Jusletter IT

Internationaler Datenaustausch: Entwicklungen nach dem Ende von Safe Harbor

  • Author: Simon Schlauri
  • Category: News
  • Region: Switzerland
  • Field of law: Data Protection
  • Citation: Simon Schlauri, Internationaler Datenaustausch: Entwicklungen nach dem Ende von Safe Harbor, in: Jusletter IT 25 February 2016

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Sachverhalt und Prozessverlauf der Schrems-Entscheidung des EuGH
  • 3. Die Safe-Harbor-Regelung gemäss Entscheidung 2000/520 der Europäischen Kommission
  • 3.1. Feststellung eines angemessenen Datenschutzniveaus in einem Drittland
  • 3.2. Safe-Harbor-Regulierung
  • 3.3. Beurteilung der Safe-Harbor-Regeln durch die Kommission nach den Enthüllungen von Snowden
  • 4. Das Urteil in Sachen Schrems vs. Data Protection Commissioner
  • 4.1. Das Urteil und seine Auswirkungen in der EU
  • 4.2. Auswirkungen des Urteils auf die Schweiz
  • 5. Die Standardklauseln und «binding corporate rules» als Alternative?
  • 5.1. Standardklauseln und «binding corporate rules»
  • 5.2. Auswirkungen des Schrems-Urteils auf die Wirksamkeit der Standardklauseln
  • 5.2.1. Allgemeines
  • 5.2.2. Rechtliche Einordnung
  • 5.3. Auswirkungen des Schrems-Urteils auf «binding corporate rules»
  • 5.4. Konsequenzen des Urteils für die EU
  • 5.5. Situation in der Schweiz
  • 6. Die Einigung auf einen EU-US-Datenschutzschild vom Februar 2016
  • 7. Würdigung

1.

Einleitung ^

[1]

Mit Urteil vom 16. Oktober 2015 in der Rechtssache Schrems vs. Data Protection Commissioner (Rechtssache C-362/14) hat der Europäische Gerichtshof (EuGH) die Entscheidung der Europäischen Kommission zum EU-US-Safe-Harbor-Abkommen für ungültig erklärt. Seither ist es nicht mehr zulässig, Personendaten zur Bearbeitung an US-Unternehmen zu senden, selbst wenn sie sich den Safe-Harbor-Regeln unterstellt haben.

[2]

Oftmals wird geltend gemacht, dieses Problem könne durch die Anwendung der sogenannten EU-Standardvertragsklauseln oder sogenannter «binding corporate rules» für den internationalen Datenaustausch gelöst werden, mit denen der Empfänger von Daten vertraglich zur Einhaltung der europäischen Datenschutzstandards verpflichtet wird. Die Untersuchung zeigt jedoch auf, dass diese Position so weder unter europäischem noch unter schweizerischem Recht haltbar ist.

[3]
Ob die von der Europäischen Kommission im Februar 2016 verkündete angebliche Einigung auf ein neues Safe-Harbor-Abkommen zwischen EU und USA («Privacy Shield») Bestand haben kann, ist derzeit noch umstritten. Nach dem Ablauf einer von den nationalen europäischen Datenschutzbehörden gesetzten Übergangsfrist bis Ende Januar 2016 dürfte daher vorläufig ein Verzicht auf die Übermittlung von Personendaten an Unternehmen mit Sitz in den USA bzw. aus den USA kontrollierte Unternehmen die einzige konsequente Reaktion sein. Die Weiterführung der bisherigen Praxis der Übermittlung birgt Risiken.

2.

Sachverhalt und Prozessverlauf der Schrems-Entscheidung des EuGH ^

[4]
Maximilian Schrems, ein in Österreich wohnhafter österreichischer Staatsangehöriger, nutzt seit 2008 das soziale Netzwerk Facebook. Alle im Gebiet der EU wohnhaften Personen, die Facebook nutzen wollen, müssen bei ihrer Anmeldung einen Vertrag mit Facebook Ireland abschliessen, einer Tochtergesellschaft der in den Vereinigten Staaten ansässigen Facebook Inc. Die personenbezogenen Daten der im Unionsgebiet wohnhaften Nutzer von Facebook werden ganz oder teilweise an Server der Facebook Inc., die sich in den Vereinigten Staaten befinden, übermittelt und dort bearbeitet.
[5]

