Die Vorschriften der DSGVO zu internationalen Datenflüssen im Lichte des Safe-Harbor-Urteils

Der EuGH hat in seinem Urteil vom 6. Oktober 2015 in Sachen Schrems verschiedene Festlegungen getroffen, die über die konkrete Frage der Wirksamkeit der Safe-Harbor-Entscheidung 2000/520/EG der Europäischen Kommission hinaus Bedeutung haben. Zum Beispiel, indem der Gerichtshof die Anforderungen an das Merkmal des angemessenen Schutzniveaus konkretisiert. Auch verfahrensmäßige Vorgaben für die Kommission sind relevant, die sich auf die Wirksamkeit ihrer Angemessenheitsentscheidungen nach Art. 25 Abs. 6 RL 95/46/EG auswirken. Und da der EuGH diese Anforderungen unmittelbar aus den Grundrechtsverbürgungen in der Grundrechte-Charta herleitet, hatte der Gemeinschaftsgesetzgeber diese auch bei der Gestaltung der EU-Datenschutzgrundverordnung (EU-DSGVO) zu beachten. In den final im Trilogverfahren abgestimmten Entwurf (Ratsdokument 15039/15) vom 15. Dezember 2015 sind deshalb einige Festlegungen des EuGH eingeflossen, die in diesem Beitrag dargestellt werden.

Inhalt der Regelungen im Entwurf der DS-GVO

Schon den geleakten Verhandlungsdokumenten nach Verkündung des Safe-Harbor-Urteils des EuGH ließ sich entnehmen, dass insbesondere das Europäische Parlament auf eine Neuverhandlung des fünften Kapitels der DS-GVO, in dem die internationalen Datenflüsse geregelt sind, gedrängt hat; augenscheinlich mit Erfolg. Die von den Trilogparteien angenommene Fassung enthält einige Änderungen gegenüber den Vorfassungen, die unmittelbar Vorgaben des EuGH aus seiner Safe Harbor-Entscheidung aufgreifen:

