In dem aus dem Jahr 2000 stammenden Safe-Harbour-Abkommen ist bekanntlich festgelegt, unter welchen Voraussetzungen Nutzerdaten aus Europa in den USA verarbeitet werden dürfen. Am 6. Oktober 2015 (C-362/14) erklärte der EuGH das Safe-Harbour-Abkommen für ungültig. Ein Safe-Harbour-zertifiziertes Unternehmen habe kein nach EU-Standards ausreichend hohes Datenschutzniveau. Die Gültigkeit erstrecke sich lediglich auf amerikanische Unternehmen, die sich dem Abkommen unterwerfen, nicht jedoch auf US-Behörden und Geheimdienste. Aus Gründen der nationalen Sicherheit oder des öffentlichen Interesses der Vereinigten Staaten konnte von einer Einhaltung des Abkommens abgesehen werden, was teilweise zu einer uferlosen Auslegung führte.
Status Quo: Keine transatlantische Datenübermittlung
Spätestens seit dem Judikat des EuGH gab es also Regelungsbedarf. Nach der Entscheidung dürfen Unternehmen allein auf der Grundlage des Abkommens keine (Arbeitnehmer-)Daten mehr in die USA übermitteln. Aufgrund der Einordnung der USA als „unsicherer Drittstaat“ ist ein anderer Erlaubnistatbestand zur Übermittlung von personenbezogenen Daten nötig. In Betracht kommen Datenvermittlungsverträge. Sie müssen mit den Datenschutzbehörden abgestimmt werden. Die deutschen Behörden haben jedoch angekündigt, zunächst keine weiteren Übermittlungen auf der Grundlage von Datenübermittlungsverträgen zu genehmigen. Daneben besteht die Möglichkeit, EU-Standardvertragsklauseln einzusetzen. Art. 26 Abs. 4 der Datenschutzrichtlinie ermächtigt die EU-Kommission, Standardvertragsklauseln für den Datentransfer in Länder zu entwickeln, die kein angemessenes Datenschutzniveau gewährleisten.
Standardvertragsklauseln können zwar schnell abgeschlossen werden. Sie sind jedoch auf die Übermittlung von Daten zwischen lediglich zwei Vertragsparteien ausgelegt und erlauben keine flexiblen Anpassungen. Unternehmen können entsprechende Regelungen ferner durch Binding Corporate Rules vereinbaren. Dies stellt eine langfristige Alternative zum Safe-Harbour-Abkommen dar. Binding Corporate Rules bieten eine hohe Flexibilität und Rechtssicherheit. Unternehmen können Arbeitnehmern zusichern, ihre Rechte vor nationalen Gerichten geltend zu machen. Aber auch Binding Corporate Rules erfordern einen enormen administrativen Aufwand. Die nötige Abstimmung mit der deutschen Datenaufsichtsbehörde würde sich aktuell wie im Rahmen von Datenvermittlungsverträgen als kompliziert darstellen. Einwilligungen von betroffenen Arbeitnehmern können allenfalls in Einzelfällen ein geeignetes Mittel sein, um die Übermittlung personenbezogener Daten zu gewährleisten.
Zugriffe nur noch in Ausnahmefällen
Somit besteht Handlungsbedarf und Rechtsunsicherheit. Vor diesem Hintergrund beschlossen am 2. Februar 2016 die Verhandlungsführer der EU und der USA, dass eine Neuregelung mit dem Namen „EU-US Privacy Shield“ das Abkommen ersetzen soll. Ein Zugriff auf Daten europäischer Nutzer aus Gründen der nationalen Sicherheit soll künftig von Bedingungen und Kontrollmechanismen abhängen. Zugriffe dürfen nur noch in Ausnahmefällen erfolgen und einen notwendigen und verhältnismäßigen Umfang nicht übersteigen. Die Einhaltung der Regeln soll jährlich überprüft werden. Bei der Verarbeitung von Personaldaten sollen US-Unternehmen zudem verpflichtet sein, Entscheidungen europäischer Datenschutzbehörden zu beachten. Daneben sollen Abhilfemöglichkeiten für Bürger, die sich in ihren Datenschutzrechten beeinträchtigt fühlen, geschaffen werden. Die US-Unternehmen sind verpflichtet, innerhalb gewisser Fristen auf Beschwerden zu reagieren. Für Beschwerden gegen US Geheimdienste soll ein Ombudsmann zuständig sein. Zudem soll EU-Bürgern der Zugang zu US-Gerichten möglich sein, wenn sie ihre Rechte durch in den USA ansässige Firmen verletzt sehen. In den kommenden Wochen soll ein entsprechender Entwurf vorliegen.
Schonfrist für Unternehmen
Für die Übergangszeit bis zur Verabschiedung eines neuen Abkommens gewähren Europas Datenschützer eine „Schonfrist“ für Unternehmen, die ihre Datenübermittlung weiterhin auf Safe-Harbour stützten. Von Bußgeldern für Verstöße soll in dieser Zeit abgesehen werden.
Kurzfristig droht daher zumindest aus dieser Ecke kein Ungemach – aber ob der „Privacy Shield“ die Rechtslage verbindlich klären wird, muss offen bleiben. Erste Stimmen bezweifeln das bereits. Die finale Entscheidung dürfte einmal mehr dem EuGH vorbehalten bleiben. Für die Praxis ist das in einer solch bedeutsamen Frage mehr als unbefriedigend.
Details in der vollständigen › Pressemitteilung und die › Rede von Kommissarin Jourova vor dem Justizausschuss des Europäischen Parlamentes.
Dieser Beitrag wurde verfasst vom Rechtsanwalt und Fachanwalt für Arbeitsrecht, Professor Stefan Lunk von der Kanzlei Latham & Watkins.