Am 25. Juni 2013 legte Schrems beim irischen Data Protection Commissioner (der Datenschutzbehörde des Landes) eine Beschwerde ein, mit der er diesen im Wesentlichen aufforderte, Facebook Ireland die Übermittlung seiner personenbezogenen Daten in die Vereinigten Staaten zu untersagen. Er machte geltend, das Recht und die Praxis der Vereinigten Staaten gewährleisteten keinen ausreichenden Schutz der in diesem Land gespeicherten personenbezogenen Daten vor den Überwachungstätigkeiten der dortigen Behörden. Dabei verwies er auf die von Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten, insbesondere der National Security Agency (NSA).

[6]
Der Commissioner wies die Beschwerde von Schrems als unbegründet zurück. Er war der Ansicht, dass es keine Beweise für einen Zugriff der NSA auf die personenbezogenen Daten von Schrems gebe.
[7]
Schrems erhob in der Folge Klage beim irischen High Court. Dieser stellte fest, dass die elektronische Überwachung und Erfassung der aus der Union in die Vereinigten Staaten übermittelten personenbezogenen Daten zwar dem öffentlichem Interesse diene. Die Enthüllungen von Snowden hätten jedoch gezeigt, dass die NSA und andere Bundesbehörden erhebliche Exzesse begangen hätten. Die betroffenen Bürger der EU hätten insbesondere keinen wirksamen Anspruch auf rechtliches Gehör, denn die Überwachung der Handlungen der Nachrichtendienste finde ohne Miteinbeziehung der betroffenen Personen und unter Geheimhaltung statt. Das irische Recht verbiete die Übermittlung personenbezogener Daten ins Ausland, es sei denn, das betreffende Drittland gewährleiste ein angemessenes Schutzniveau der Privatsphäre sowie der Grundrechte und Grundfreiheiten. Der massenhafte und undifferenzierte Zugriff auf personenbezogene Daten verstosse offenkundig gegen den Grundsatz der Verhältnismässigkeit und die durch die irische Verfassung geschützten Grundwerte.1
[8]

Unter Bezugnahme auf das europäische Recht befand der High Court in der Folge, die Safe-Harbor-Regeln genügten weder den Anforderungen von Art. 7 und 8 der Charta der Grundrechte der Europäischen Union (GrCh), noch den vom EuGH selber aufgestellten Grundsätzen.

[9]
Weil der irische High Court als nationales Gericht die europarechtlichen Fragen aus Gründen der Rechtsvereinheitlichung und Rechtssicherheit nicht selber beantworten darf, legte er die Sache dem EuGH zur Vorabentscheidung vor.

3.

Die Safe-Harbor-Regelung gemäss Entscheidung 2000/520 der Europäischen Kommission ^

3.1.

Feststellung eines angemessenen Datenschutzniveaus in einem Drittland ^

[10]
Zunächst ist auf die durch den EuGH geprüften Safe-Harbor-Regeln (Entscheidung 2000/520/EG) einzugehen.
[11]

Gemäss Art. 25 Abs. 2 der europäischen Datenschutzrichtlinie (i.F. «Richtlinie») kann die Kommission feststellen, dass ein Drittland ein «angemessenes Datenschutzniveau» gewährleistet. In diesem Fall dürfen personenbezogene Daten aus den Mitgliedstaaten an dieses Drittland übermittelt werden, ohne dass zusätzliche Garantien des Empfängers der Daten (wie beispielsweise vertragliche Zusicherungen, den Datenschutz zu wahren) erforderlich sind.

[12]
Mit der Entscheidung 2000/520/EG bestätigte die Europäische Kommission, dass US-amerikanische Organisationen ein angemessenes Datenschutzniveau gewährleisten, sofern sie eindeutig und öffentlich deklarieren, dass sie sich den Bestimmungen der Safe-Harbor-Regulierung unterstellen («Selbstzertifizierung») und diese Bestimmungen einhalten.

3.2.

