EuGH-Urteil

Auswirkungen auf das Aus von Safe Harbor

27.10.2015
Von  und
 Partner und Fachanwalt für Arbeitsrecht im Düsseldorfer Büro von Deloitte Legal
 Rechtsanwalt im Düsseldorfer Büro von Deloitte Legal
International tätige (Internet-) Unternehmen stehen vor neuen rechtlichen Herausforderungen und müssen die Einhaltung der europäischen Datensicherheitsstandards anders gewährleisten.
Der EuGH hat das rund 15 Jahre alte Safe-Harbor-Abkommen gekippt, der den Datenaustausch mit den USA regelt.
Der EuGH hat das rund 15 Jahre alte Safe-Harbor-Abkommen gekippt, der den Datenaustausch mit den USA regelt.
Foto: U.S. Department of Commerce

Das Urteil des EuGH verändert nicht nur die Übermittlung personenbezogener Informationen von Kunden oder Internetnutzern; es betrifft auch den Umgang mit Arbeitnehmerdaten. Denn oftmals transferieren europäische und US-amerikanische Gesellschaften diese zur Speicherung und Verarbeitung - insbesondere innerhalb eines Konzernverbunds.

Auswirkungen auf personenbezogene Arbeitnehmerdaten

Gemäß der geltenden EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) dürfen personenbezogene Daten von Kunden, Internetnutzern oder Arbeitnehmern zwar an andere Stellen (z.B. Unternehmen) im Ausland übermittelt werden. Voraussetzung ist aber die Zustimmung der betroffenen Person oder aber eine entsprechende vertragliche Regelung zwischen Sender und Empfänger. Zusätzlich müssen die personenbezogenen Informationen durch den Empfänger ausreichend geschützt werden. Entscheidend ist dabei, dass im Zielstaat ein Datenschutzniveau gewährleistet ist, das dem der EU entspricht.

Ein solch hohes Datenschutzniveau existiert in den USA allerdings nicht. Um den Datenaustausch mit den USA zu erleichtern, hatte die EU-Kommission im Jahr 2000 das so genannte Safe-Harbor-Abkommen (Entscheidung 2000/520/EG) verabschiedet. Danach konnten sich US-Unternehmen vertraglich verpflichten, bei ihrer Datenverarbeitung die "Safe-Harbor-Principles" zu befolgen und sich beim US-Handelsministerium entsprechend zertifizieren lassen.

War ein US-amerikanisches Unternehmen "Safe-Harbor"-zertifiziert, konnten personenbezogene Daten von Kunden, Internetnutzern und Arbeitnehmern in der Vergangenheit ohne weitere Erfordernisse (z.B. Einwilligung der betroffenen Person) von Staaten innerhalb der EU in die USA übermittelt und dort gespeichert sowie verarbeitet werden. Durch die Entscheidung des EuGH ist nun eine andere rechtliche Grundlage notwendig - andernfalls drohen zivilrechtliche oder sogar strafrechtliche Sanktionen.

Einwilligungserklärungen erforderlich

Die einzige rechtssichere Möglichkeit eines Transfers personenbezogener Daten in die USA ist momentan die ausdrückliche Einwilligung der betreffenden Person, ihre Daten zu übermitteln. Für die Rechtswirksamkeit ist entscheidend, dass der Kunde, der Internetnutzer oder der Arbeitnehmer vor deren Abgabe über den genauen Verwendungszweck der Daten sowie die Reichweite der Datenverarbeitung und -speicherung informiert wird. Es bedarf also ab sofort einer qualifizierten Übertragungseinwilligung für personenbezogene Daten. Bestehende Einwilligungserklärungen müssen daraufhin geprüft werden und viele Unternehmen müssen neue Datenaustauschprozesse mit den USA aufzusetzen - sei es auf Kunden- oder auf Arbeitnehmerseite.

Obgleich diese Vorgehensweise oftmals mit einem hohen administrativen Aufwand verbunden sein wird und Unternehmen, welche auf einen Datentransfer in die USA angewiesen sind, vor große praktische Herausforderungen stellt, ist die Einholung solcher qualifizierter Einwilligungen derzeit die einzige rechtssichere Möglichkeit eines Transfers personenbezogener Daten in die USA. Denn vor dem Hintergrund des EuGH-Urteils ist momentan völlig ungewiss und offen, welche datenschutzrechtlichen Anforderungen an anderweitige Gestaltungsoptionen unter Berücksichtigung der geltenden EU-Datenschutzrichtlinie zu stellen sind.