. Aus Sicht des Digitalverbands Bitkom ist diese Auslegung falsch und der Zeitpunkt der Aussage äußerst unglücklich. "Diese Interpretation der Rechtslage wenige Wochen vor Inkrafttreten der Datenschutz-Grundverordnung kommt zur Unzeit für Unternehmen", sagt Susanne Dehmel aus der Bitkom-Geschäftsleitung und dort für Recht und Sicherheit zuständig. "Webseitenbetreiber müssten ihre bislang rechtmäßigen Prozesse innerhalb kürzester Zeit umstellen. Das ist kaum leistbar und das müssten auch die Aufsichtsbehörden wissen."

  • Bitkom zur Verordnung gegen Geoblocking

    Nachdem Europäisches Parlament und Ministerrat für einen Verordnungsentwurf gestimmt haben, der Geoblocking im E-Commerce in den Mitgliedsstaaten verhindern soll, ist der Text im Amtsblatt der EU veröffentlicht worden. Am 22. März trat er in Kraft. Für Händler beginnt damit eine neunmonatige Übergangsfrist, ehe die Regelungen zum 3. Dezember 2018 dann verbindlich angewendet werden müssen.

  • Finanzmarktstabilität & Sustainable Finance

    Die Europäische Kommission hat ihren Aktionsplan zu Sustainable Finance vorgelegt. "Wir begrüßen die Initiative der Europäischen Kommission zur Erreichung der Pariser Klimaziele", sagte Christian Ossig, Hauptgeschäftsführer des Bankenverbandes. "Um nachhaltige Anlageprodukte und Finanzierungen erfolgreich zu platzieren, brauchen wir allerdings verlässliche Rahmenbedingungen." Der Aktionsplan der EU-Kommission setze hierfür nun klare, wenn auch zeitlich sehr ambitionierte Wegmarken. An erster Stelle stehe dabei die angekündigte Sustainability-Taxonomie, also eine Definition der Begriffe. "Banken haben in den letzten Jahren viele Initiativen ergriffen, um das Thema Nachhaltigkeit zu fördern und zu verankern", betonte Ossig. Durch die Sustainable-Finance-Agenda ergebe sich nun die Möglichkeit, innovative und nachhaltige Produkte zu entwickeln. Allerdings fehle es bisher häufig an klaren Definitionen. Es sei daher richtig, dass die Kommission diesen Punkt ganz oben auf die Agenda setze.

  • NetzDG-Regelung ist grundsätzlich falsch

    Mit dem Inkrafttreten des Netzwerkdurchsetzungsgesetzes (NetzDG) Anfang des Jahres wurde auch die Kritik an dem Gesetz immer lauter: CSU, FDP, Linke und Grüne fordern eine Abschaffung der neuen Regelung. Auch EU-Justizkommissarin Vera Jourova hat das Gesetz kritisiert. Union und SPD bekennen sich indes weiterhin zum NetzDG: Wenn die GroKo kommt, soll das Gesetz bleiben und maximal nachgebessert werden.

  • Soziale Spaltung im Land als Problem wahrnehmen

    An vielen Menschen geht der in Deutschland erwirtschaftete Reichtum vorbei. 16 Millionen Menschen sind von Armut bedroht, darunter viele Ältere: 350.000 Rentner müssen in Suppenküchen essen und sich bei den Tafeln kostenlos mit Lebensmitteln versorgen. Über zwei Millionen Kinder leben dauerhaft in armen Verhältnissen. "Die deutsche Gesellschaft ist sozial gespalten", sagt Ulrike Mascher, Präsidentin des Sozialverbands VdK Deutschland. "Wir brauchen eine Politik, die die soziale Spaltung im Land als Problem wahrnimmt und entschlossen dagegen vorgeht. Im Mittelpunkt der Politik und ihres Handelns muss wieder die soziale Gerechtigkeit stehen."