Safe-Harbor-Regulierung ^

[13]

Die Bestimmungen von Safe Harbor sind in den Anhängen der Entscheidung 2000/520/EG aufgeführt. Sie entsprechen weitgehend der Stossrichtung der Richtlinie (und auch jener des schweizerischen Datenschutzrechts): So geht es beispielsweise darum, dass die betroffenen Personen darüber informiert werden, zu welchem Zweck die Daten über sie erhoben und verwendet werden (Informationspflicht). Eine Weitergabe an Dritte ist nur mit Zustimmung zulässig sowie in Fällen der Auftragsdatenbearbeitung, d.h. wenn der Dritte im Auftrag, auf Anweisung und im Interesse der weitergebenden Organisation handelt. Personendaten dürfen ohne Einwilligung nicht in einer Weise bearbeitet werden, die mit dem ursprünglichen Erhebungszweck nicht konform ist (Zweckbindung). Insbesondere müssen die betroffenen Personen den Rechtsweg beschreiten können, um die Einhaltung der Grundsätze des «sicheren Hafens» zu erreichen.

3.3.

Beurteilung der Safe-Harbor-Regeln durch die Kommission nach den Enthüllungen von Snowden ^

[14]

In den zwei Mitteilungen COM(2013) 846 final und COM(2013) 847 final äusserte sich die Europäische Kommission nach den Enthüllungen von Edward Snowden nochmals zum Thema Safe Harbor. Sie befand, dass angesichts diverser Schwachstellen ernsthaft in Frage zu stellen sei, ob der Datenschutz ausreichend gewahrt sei, und dass das Safe-Harbor-System nicht wie bisher fortgeführt werden könne.

[15]

Seit 2013 führte die EU daher Gespräche mit den USA über ein neues Safe-Harbor-Abkommen 2.0,2 die im Februar 2016 angeblich in eine grundsätzliche Einigung gemündet haben.3 Darauf ist später noch einzugehen.4

4.

Das Urteil in Sachen Schrems vs. Data Protection Commissioner ^

4.1.

Das Urteil und seine Auswirkungen in der EU ^

[16]
Der EuGH führte in seinem Urteil u.a. aus, dass die Übermittlung von Personendaten in ein Drittland ohne angemessenes Schutzniveau verboten sei. Bei der Feststellung eines angemessenen Datenschutzniveaus nach Art. 25 Abs. 6 der Richtlinie durch die Kommission könne zwar nicht verlangt werden, dass ein mit dem Unionsrecht übereinstimmendes Niveau bestehe, dieses müsse jedoch der Sache nach gleichwertig sein. Die Kommission hätte sich daher vor dem Entscheid mit dem nationalen Recht auseinandersetzen müssen und dies regelmässig wiederholen müssen, zumal wenn Zweifel am Schutzniveau geweckt worden seien.5
[17]

Das bei Safe Harbor gewählte System der Selbstzertifizierung als solches verletze zwar die europäischen Datenschutzstandards nicht, indessen beruhe die Zuverlässigkeit eines solchen Systems wesentlich auf der Schaffung wirksamer Überwachungs- und Kontrollmechanismen. Die Safe-Harbor-Regeln würden zwar US-Unternehmen binden, die personenbezogene Daten aus dem EU-Raum bearbeiten, enthielten jedoch keine hinreichenden Feststellungen zu den Massnahmen, mit denen die USA aufgrund ihres Rechts ein angemessenes Schutzniveau gewährleisten würden.6 Weil die Regelung auch keine Möglichkeit für EU-Bürger vorsehe, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, sei der Wesensgehalt des in Art. 47 GrCh verankerten Rechts auf wirksamen Rechtsschutz verletzt.7

[18]

Zudem könnten die US-Behörden auf die in die USA übermittelten personenbezogenen Daten zugreifen und sie in einer Weise bearbeiten, die von dem ursprünglichen Bearbeitungszweck nicht mehr gedeckt sei. Dieser Zugriff sei ohne irgendeine Differenzierung möglich, und verletze damit den Grundsatz, wonach der Zugriff nur auf das absolut Notwendige zu beschränken sei. Dies verletze den Wesensgehalt des durch Art. 7 GrCh garantierten Grundrechts auf Achtung des Privatlebens.8

[19]

Angesichts dieser klaren Verletzung der in der GrCh verbrieften Rechte durch das Safe-Harbor-Abkommen hob der EuGH in der Folge den Entscheid 2000/520/EG (und damit das Safe-Harbor-Abkommen) auf.9 Damit gelten die USA wieder als unsicheres Drittland.