  1. Unabhängigkeit der Datenschutzbehörden Nach Art. 41 Abs. 1 DS-GVO-E hat die EU-Kommission die Befugnis, die Angemessenheit des Datenschutzniveaus in einem Drittland (oder einer Region / einem Sektor) festzustellen. Über die Bindungswirkung einer solchen Entscheidung trifft die Regelung dagegen keine explizite Aussage. Der Konflikt zwischen der Verbindlichkeit der Adäquanzentscheidung der Kommission (Art. 41 DS-GVO-E) und der völligen Unabhängigkeit der Datenschutzbehörden (Art. 47 DS-GVO-E) wird damit nicht aufgelöst. Der EuGH hatte insoweit statuiert, dass die Mitgliedstaaten und die nationalen Kontrollstellen an eine solche Entscheidung der Kommission insoweit gebunden seien, als sie keine zuwiderlaufenden Maßnahmen treffen dürften, die verbindlich statuieren, dass das fragliche Drittland kein angemessenes Datenschutzniveau gewährleistet. Darüber hinaus könne eine derartige Entscheidung die Befugnisse der nationalen Datenschutzbehörden aber weder beseitigen noch einschränken (Tz. 53). Es stellt sich deshalb weiterhin die Frage nach den konkreten Handlungsmöglichkeiten der nationalen Datenschutzaufsichtsbehörden. Mangels expliziter Regelung in der EU-DSGVO-E spricht unter Heranziehung des EuGH-Urteils in Sachen Safe Harbor viel dafür, dass die Aufsichtsbehörden auch unter Geltung der DS-GVO jegliche Maßnahmen treffen dürfen, solange sie nicht faktisch die Entscheidung der Kommission gemäß Art 41 Abs. 1 DS-GVO für unwirksam erklären. Die nationalen Datenschutzbehörden könnten also z.B. nach wie vor Übermittlungen von Daten mit der Begründung aussetzen oder untersagen, dass im Zielland des Datentransfers – trotz Angemessenheitsentscheidung der Kommission – kein angemessenes Datenschutzniveau gewährleistet sei.
  2. Kriterien der Adäquanzentscheidung   Der Gerichtshof hat hinsichtlich des Beurteilungsmaßstabs für ein angemessenes Datenschutzniveau zahlreiche Kriterien aufgestellt, die nun auch Eingang in den Text der DS-GVO gefunden haben.Aus dem modifizierten Erwägungsgrund 81 zur DS-GVO folgt etwa, dass Drittstaaten ein Datenschutzniveau zu gewährleisten haben, welches dem in der EU garantierten Standard „im Wesentlichen“ entspricht. Ferner geht wohl die Formulierung des Art. 41 Abs. 2 lit. a DS-GVO-E auf die EuGH-Entscheidung zurück. Nach der erwähnten Vorschrift hat die Kommission bei der Entscheidung über die Angemessenheit des Schutzniveaus nun unter anderem auch zu bewerten: die innerstaatlichen Vorschriften einschließlich derjenigen im Bereich öffentlicher Sicherheit, Strafrecht und bzgl. des Zugriffs von stattlichen Stellen auf personenbezogene Daten, sowie im Hinblick auf wirksame und durchsetzbare Rechte einschließlich Anspruch auf rechtliches Gehör in Verwaltungs- und Gerichtsverfahren. Entsprechende Defizite bei der Prüfung solcher innerstaatlichen Regelungen hatten mit dazu beigetragen dass der EuGH die Entscheidung 2000/520/EG der Kommission kassiert hatte (Tz. 89, 95, 97).
  3. Kontinuierliche Überprüfung der Angemessenheit       Der EuGH hat der EU-Kommission zudem aufgegeben, nach Erlass von Angemessenheitsentscheidungen nach Art. 25 Abs. 6 RL 95/46/EG in regelmäßigen Abständen zu prüfen, ob die Feststellung zur Angemessenheit des Schutzniveaus in sachlicher und rechtlicher Hinsicht nach wie vor gerechtfertigt ist (Tz. 76). Eine solche Prüfung müsse jedenfalls dann erfolgen, wenn Anhaltspunkte vorliegen, die Zweifel begründen. Eine solche Prüfpflicht ist nunmehr explizit auch in die DS-GVO aufgenommen worden: Gemäß Art. 41 Abs. 3 DS-GVO-E soll in einer Durchführungsverordnung ein Verfahren für eine periodische Überprüfung solcher Entscheidungen im Höchstabstand von jeweils 4 Jahren festgelegt werden. Nach Art. 41 Abs. 4a DS-GVO-E soll die Kommission darüber hinaus generell verpflichtet sein, Entwicklungen in Drittstaaten zu beobachten, die Auswirkungen auf die Angemessenheitsentscheidungen haben können. Soweit sie infolge dessen zu dem Schluss kommt, dass der betreffende Drittstaat kein angemessenes Datenschutzniveau mehr gewährleistet, ist die Kommission nach Art. 41 Abs. 5 DS-GVO-E verpflichtet, die Angemessenheitsentscheidung – mit Wirkung für die Zukunft – zu widerrufen, auszusetzen oder zu ändern. Schließlich soll die Kommission in einem solchen Fall auch verpflichtet sein, in Konsultationen mit dem betreffenden Drittstaat einzutreten, um die Situation zu bereinigen (Art. 41 Abs. 5a DS-GVO-E).
  4. Datentransfers auf der Grundlage geeigneter Garantien            Die Vorgaben des EuGH aus dem Safe Harbor-Urteil haben auch in die Regelungen zur Übermittlung von Daten an Empfänger in Drittstaaten ohne angemessenes Datenschutzniveau Einzug gehalten. Wie bisher Art. 26 Abs. 2 RL 95/46/EG setzt Art. 41 Abs. 1 DS-GVO-E dabei voraus, dass die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet. In Konkretisierung dieser Vorgaben verlangt die Regelung in der DS-GVO nun aber explizit, dass es durchsetzbare Rechte des Betroffenen gibt und wirksame Rechtsbehelfe bestehen – Anforderungen, die der EuGH an das Vorliegen eines angemessenen Datenschutzniveaus gestellt hat (Tz. 95).
  5. Hoheitliche Datenzugriffe in Drittstaaten           Im Entwurf des Europäischen Parlaments wurde schon vor der Verkündung des Safe-Harbor-Urteils des EuGH ein neuer Art. 43a eingefügt, der nun auch – in leicht abgewandelter Fassung – in der finalen Trilogfassung enthalten ist. Nach dieser Vorschrift werden Urteile von Gerichten und Entscheidungen von Verwaltungsbehörden eines Drittstaats, die von einem für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter verlangen, personenbezogene Daten weiterzugeben, nur anerkannt oder vollstreckt wenn sie auf einem völkerrechtlichen Vertrag beruhen, wie etwa einem Rechtshilfeabkommen. Hiermit scheint der Unionsgesetzgeber Datenzugriffen ausländischer Sicherheitsbehörden bei europäischen Unternehmen einen Riegel vorschieben zu wollen.Fallen gelassen wurde die weitergehende Forderung, dass entsprechende hoheitliche Akte von der verantwortlichen Stelle an die zuständige Datenschutzbehörde gemeldet werden müssen, die über die Vereinbarkeit der beantragten Weitergabe oder Übermittlung und über eine Genehmigung im Einzelfall entscheiden sollte. Mit einer solchen Vorschrift kann freilich nur auf die Vollzugspraxis von Behörden im Geltungsbereich der DS-GVO Einfluss genommen werden, nicht dagegen auf hoheitliche Datenzugriffe bei Unternehmen, etwa Cloud-Anbietern, die in einem Drittstaat niedergelassen sind.

