1.
Einleitung ^
Mit Urteil vom 16. Oktober 2015 in der Rechtssache Schrems vs. Data Protection Commissioner (Rechtssache C-362/14) hat der Europäische Gerichtshof (EuGH) die Entscheidung der Europäischen Kommission zum EU-US-Safe-Harbor-Abkommen für ungültig erklärt. Seither ist es nicht mehr zulässig, Personendaten zur Bearbeitung an US-Unternehmen zu senden, selbst wenn sie sich den Safe-Harbor-Regeln unterstellt haben.
Oftmals wird geltend gemacht, dieses Problem könne durch die Anwendung der sogenannten EU-Standardvertragsklauseln oder sogenannter «binding corporate rules» für den internationalen Datenaustausch gelöst werden, mit denen der Empfänger von Daten vertraglich zur Einhaltung der europäischen Datenschutzstandards verpflichtet wird. Die Untersuchung zeigt jedoch auf, dass diese Position so weder unter europäischem noch unter schweizerischem Recht haltbar ist.
2.
Sachverhalt und Prozessverlauf der Schrems-Entscheidung des EuGH ^
Am 25. Juni 2013 legte Schrems beim irischen Data Protection Commissioner (der Datenschutzbehörde des Landes) eine Beschwerde ein, mit der er diesen im Wesentlichen aufforderte, Facebook Ireland die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten zu untersagen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten gewährleisteten keinen ausreichenden Schutz der in diesem Land gespeicherten personenbezogenen Daten vor den Überwachungstätigkeiten der dortigen Behörden. Dabei verwies er auf die von Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten, insbesondere der National Security Agency (NSA).
Unter Bezugnahme auf das europäische Recht befand der High Court in der Folge, die Safe-Harbor-Regeln genügten weder den Anforderungen von Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (GrCh), noch den vom EuGH selber aufgestellten Grundsätzen.
3.1.
Feststellung eines angemessenen Datenschutzniveaus in einem Drittland ^
Gemäss Art. 25 Abs. 2 der europäischen Datenschutzrichtlinie (i.F. «Richtlinie») kann die Kommission feststellen, dass ein Drittland ein «angemessenes Datenschutzniveau» gewährleistet. In diesem Fall dürfen personenbezogene Daten aus den Mitgliedstaaten an dieses Drittland übermittelt werden, ohne dass zusätzliche Garantien des Empfängers der Daten (wie beispielsweise vertragliche Zusicherungen, den Datenschutz zu wahren) erforderlich sind.
3.2.
Safe-Harbor-Regulierung ^
Die Bestimmungen von Safe Harbor sind in den Anhängen der Entscheidung 2000/520/EG aufgeführt. Sie entsprechen weitgehend der Stossrichtung der Richtlinie (und auch jener des schweizerischen Datenschutzrechts): So geht es beispielsweise darum, dass die betroffenen Personen darüber informiert werden, zu welchem Zweck die Daten über sie erhoben und verwendet werden (Informationspflicht). Eine Weitergabe an Dritte ist nur mit Zustimmung zulässig sowie in Fällen der Auftragsdatenbearbeitung, d.h. wenn der Dritte im Auftrag, auf Anweisung und im Interesse der weitergebenden Organisation handelt. Personendaten dürfen ohne Einwilligung nicht in einer Weise bearbeitet werden, die mit dem ursprünglichen Erhebungszweck nicht konform ist (Zweckbindung). Insbesondere müssen die betroffenen Personen den Rechtsweg beschreiten können, um die Einhaltung der Grundsätze des «sicheren Hafens» zu erreichen.
3.3.
Beurteilung der Safe-Harbor-Regeln durch die Kommission nach den Enthüllungen von Snowden ^
In den zwei Mitteilungen COM(2013) 846 final und COM(2013) 847 final äusserte sich die Europäische Kommission nach den Enthüllungen von Edward Snowden nochmals zum Thema Safe Harbor. Sie befand, dass angesichts diverser Schwachstellen ernsthaft in Frage zu stellen sei, ob der Datenschutz ausreichend gewahrt sei, und dass das Safe-Harbor-System nicht wie bisher fortgeführt werden könne.