4.2.

Auswirkungen des Urteils auf die Schweiz ^

[20]

Die Schweiz schloss im Nachgang zum Safe-Harbor-Abkommen zwischen der EU und den USA mit den USA ein analoges Safe-Harbor-Abkommen.10 Das Urteil des EuGH hat für die Schweiz als Nicht-EU-Land aber naturgemäss keine direkten Auswirkungen. Gemäss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) bildet das Safe-Harbor-Abkommen Schweiz-USA jedoch mittlerweile ebenfalls keine genügende Rechtsgrundlage mehr für die datenschutzkonforme Übermittlung von Personendaten in die USA.11 Die USA wurden dementsprechend aus der Liste der Staaten gestrichen, deren Gesetzgebung einen angemessenen Datenschutz gewährleistet, und die der EDÖB nach Art. 6 Abs. 1 DSG veröffentlicht.

5.

Die Standardklauseln und «binding corporate rules» als Alternative? ^

5.1.

Standardklauseln und «binding corporate rules» ^

[21]

Nach Art. 26 der Richtlinie ist die Datenübermittlung in unsichere Drittländer u.a. dann zulässig, wenn der für die Bearbeitung verantwortliche Empfänger ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre abgibt. Damit sind insbesondere entsprechende Vertragsklauseln gemeint (Art. 26 Abs. 2 der Richtlinie).

[22]

Um die Rechtslage zu vereinfachen, kann die Kommission in einem bestimmten Verfahren feststellen, dass bestimmte Klauseln ausreichende Garantien gemäss Art. 31 Abs. 2 der Richtlinie bieten (Art. 26 Abs. 4 i.V.m. Art. 31 Abs. 2 der Richtlinie). Dies hat die Kommission denn auch getan, indem sie drei verschiedene Varianten von Standardvertragsklauseln veröffentlicht und für ausreichend erklärt hat.12 Die Verwendung dieser Klauseln ist heute im Datenverkehr mit unsicheren Drittländern etabliert.

[23]

Vergleichbar ist die Konstellation in internationalen Konzernverhältnissen, bei denen einzelne Konzerngesellschaften ihren Sitz in Ländern mit ungenügendem Datenschutzniveau haben: Anstatt mit jeder Konzerngesellschaft gesondert die Standardklauseln zu vereinbaren, besteht die Möglichkeit, sogenannte «binding corporate rules» in Kraft zu setzen. Dies sind konzernweit geltende Regeln, wie ein Code of Conduct für internationale Transfers von Personendaten innerhalb des Konzerns. Anders als bei den Standardklauseln machte die EU-Kommission allerdings keine klaren Vorgaben im Sinne von Standardregeln. Sie publizierte jedoch Dokumente, die die Erstellung von «binding corporate rules» erleichtern sollen.13

5.2.

Auswirkungen des Schrems-Urteils auf die Wirksamkeit der Standardklauseln ^

5.2.1.

Allgemeines ^

[24]

Die Fachwelt ist sich bisher uneins, welche Auswirkungen sich aus dem EuGH-Urteil für die Verwendung der Standardklauseln und von «binding corporate rules» ergeben.14

[25]
Gemäss einer Verlautbarung der Kommission vom 6. November 2015 sind diese Instrumente weiterhin wirksam.15 Als Begründung bringt die Kommission vor, die Regeln seien durch die Kommission für die Mitgliedstaaten bindend festgelegt worden, und mitgliedstaatliche Behörden dürften nicht von dieser Entscheidung abweichen.
[26]
Diese Haltung wird in der Literatur16 und durch verschiedene Datenschutzbehörden wie das Unabhängige Landeszentrum für Datenschutz17 oder auch den Schweizerischen EDÖB angezweifelt.18

5.2.2.

