Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) haben, im Zuge der Enthüllungen um NSA-Überwachungen, am 24.7.2013 eine Pressemitteilung veröffentlicht, deren Aussage jetzt bei vielen deutschen und US-amerikanischen Unternehmen für Irritationen sorgt. Die DSK hat angekündigt keine Datenübermittlung mehr in Drittstaaten, insbesondere in die USA im Rahmen des Abkommens Safe Harbor, zu genehmigen.
Datenschutzbehörden wollen Safe Harbor überprüfen
Wortwörtlich heißt es in der Presseerklärung, die DSK „fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv i.S.d. genannten Grundsätze begrenzt wird. Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (z.B. auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.“
Worauf sich die Datenschutzbehörden berufen
Die oben zitierte Ankündigung sorgte für ein großes mediales Echo, wurde aber teilweise problematisch interpretiert bzw. nicht richtig erläutert.
Prinzipiell berufen sich die deutschen Datenschutzbehörden auf einen Passus der Entscheidung 2000/520/EG gem. der RL 95/46/EG des Europäischen Parlaments und des Rates, der es nationalen Behörden erlaubt im Rahmen ihrer Befugnisse tätig zu werden, wenn „eine hohe Wahrscheinlichkeit besteht, dass die Grundsätze verletzt werden; wenn Grund zur Annahme besteht, dass die jeweilige Durchsetzungsinstanz nicht rechtzeitig angemessene Maßnahmen ergreift bzw. ergreifen wird, um den Fall zu lösen [und] wenn die fortgesetzte Datenübermittlung für die betroffenen Personen das unmittelbar bevorstehende Risiko eines schweren Schadens schaffen würde […]“. Zu den Befugnissen gehört auch das Unterbinden der Datenübermittlung, bei der Verarbeitung personenbezogener Daten von Privaten, wenn der Datenempfänger dem Safe-Harbor-Abkommen beigetreten ist (Art. 3 E 2000/520/EG). Die deutschen Datenschutzbehörden sehen offenkundig in der Überwachung des Datenverkehrs durch NSA, GCHQ und anderen staatlichen Stellen eine solche „hohe Wahrscheinlichkeit“.
Die Datenschutzbehörden vertreten eine strittige Auffassung
Im Rahmen der Entscheidung erging ein Anhang mit diversen Grundsätzen, die von den Unternehmen zu beachten seien. Es wird daher erwartet, dass die beigetretenen Unternehmen diese Grundsätze beachten und es wird davon ausgegangen, dass besagte Grundsätze für alle, unter die Richtlinie (RL) 95/46/EG fallende Tätigkeiten einen angemessen Datenschutz i.S.d. Art. 25 Abs. 2 dieser Richtlinie gewährleisten (Art. 1 E 2000/520/EG). Dies sei als abschließend zu verstehen, eine weitreichende Interpretation scheidet damit aus. Folglich wird von den Datenschutzbehörden nicht die Auslegung dieser Richtlinie und von Safe Harbor als Risiko eingestuft, sondern Safe Harbor insgesamt.
Datenschutzbehörden könnten ihre Befugnisse überschreiten
Problematisch ist hier dreierlei. Zum einen sieht die RL prinzipiell die Möglichkeit einer Einschränkung der Grundsätze vor, wenn die nationale Sicherheit, das öffentliche Interesse oder die Umsetzung von Gesetzen dies erforderlich machen (Anhang 1 zu Art. 1 E 2000/520/EG). Weiterhin ist es höchst zweifelhaft, dass durch die RL nationalen Datenschutzbehörden eine rechtsverbindliche Möglichkeit zur Interpretation von US-Recht bzw. Europarecht im Rahmen des jahrelang ausgehandelten Safe-Harbor-Abkommens eingeräumt werden soll. Schlussendlich berufen sich die Datenschutzbehörden auf den Umkehrschluss von § 4c Abs. 1 BDSG, wonach eine Übermittlung personenbezogener Daten – bei Tätigkeiten, die zumindest teilweise in den Anwendungsbereich des Europarechts fallen – unzulässig ist, wenn ein angemessenes Datenschutzniveau nicht gewährleistet ist. Dieses Niveau wird durch Safe Harbor rechtlich durch die Vermutung des Art. 1 E 2000/520/EG (s.o.) erbracht. Somit zielt auch hier die DSK mit ihrer Kritik auf Safe Harbor als Ganzes, was verdeutlicht, dass die Vermutung von der DSK in der Praxis als nicht bestätigt betrachtet wird.
Was deutsche Datenschutzbehörden umsetzen können
Die generelle Untersagung des Datentransfers in die USA durch deutsche Datenschutzbehörden ist rechtlich abwegig, nicht haltbar und wird keiner gerichtlichen Überprüfung standhalten. Allerdings ist zu beachten, dass Binding Corporate Rules (BCR) – als betriebliche Datenschutzregelung – der Genehmigung der verantwortlichen Datenschutzbehörde bedürfen. Es ist daher davon auszugehen, dass bei BCRs zunehmend die Übermittlung in die USA in den Fokus der Behörden gerät und detailliert überprüft werden wird. Eine zunehmende Ablehnung von BCRs ist daher möglich. Um dies zu vermeiden sollten konzernintern BCRs, im Hinblick auf einen Datentransfer in die USA, gut vorbereitet werden und ein hohes Datenschutzniveau aufweisen. Eine rechtliche Handhabe zum vollmundig angekündigten weitreichenden „Genehmigungsstopp“ gibt es aber nicht.