4.1.
Das Urteil und seine Auswirkungen in der EU ^
Das bei Safe Harbor gewählte System der Selbstzertifizierung als solches verletze zwar die europäischen Datenschutzstandards nicht, indessen beruhe die Zuverlässigkeit eines solchen Systems wesentlich auf der Schaffung wirksamer Überwachungs- und Kontrollmechanismen. Die Safe-Harbor-Regeln würden zwar US-Unternehmen binden, die personenbezogene Daten aus dem EU-Raum bearbeiten, enthielten jedoch keine hinreichenden Feststellungen zu den Massnahmen, mit denen die USA aufgrund ihres Rechts ein angemessenes Schutzniveau gewährleisten würden.6 Weil die Regelung auch keine Möglichkeit für EU-Bürger vorsehe, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, sei der Wesensgehalt des in Art. 47 GrCh verankerten Rechts auf wirksamen Rechtsschutz verletzt.7
Zudem könnten die US-Behörden auf die in die USA übermittelten personenbezogenen Daten zugreifen und sie in einer Weise bearbeiten, die von dem ursprünglichen Bearbeitungszweck nicht mehr gedeckt sei. Dieser Zugriff sei ohne irgendeine Differenzierung möglich, und verletze damit den Grundsatz, wonach der Zugriff nur auf das absolut Notwendige zu beschränken sei. Dies verletze den Wesensgehalt des durch Art. 7 GrCh garantierten Grundrechts auf Achtung des Privatlebens.8
Angesichts dieser klaren Verletzung der in der GrCh verbrieften Rechte durch das Safe-Harbor-Abkommen hob der EuGH in der Folge den Entscheid 2000/520/EG (und damit das Safe-Harbor-Abkommen) auf.9 Damit gelten die USA wieder als unsicheres Drittland.
4.2.
Auswirkungen des Urteils auf die Schweiz ^
Die Schweiz schloss im Nachgang zum Safe-Harbor-Abkommen zwischen der EU und den USA mit den USA ein analoges Safe-Harbor-Abkommen.10 Das Urteil des EuGH hat für die Schweiz als Nicht-EU-Land aber naturgemäss keine direkten Auswirkungen. Gemäss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bildet das Safe-Harbor-Abkommen Schweiz-USA jedoch mittlerweile ebenfalls keine genügende Rechtsgrundlage mehr für die datenschutzkonforme Übermittlung von Personendaten in die USA.11 Die USA wurden dementsprechend aus der Liste der Staaten gestrichen, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet, und die der EDÖB nach Art. 6 Abs. 1 DSG veröffentlicht.
5.1.
Standardklauseln und «binding corporate rules» ^
Nach Art. 26 der Richtlinie ist die Datenübermittlung in unsichere Drittländer u.a. dann zulässig, wenn der für die Bearbeitung verantwortliche Empfänger ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre abgibt. Damit sind insbesondere entsprechende Vertragsklauseln gemeint (Art. 26 Abs. 2 der Richtlinie).
Um die Rechtslage zu vereinfachen, kann die Kommission in einem bestimmten Verfahren feststellen, dass bestimmte Klauseln ausreichende Garantien gemäss Art. 31 Abs. 2 der Richtlinie bieten (Art. 26 Abs. 4 i.V.m. Art. 31 Abs. 2 der Richtlinie). Dies hat die Kommission denn auch getan, indem sie drei verschiedene Varianten von Standardvertragsklauseln veröffentlicht und für ausreichend erklärt hat.12 Die Verwendung dieser Klauseln ist heute im Datenverkehr mit unsicheren Drittländern etabliert.