Rechtliche Einordnung ^

[27]
Unternehmen, die in den USA im Auftrag europäischer Unternehmen Personendaten bearbeiten, befinden sich in einem Dilemma zwischen den vertraglichen Vereinbarungen einerseits und den Anweisungen der US-Behörden andererseits.
[28]
Wenn dem Datenexporteur die US-Rechtslage in den Grundsätzen bekannt ist und er damit weiss, dass sich die Gegenpartei kaum an die vereinbarten Standardklauseln halten wird, ist davon auszugehen, dass die Parteien jene Klauseln gar nicht gültig vereinbaren, sondern bloss simulieren und die Klauseln damit unwirksam sind:19 Eine Simulationsabrede erfolgt im Bewusstsein und Einverständnis der Parteien, wonach ein Vertrag nur zum Schein abgegeben wird, und kein entsprechender Bindungswille bestehen soll. In aller Regel sollen damit Dritte (beispielsweise die Steuerbehörden oder wie vorliegend die Datenschutzbehörden oder durch die Datenbearbeitung betroffene Personen) getäuscht werden, dies ist jedoch nicht begriffsnotwendig.20
[29]
Ist die US-Rechtslage den Parteien nicht bekannt (eine Konstellation, die nach der medialen Berichterstattung über die Snowden-Enthüllungen freilich eher unrealistisch scheint), liegt allerdings keine Simulation vor. In diesen Fällen dürfte indessen von objektiver Unmöglichkeit auszugehen sein: Für US-Unternehmen wird es in der Praxis kaum möglich sein, Daten vor den US-Behörden wirksam geheim zu halten.
[30]
Bei ursprünglicher Unmöglichkeit kommt etwa in Deutschland der Vertrag nach § 311a BGB grundsätzlich zustande, und der Gläubiger kann grundsätzlich Schadenersatz verlangen.21 In der Schweiz führt ursprüngliche Unmöglichkeit je nach Umständen entweder gleich zu Nichtigkeit des Vertrages, oder die Situation ist gleich wie in Deutschland.22
[31]

Nachträgliche Unmöglichkeit führt zu einem Wegfall der vereinbarten Leistungspflicht, nicht jedoch des Schuldverhältnisses.23 Im Fall einer durch den Schuldner verschuldeten (subjektiven) nachträglichen Unmöglichkeit tritt an die Stelle der vereinbarten Leistung generell Schadenersatz,24 wobei vorliegend allerdings kaum von Verschulden auszugehen ist. Insoweit als die US-Regeln zum Zugriff von Behörden auf Personendaten erst nach der Unterzeichnung der Standardklauseln in Kraft getreten sind, fällt die Wirksamkeit der Standardklauseln hinsichtlich der statuierten datenschutzrechtlichen Pflichten ex post dahin.

[32]

Ein Datenexporteur verletzt damit selbst dann das datenschutzrechtliche Verbot des Exports in unsichere Drittländer, wenn die Standardklauseln formal korrekt unterzeichnet wurden. Entsprechend gilt trotzdem das Verbot der Übermittlung in Drittländer ohne ausreichendes Datenschutzniveau. Dasselbe gilt für Art. 6 DSG. Die Voraussetzung «ausreichender Garantien», wie sie die Richtlinie für eine Übermittlung personenbezogener Daten in die USA fordert, ist verletzt, denn es muss realistischerweise möglich sein, die Einhaltung der Verpflichtungen durchzusetzen.25

5.3.

Auswirkungen des Schrems-Urteils auf «binding corporate rules» ^

[33]
Wie erwähnt besteht in Konzernverhältnissen die Möglichkeit, konzernweite Regeln für den Datenschutz aufzustellen («binding corporate rules»).
[34]

Gerade US-amerikanische Unternehmen können gezwungen sein, etwa aufgrund des USA Patricot Act Daten von ihren Servern (und von Servern von Tochterunternehmen) im EU-Gebiet an US-Behörden auszuliefern. Dabei kann ihnen zudem verboten werden, die betroffenen Personen über die Auslieferung zu informieren (gag order26).27 Damit werden auch die «binding corporate rules» unwirksam.

