Lange war diskutiert worden, ob ein grenzüberschreitender Datentransfer in die USA erleichtert auf der Grundlage des § 4b Abs. 2 Satz 2 und Abs. 3 BDSG möglich ist, weil ein „angemessenes Schutzniveau“ besteht, wenn sich die dortigen Unternehmen den „Safe Harbour Privacy Principles“ (SHPP) der FTC (Federal Trade Commission)  unterworfen haben. Der EUGH hat im Urteil vom 6.10.2015 (Rs. C 362/14- betreffend den Facebook Aktivisten Maximilian Schrems, voller Wortlaut hier) entscheiden, das das nicht mehr der Fall ist. Die USA sind kein sicheres Drittland mit einem der EU entsprechenden Datenschutzstandard.
Das war aufgrund einer Entscheidung der EU-Kommission vom 26.7.2000 (2000/520, Abl. EG Nr. L 215/7 vom 25.8.2000) bis jetzt anders gesehen worden. Der internationale Datenfluss in die USA kann nur noch über die Standardvertragsklauseln der EU-Kommission oder nach den Voraussetzungen des § 4c BDSG erfolgen. Das müssen die nationalen Datenschutzbehörden prüfen, so der EuGH heute. Die Entscheidung der Kommission sei ungültig. Dies nicht nur, weil die SHPP nicht die US-Behörden verpflichten würden, sondern nur die Unternehmen selbst, sondern auch deshalb, weil die Kommission nicht die Befugnis gehabt habe, die Befugnisse der nationalen Datenschutzbehörden so zu beschränken, wie dies im Jahr 2000 geschehen war.
Bedenken hatte bereits der Düsseldorfer Kreis – ein Zusammenschluss der Datenschutz-Aufsichtsbehörden – im Jahr 2010 geäußert. Im März 2015 hatte die Konferenz der Datenschutzbeauftragten des Bundes und der Länder darauf hingewiesen, dass die Safe-Harbor-Entscheidung der EU-Kommission keinen ausreichenden Schutz für das Grundrecht auf Datenschutz bei der Ãœbermittlung personenbezogener Daten in die USA biete.
Mehr als sieben Jahre alte Zertifizierungen waren ohnehin nicht mehr anerkannt worden. Auch in der Literatur waren erhebliche Zweifel geäußert worden (u.a. Forst, Der Konzern 2012, 170, 184), weil in den USA eine bloße Selbstverpflichtung genügt und keine wirkliche Kontrolle stattfindet. Lesenswert sind in diesem Zusammenhang auch die Schlussanträge des Generalanwalts Yves Bot vom 23.9.2015 zu den rechtlichen und tatsächlichen Veränderungen gegenüber den Prämissen der Entscheidung der EU-Kommission im Jahr 2000. Er hat u.a. ausgeführt, dass die EU-Kommission gemäß Art. 25 Abs. 6 der Datenschutzrichtlinie 95/46/EG vom 24.10.1995 ein Drittland (d.h. ein Land außerhalb des Europäischen Wirtschaftsraums EWR) nur dann datenschutzrechtlich „sicher“ erklären könne, wenn ein dem europäischen Standard vergleichbares Datenschutzniveau gewährleistet werde. Angesichts der anlasslosen Massenüberwachung der Telekommunikationsverbindungen von EU-Bürgern sei das nicht so, weil viele der Safe-Harbour verpflichteten Unternehmen bewusst mit den US-Behörden zusammengearbeitet hätten. Verletzt seien damit Artikel 7 und 8 der EU-Grundrechtecharta, weshalb die Safe-Harbour Entscheidung aus dem Jahr 2000 „invalid“ sei.
Wer sich mit den Folgen der Entscheidung des EuGH für den Datentransfer allgemein beschäftigen möchte, sei auf den Blog in CRonline von Moos hingewiesen. Eins scheint mir sicher: Die Kompetenz der nationalen Datenschutzbehörden im Hinblick auf die Prüfung des Drittstaaten-Datenverkehrs ist gestärkt. Personaldatentransfer in die USA bedarf weitergehender Regelungen als bisher, insoweit wird bei manchen Betriebsvereinbarungen die Geschäftsgrundlage entfallen sein.
PS: Einen wunderbaren Kommentar aus nichtjuristischer Sicht finden Sie bei Spiegel Online.