Vergleichbar ist die Konstellation in internationalen Konzernverhältnissen, bei denen einzelne Konzerngesellschaften ihren Sitz in Ländern mit ungenügendem Datenschutzniveau haben: Anstatt mit jeder Konzerngesellschaft gesondert die Standardklauseln zu vereinbaren, besteht die Möglichkeit, sogenannte «binding corporate rules» in Kraft zu setzen. Dies sind konzernweit geltende Regeln, wie ein Code of Conduct für internationale Transfers von Personendaten innerhalb des Konzerns. Anders als bei den Standardklauseln machte die EU-Kommission allerdings keine klaren Vorgaben im Sinne von Standardregeln. Sie publizierte jedoch Dokumente, die die Erstellung von «binding corporate rules» erleichtern sollen.13
5.2.1.
Allgemeines ^
Die Fachwelt ist sich bisher uneins, welche Auswirkungen sich aus dem EuGH-Urteil für die Verwendung der Standardklauseln und von «binding corporate rules» ergeben.14
5.2.2.
Rechtliche Einordnung ^
Nachträgliche Unmöglichkeit führt zu einem Wegfall der vereinbarten Leistungspflicht, nicht jedoch des Schuldverhältnisses.23 Im Fall einer durch den Schuldner verschuldeten (subjektiven) nachträglichen Unmöglichkeit tritt an die Stelle der vereinbarten Leistung generell Schadenersatz,24 wobei vorliegend allerdings kaum von Verschulden auszugehen ist. Insoweit als die US-Regeln zum Zugriff von Behörden auf Personendaten erst nach der Unterzeichnung der Standardklauseln in Kraft getreten sind, fällt die Wirksamkeit der Standardklauseln hinsichtlich der statuierten datenschutzrechtlichen Pflichten ex post dahin.
Ein Datenexporteur verletzt damit selbst dann das datenschutzrechtliche Verbot des Exports in unsichere Drittländer, wenn die Standardklauseln formal korrekt unterzeichnet wurden. Entsprechend gilt trotzdem das Verbot der Übermittlung in Drittländer ohne ausreichendes Datenschutzniveau. Dasselbe gilt für Art. 6 DSG. Die Voraussetzung «ausreichender Garantien», wie sie die Richtlinie für eine Übermittlung personenbezogener Daten in die USA fordert, ist verletzt, denn es muss realistischerweise möglich sein, die Einhaltung der Verpflichtungen durchzusetzen.25
5.3.
Auswirkungen des Schrems-Urteils auf «binding corporate rules» ^
Gerade US-amerikanische Unternehmen können gezwungen sein, etwa aufgrund des USA Patricot Act Daten von ihren Servern (und von Servern von Tochterunternehmen) im EU-Gebiet an US-Behörden auszuliefern. Dabei kann ihnen zudem verboten werden, die betroffenen Personen über die Auslieferung zu informieren (gag order26).27 Damit werden auch die «binding corporate rules» unwirksam.
Lehnt das zuständige Gericht das Begehren von Microsoft ab, stellt sich die Frage, wie das Schrems-Urteil sich auf «binding corporate rules» auswirkt. Wie bereits bei den Standardklauseln stellt sich die EU-Kommission auf den Standpunkt, die Verwendung sei weiterhin rechtsgenügend, sodass sich die Parteien keinem Risiko aussetzen.29 Nach dem zu den Standardklauseln Gesagten hat diese Position allerdings kaum Bestand, kann es doch auch hier nur um den materiellen Schutz gehen und nicht nur um die reine Formalität des Erlasses solcher Regeln. Nach einem Positionspapier der deutschen Datenschutzkonferenz sollen denn auch vorläufig keine neuen «binding corporate rules» mehr genehmigt werden.30
5.4.
Konsequenzen des Urteils für die EU ^
Auch der Datenexporteur, der gestützt auf die Standardklauseln oder «binding corporate rules» Daten in die USA weitergibt, verletzt Art. 26 der Richtlinie. Ein ausreichendes Datenschutzniveau ist nicht erreichbar. Eine Datenübermittlung in die USA bleibt also verboten.31
5.5.
Situation in der Schweiz ^
Art. 6 DSG verlangt analog zu Art. 25 f. der Richtlinie ausreichende Garantien für die Übermittlung von Personendaten ins Ausland. Der EDÖB hat zu diesem Zweck ebenfalls Musterklauseln veröffentlicht, deren Verwendung einen hinreichenden Schutz garantieren soll. Er lässt zudem die Verwendung der Europäischen Standardklauseln als ausreichend zu.33
6.