[35]
Microsoft wehrt sich derzeit auf dem Rechtsweg gegen eine Verfügung zur Herausgabe von E-Mail-Daten von einem in Irland stationierten Server an US-Behörden. Der Ausgang des entsprechenden Verfahrens ist offen.28
[36]

Lehnt das zuständige Gericht das Begehren von Microsoft ab, stellt sich die Frage, wie das Schrems-Urteil sich auf «binding corporate rules» auswirkt. Wie bereits bei den Standardklauseln stellt sich die EU-Kommission auf den Standpunkt, die Verwendung sei weiterhin rechtsgenügend, sodass sich die Parteien keinem Risiko aussetzen.29 Nach dem zu den Standardklauseln Gesagten hat diese Position allerdings kaum Bestand, kann es doch auch hier nur um den materiellen Schutz gehen und nicht nur um die reine Formalität des Erlasses solcher Regeln. Nach einem Positionspapier der deutschen Datenschutzkonferenz sollen denn auch vorläufig keine neuen «binding corporate rules» mehr genehmigt werden.30

5.4.

Konsequenzen des Urteils für die EU ^

[37]

Auch der Datenexporteur, der gestützt auf die Standardklauseln oder «binding corporate rules» Daten in die USA weitergibt, verletzt Art. 26 der Richtlinie. Ein ausreichendes Datenschutzniveau ist nicht erreichbar. Eine Datenübermittlung in die USA bleibt also verboten.31

[38]
Um die aufgrund des Urteils entstandene Situation kurzfristig zu entschärfen, liessen die nationalen europäischen Datenschutzbehörden verlautbaren, eine Übergangsfrist bis Ende Januar 2016 einzuhalten, vor deren Ablauf sie keine Zwangsmassnahmen ergreifen wollten. Wer danach allerdings Daten in die USA übermittelt, macht sich beispielsweise in Deutschland nach § 43 Abs. 2 Nr. 1 BDSG strafbar, was mit Bussgeld bis 300’000 Euro geahndet werden kann. Privatpersonen können den Transfer der Daten in die USA zudem auf dem zivilrechtlichen Weg verbieten.
[39]
Die einzig konsequente Reaktion auf das Urteil ist damit im aktuellen Zeitpunkt die Einstellung der Übermittlung von Daten in die USA oder an aus den USA kontrollierte Unternehmen.32

5.5.

Situation in der Schweiz ^

[40]

Art. 6 DSG verlangt analog zu Art. 25 f. der Richtlinie ausreichende Garantien für die Übermittlung von Personendaten ins Ausland. Der EDÖB hat zu diesem Zweck ebenfalls Musterklauseln veröffentlicht, deren Verwendung einen hinreichenden Schutz garantieren soll. Er lässt zudem die Verwendung der Europäischen Standardklauseln als ausreichend zu.33

[41]
Anders als die EU-Kommission stellt sich der EDÖB wie bereits erwähnt auf den Standpunkt, die Standardklauseln könnten die Sicherheit von Datenübertragungen in die USA vor Zugriffen der US-Behörden nicht hinreichend gewährleisten. Er empfiehlt deren Verwendung indessen trotzdem weiterhin, weil dies das Datenschutzniveau generell verbessere.34
[42]
Auch in der Schweiz liegt die einzige konsequente Reaktion auf das Urteil jedoch in der Einstellung der Übermittlung von Personendaten in die USA und an aus den USA kontrollierte Unternehmen.

6.

