Montag, 12. Oktober 2015

Das Ende des unsicheren Hafens


"Safe Harbour" - dieses wohl nicht umsonst positiv konnotierte Wort wurde in der Vergangenheit verwendet, wenn im Rahmen des Auftragsdatenverarbeitung Kundendaten nach Übersee übertragen werden sollten - ohne das der Kunde hierzu seine Zustimmung gegeben hätte. Kurz skizziert sah das Konstrukt wie folgt aus:
Wir hier in der EU haben ein hohes Datenschutzniveau. So sieht es jedenfalls des Gesetzgeber. Daten können daher innerhalb der EU ohne große Schwierigkeiten von einem Konzernteil oder Auftragnehmer zum anderen geschickt werden, ADV-Vertrag vorausgesetzt. Anders sieht es bei "unsicheren Drittstaaten" aus, z.B. den USA oder auch in anderen "Übersee-Staaten" - hier hat die Datenübermittlung grundsätzlich zu unterbleiben, § 4b BDSG, es sei denn....
Tja, es sei denn, ein "sicherer Hafen" liegt vor. Das "safe harbour"-Abkommen umfaßte bestimmte Großunternehmen der USA und einiger anderer Staaten, die sich freiwillig zu einem der EU vergleichbaren Datenschutzniveau verpflichtet hatten und sich in eine Liste bei der US-Handelsbehörde eintragen lassen mußten. Diese könnte dann theoretisch Kontrollen durchführen. Tat sie aber nicht. Dieses ganze Prozedere führte wiederum zu einer Ausnahme gem. § 4 c II BDSG.
Seit Juli 2013 war in Deutschland "safe harbour" in der Schwebe: Die Datenschutzbehörden "behielten sich das Recht vor, „keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste)“ zu erteilen und zu prüfen, „ob solche Datenübermittlungen auf der Grundlage des Safe Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind."

Nun, seit dem 06.10.2015, ist der Hafen vollständig geschlossen. Der EuGH hat festgestellt, daß

"...angesichts der besonderen Bedeutung des Schutzes personenbezogener Daten für das Grundrecht auf Achtung der Privatsphäre und der großen Zahl von Personen, deren Grundrechte im Fall der Übermittlung personenbezogener Daten in ein Drittland, das kein angemessenes Schutzniveau gewährleistet, verletzt werden können, der Wertungsspielraum der Kommission hinsichtlich der Angemessenheit des durch ein Drittland gewährleisteten Schutzniveaus eingeschränkt ist, so dass eine strikte Kontrolle der Anforderungen vorzunehmen ist, die sich aus Art. 25 der Richtlinie 95/46 im Licht der Charta ergeben.

Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens. 
Desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz. Nach Art. 47 Abs. 1 der Charta hat nämlich
jede Person, deren durch das Recht der Union garantierte Rechte oder Freiheiten verletzt worden
sind, das Recht, nach Maßgabe der in diesem Artikel vorgesehenen Bedingungen bei einem Gericht
einen wirksamen Rechtsbehelf einzulegen. Insoweit ist schon das Vorhandensein einer wirksamen, zur Gewährleistung der Einhaltung des Unionsrechts dienenden gerichtlichen Kontrolle dem Wesen eines Rechtsstaats inhärent.“
– Europäischer Gerichtshof, Urteil vom 6. Oktober 2015 in der Rechtssache C‑362/14, Rdnr. 78, 94, 95, [16]

Das war's jetzt? Nicht ganz. Noch gibt es ein paar "work-arounds", wie die ITler so sagen. Eine davon heißt "Standartvertragsklauseln", die andere "binding corporate rules". Und wo der Weg dann weiter hin geht, das wird die nächste Zeit zeigen.

Quellen / Links

Heise: Das Ende des sicheren Hafens

Spiegel: Safe Harbour ungültig

Urteil des EuGH

Spiegel Kolumne Sascha Lobo - "Probleme werden nur verschoben"