Die Einigung auf einen EU-US-Datenschutzschild vom Februar 2016 ^
7.
Würdigung ^
- 1 Vgl. EuGH, Urteil vom 6. Oktober 2015, Rs. C-362/14, Schrems gegen Data Protection Commissioner, Rz. 30 ff.
- 2 Vgl. etwa Barbara Widmer, Safe-Harbor – wenn weniger nicht genügt, Digma 2015, 146 ff., 152.
- 3 Europäische Kommission, Kommission und Vereinigte Staaten einigen sich auf neuen Rahmen für die transatlantische Datenübermittlung: den EU-US-Datenschutzschild, Pressemitteilung, Strasbourg 2. Februar 2016, http://europa.eu/rapid/press-release_IP-16-216_de.htm.
- 4 Unten Rz. 43 ff.
- 5 Vgl. EuGH (FN 1), Rz. 74 ff.
- 6 Vgl. EuGH (FN 1), Rz. 79 ff.
- 7 Vgl. EuGH (FN 1), Rz. 95.
- 8 Vgl. EuGH (FN 1), Rz. 93
- 9 Zum Ganzen Widmer (FN 2), 149 f.; Jürgen Kühling/Johanna Heberlein, EuGH «reloaded»: «unsafe harbor» USA vs. «Datenfestung» EU, NVwZ 2016, 7 ff., 9 f.
- 10 EDÖB, Abschluss eines Safe-Harbor-Abkommens Schweiz-USA, http://www.edoeb.admin.ch/dokumentation/00153/00262/00278/index.html?lang=de.
- 11 EDÖB, Nach Safe-Harbor-Urteil: Hinweise zur Datenübermittlung in die USA, http://www.edoeb.admin.ch/datenschutz/00626/00753/00970/01320/index.html?lang=de.
- 12 Entscheidungen 2001/497/EG, 2004/915/EG und 2010/87/EU; die ersteren beiden Versionen können verwendet werden bei zwei Bearbeitern mit gleichgerichteten Interessen (Controllers), bei denen einer in einem unsicheren Drittland Sitz hat, die letztere Version bei Auftragsdatenbearbeitung (Bearbeiter im unsicheren Ausland). Zum Ganzen etwa Gerald Spindler/Fabian Schuster, Recht der elektronischen Medien, 3. A. München 2015, N 20 zu § 4c BDSG.
- 13 http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/tools/index_en.htm; Spindler/Schuster (FN 12), N 27 f.
- 14 Übersicht für Deutschland etwa bei Kühling/Heberlein (FN 9), 10 f.; kritisch zur Wirksamkeit der Klauseln etwa Nicolas Passadelis, Das Safe Harbor-Urteil des Gerichtshofes der Europäischen Union – Urknall oder Sturm im Wasserglas, in: Jusletter 19. Oktober 2015, Rz. 33; Widmer (FN 2), 154; für die Wirksamkeit der Klauseln David Rosenthal, Aus der Sicht der Unternehmen: Was gilt jetzt? Was muss jetzt getan werden? (Podcast), in: Jusletter 7. Dezember 2015.
- 15 Communication from the Commission to the European Parliament and the Council on the Transfer of Personal Data from the EU to the USA under Directive 95/46/EC following the Judgment by the Court of Justice in Case C-362/14, COM(2015) 566 final; vgl. auch die Position der Artikel-29-Arbeitsgruppe vom 16. Oktober 2015, http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf.
- 16 Vgl. FN 14.
- 17 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Positionspapier des ULD zum Safe-Harbor-Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362/14, https://www.datenschutzzentrum.de/artikel/967-.html.
- 18 Vgl. EDÖB (FN 11).