Die Einigung auf einen EU-US-Datenschutzschild vom Februar 2016 ^

[43]
Mit Pressemitteilung vom 2. Februar 2016 liess die Europäische Kommission verlauten, man habe sich mit den USA auf einen neuen Rahmen für die transatlantische Übermittlung von Daten geeinigt. Dieser sei eine Antwort auf das Urteil des EuGH im Fall Schrems.
[44]
Nach der neuen Regelung sollen US-Unternehmen, die Personendaten aus der EU bearbeiten, strengeren Auflagen zum Datenschutz unterliegen, und das US-amerikanische Handelsministerium und die Federal Trade Commission (FTC) sollen zu intensiveren Kontroll- und Durchsetzungsmassnahmen verpflichtet werden. Die USA sollen sich ausserdem verpflichten, ihren Behörden den Zugriff auf personenbezogene Daten nur unter rechtlich ganz klar festgelegten Bedingungen, strenger Aufsicht und in begrenztem Umfang zu ermöglichen. Eine anlasslose Überwachung (wie sie der EuGH verboten hatte) soll m.a.W. nicht mehr möglich sein. Durch einen «Joint Review» soll die Umsetzung jährlich überprüft werden. Ferner soll eine Ombudsstelle eingerichtet werden.35
[45]
Die bisher offenbar nur aus Eckpunkten bestehende neue Regelung wird allerdings in Fachkreisen weitgehend kritisch beurteilt. Es wird bemängelt, die geplante Zusicherung der USA in Briefform sei rechtlich für die USA nicht bindend, weil die problematischen geheimdienstlichen Kompetenzen gesetzlich festgelegt seien. Die Materie sei vielmehr staatsvertraglich zu regeln. Die vorgesehenen Rechtswege seien zudem zu schwammig definiert, und die Einsetzung eines Ombudsmannes ohne Weisungsbefugnis genüge den Anforderungen des Urteils in Sachen Schrems nicht.36 Die vorgesehenen Klagemöglichkeiten seien zudem auf die Rechte auf Auskunft und Korrektur beschränkt; die Rechtmässigkeit des gesamten Verfahrens der Datenverarbeitung könne weiterhin nicht überprüft werden. Zudem entscheide die US-Regierung über die Möglichkeit einer gerichtlichen Überprüfung des behördlichen Umgangs mit den Daten, womit (mangels Gewaltenteilung) kein robuster Grundrechtsschutz bestehe.37
[46]
Derzeit ist offen, ob überhaupt eine Einigung in den wesentlichen vom EuGH bemängelten Punkten erreicht werden kann. Die zentralen Streitpunkte sind offenbar trotz der Verlautbarung der Kommission noch alles andere als geklärt. Ein zeitgerechter Abschluss sei, so etwa ORF.at unter Berufung auf dem Portal vorliegende, aktuelle Informationen aus Diplomatenkreisen, nur denkbar, «wenn Europa beim Datenschutz in allen wichtigen Punkten kapituliert».38

7.