Auswirkungen für die Unternehmenspraxis

Die Trilogparteien haben in der final abgestimmten Fassung der DS-GVO vom 15. Dezember 2015 noch einige Vorgaben aus dem Safe Harbor-Urteil des EuGH einfließen lassen, so dass sich hieraus folgende praxisrelevanten Auswirkungen ergeben:

  • Weil der vom EuGH konkretisierte Standard für das Vorliegen eines „angemessenen Schutzniveaus“ in den Verordnungstext übernommen wurde, steht fest, dass die Anforderungen an künftige Transfermechanismen (einschließlich eines „Safe Harbor 2.0“ (oder – für den Zeitraum ab Wirksamwerden der DS-GVO in 2018 evtl. schon ein „Safe Harbor 3.0“) nicht abgesenkt werden. Das war zwar angesichts der Herleitung der Vorgaben aus der Grundrechte-Charta auch nicht zu erwarten; führt aber noch einmal deutlich vor Augen, dass die Problematik auch durch den EU-Gesetzgeber allein nicht zu lösen ist. Es wird hier auch in Zukunft ganz maßgeblich auf die rechtliche Situation im Empfängerstaat ankommen.
  • Die verschärften Anforderungen für Angemessenheitsentscheidungen der Kommission nach Art. 41 Abs. 1 DS-.GVO-E könnten zur Folge haben, dass es unter der DS-GVO weniger, zumindest weniger pauschale Angemessenheitsfeststellungen geben wird. Weil das Verfahren aufwändiger wird und nunmehr auch jeweils explizit die nationalen Regelungen zu Datenzugriffen durch Sicherheitsbehörden in die Bewertung einzubeziehen sind, erscheint es durchaus wahrscheinlich, dass schon die EU-Kommission stärker als bisher berücksichtigt, welche Daten betroffen sind, an welche Art von Datenempfängern die Übermittlungen erfolgen, etc.
  • Die kontinuierliche, proaktive Monitoringpflicht der Kommission bedingt, dass Angemessenheitsentscheidungen unter der DS-GVO regelmäßig auf den Prüfstand gestellt werden. Unternehmen werden deshalb weniger Rechtssicherheit haben, weil Entscheidungen explizit auch revidiert oder ausgesetzt werden können. Unternehmen müssen deshalb künftig evtl. eine größere Flexibilität bei der Gestaltung ihrer internationalen Datentransfers an den Tag legen.
  • Auch das neu gefasste Kapitel 5 der DS-GVO kann das Grundproblem des Umgangs mit Datenzugriffen durch ausländische Sicherheitsbehörden, die europäischen Grundrechtsstandards nicht genügen, nicht vollständig lösen. Art. 43a DS-GVO-E erschwert zwar die innergemeinschaftliche Durchsetzung solcher Datenzugriffe. An dem Umstand der grundrechtsgefährdenden Datenzugriffe selbst, ändert das freilich nichts. Es bleibt deshalb dabei, dass Kommission, nationale Aufsichtsbehörden und letztlich auch die datenexportierenden Unternehmen selbst die Verpflichtung treffen wird, jeweils im Einzelfall trotz solcher Möglichkeiten im Ausland für Datenschutz-Compliance zu sorgen.
Dr. Flemming Moos
Geposted von Dr. Flemming Moos

Dr. Flemming Moos ist auf das Datenschutz- und IT-Recht spezialisiert und berät seit über 15 Jahren nationale und internationale Unternehmen der Technologieindustrie sowie deren Kunden.

Kommentieren

Pflichtfelder sind markiert*