- 19 Zur Simulation allgemein für die Schweiz BSK-Wiegand, N 51, 126 zu Art. 18 OR; Gauch/Schluep et al., Schweizerisches Obligationenrecht, Allgemeiner Teil, 10. A. Zürich, N 836; für Deutschland § 117 BGB. Vgl. etwa auch Art. 1321 des französischen Code Civil, § 916 des österreichischen ABGB; sowie Art. 6:103 der Principles of European Contract Law der Lando-Kommission sowie Study Group on a European Civil Code/Research Group on EC Private Law, Principles, Definitions and Model Rules of European Private Law, Draft Common Frame of Reference, München 2009, II. – 9:201.
- 20 Vgl. statt vieler Claire Huguenin, Obligationenrecht, 2. A. 2014, N 198.
- 21 Vgl. schon Bucher, OR AT, Schweizerisches Obligationenrecht Allgemeiner Teil, 2. A. 1988, 249.
- 22 Vgl. bereits Bucher (FN 21), 249; BSK-Huguenin/Meise, N 48 ff. zu Art. 19/20 OR.
- 23 Vgl. beispielsweise für die Schweiz Art. 119 OR.; Gauch/Schluep et al. (FN 19 NOTEREF _Ref441500486 \h ), N 2531 ff.
- 24 Bucher (FN 21), a.a.O., 417.
- 25 David Rosenthal/Yvonne Jöhri, Handkommentar zum Datenschutzgesetz, Zürich 2008, N 40 zu Art. 6 DSG; vgl. auch Passadelis (FN 14), N 36.
- 26 Eine vor allem im Common Law bekannte gerichtliche oder adminstrative «Maulkorb»- Verfügung, mit der die Offenbarung von Informationen verhindert werden soll.
- 27 Peter Schüler, Azur-magenta schwarz-rot-gold, Microsoft und T-Systems kreieren eine deutsche Cloud, c’t 26/2015, 44 (Kasten).
- 28 U.S. Court of Appeals for the Second Circuit, Fall-Nr. 14-2985-cv – Microsoft v. U. S.; vgl. etwa Widmer (FN 2), 152; Kühling/Heberlein (FN 9), 11.
- 29 Kommission (FN 15), 7.
- 30 Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder, Positionspapier, https://www.datenschutz.hessen.de/ft-europa.htm#entry4521, Ziff. 7; Kühling/Heberlein (FN 9), 10.
- 31 Vgl. auch ULD (FN 17), Ziff. 4.
- 32 So auch Passadelis (FN 14), N 37.
- 33 Vgl. EDÖB, Übermittlung ins Ausland, http://www.edoeb.admin.ch/datenschutz/00626/00753/index.html?lang=de; genau besehen müssen die Parteien zusätzlich vereinbaren, dass auch Daten von juristischen Personen den Klauseln unterstehen, und nicht nur natürliche Personen, weil in der Schweiz auch die Personendaten juristischer Personen geschützt sind.
- 34 Vgl. EDÖB (FN 11).
- 35 Vgl. Europäische Kommission (FN 3).
- 36 Axel Kannenberg (axk), «Privacy Shield», Bürgerrechtler schiessen scharf gegen bgeplanten Datenschutzsschild, Heise Newsticker 3. Februar 2016, http://www.heise.de/newsticker/meldung/Privacy-Shield-Buergerrechtler-schiessen-scharf-gegen-geplanten-Datenschutzschild-3093494.html, m.H.
- 37 Peter Schaar, Ist das «Privacy Shield» endlich ein sicherer Hafen?, Heise Newsticker vom 2. Februar 2016, http://www.heise.de/newsticker/meldung/Peter-Schaar-Ist-das-Privacy-Shield-endlich-ein-sicherer-Hafen-3091735.html.
- 38 Erich Möchel, Bei «Safe Harbour 2» droht EU-Kapitulation, http://fm4.orf.at/stories/1767131/.
- 39 Marc Störing, Schrems greift Facebook erneut an, in: c’t 27/2015, 45.
- 40 Vgl. auch Axel Spiess, Art. 29-Datenschutzgruppe: Stellungnahme zu Safe Harbor, ZD-Aktuell 2015, 08455.