Würdigung ^

[47]
Angesichts der überschiessenden Kompetenzen der US-Geheimdienste ist es heute verboten, Personendaten aus der Schweiz oder der EU an Unternehmen in den USA zu übermitteln.
[48]
Die Durchsetzung dieses Verbots liegt nicht allein in der Hand der Behörden, sondern auch die betroffenen Personen haben die Möglichkeit, durch Zivilklagen entsprechende Verfahren anzuheben. Maximilian Schrems, der das ausschlaggebende Verfahren vor dem EuGH auslöste, hat denn zwischenzeitlich auch bereits ein zweites Verfahren auf den Weg gebracht, mit dem Ziel, auch die Verwendung der Standardklauseln zu unterbinden;39 nach der vorliegenden Darstellung mit einigen Erfolgsaussichten.
[49]
Ob es zumindest möglich bleiben wird, Personendaten an europäische Unternehmen zu übermitteln, die von US-amerikanischen Unternehmen kontrolliert werden, hängt vom beschriebenen Verfahren zu Microsoft ab.
[50]
Damit bleibt weiterhin abzuwarten, welche konkreten Ergebnisse die Verhandlungen zwischen der EU und den USA zu einem neuen Safe-Harbor-Abkommen 2.0 bzw. «Privacy Shield» ergeben dürften. Bis dahin liegt das Risiko für den Datenexport in die USA bei den exportierenden Unternehmen.40
  1. 1 Vgl. EuGH, Urteil vom 6. Oktober 2015, Rs. C-362/14, Schrems gegen Data Protection Commissioner, Rz. 30 ff.
  2. 2 Vgl. etwa Barbara Widmer, Safe-Harbor – wenn weniger nicht genügt, Digma 2015, 146 ff., 152.
  3. 3 Europäische Kommission, Kommission und Vereinigte Staaten einigen sich auf neuen Rahmen für die transatlantische Datenübermittlung: den EU-US-Datenschutzschild, Pressemitteilung, Strasbourg 2. Februar 2016, http://europa.eu/rapid/press-release_IP-16-216_de.htm.
  4. 4 Unten Rz. 43 ff.
  5. 5 Vgl. EuGH (FN 1), Rz. 74 ff.
  6. 6 Vgl. EuGH (FN 1), Rz. 79 ff.
  7. 7 Vgl. EuGH (FN 1), Rz. 95.
  8. 8 Vgl. EuGH (FN 1), Rz. 93
  9. 9 Zum Ganzen Widmer (FN 2), 149 f.; Jürgen Kühling/Johanna Heberlein, EuGH «reloaded»: «unsafe harbor» USA vs. «Datenfestung» EU, NVwZ 2016, 7 ff., 9 f.
  10. 10 EDÖB, Abschluss eines Safe-Harbor-Abkommens Schweiz-USA, http://www.edoeb.admin.ch/dokumentation/00153/00262/00278/index.html?lang=de.
  11. 11 EDÖB, Nach Safe-Harbor-Urteil: Hinweise zur Datenübermittlung in die USA, http://www.edoeb.admin.ch/datenschutz/00626/00753/00970/01320/index.html?lang=de.
  12. 12 Entscheidungen 2001/497/EG, 2004/915/EG und 2010/87/EU; die ersteren beiden Versionen können verwendet werden bei zwei Bearbeitern mit gleichgerichteten Interessen (Controllers), bei denen einer in einem unsicheren Drittland Sitz hat, die letztere Version bei Auftragsdatenbearbeitung (Bearbeiter im unsicheren Ausland). Zum Ganzen etwa Gerald Spindler/Fabian Schuster, Recht der elektronischen Medien, 3. A. München 2015, N 20 zu § 4c BDSG.
  13. 13 http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/tools/index_en.htm; Spindler/Schuster (FN 12), N 27 f.
  14. 14 Übersicht für Deutschland etwa bei Kühling/Heberlein (FN 9), 10 f.; kritisch zur Wirksamkeit der Klauseln etwa Nicolas Passadelis, Das Safe Harbor-Urteil des Gerichtshofes der Europäischen Union – Urknall oder Sturm im Wasserglas, in: Jusletter 19. Oktober 2015, Rz. 33; Widmer (FN 2), 154; für die Wirksamkeit der Klauseln David Rosenthal, Aus der Sicht der Unternehmen: Was gilt jetzt? Was muss jetzt getan werden? (Podcast), in: Jusletter 7. Dezember 2015.
  15. 15 Communication from the Commission to the European Parliament and the Council on the Transfer of Personal Data from the EU to the USA under Directive 95/46/EC following the Judgment by the Court of Justice in Case C-362/14, COM(2015) 566 final; vgl. auch die Position der Artikel-29-Arbeitsgruppe vom 16. Oktober 2015, http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151016_wp29_statement_on_schrems_judgement.pdf.
  16. 16 Vgl. FN 14.
  17. 17 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Positionspapier des ULD zum Safe-Harbor-Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362/14, https://www.datenschutzzentrum.de/artikel/967-.html.
  18. 18 Vgl. EDÖB (FN 11).
  19. 19 Zur Simulation allgemein für die Schweiz BSK-Wiegand, N 51, 126 zu Art. 18 OR; Gauch/Schluep et al., Schweizerisches Obligationenrecht, Allgemeiner Teil, 10. A. Zürich, N 836; für Deutschland § 117 BGB. Vgl. etwa auch Art. 1321 des französischen Code Civil, § 916 des österreichischen ABGB; sowie Art. 6:103 der Principles of European Contract Law der Lando-Kommission sowie Study Group on a European Civil Code/Research Group on EC Private Law, Principles, Definitions and Model Rules of European Private Law, Draft Common Frame of Reference, München 2009, II. – 9:201.
  20. 20 Vgl. statt vieler Claire Huguenin, Obligationenrecht, 2. A. 2014, N 198.
  21. 21 Vgl. schon Bucher, OR AT, Schweizerisches Obligationenrecht Allgemeiner Teil, 2. A. 1988, 249.
  22. 22 Vgl. bereits Bucher (FN 21), 249; BSK-Huguenin/Meise, N 48 ff. zu Art. 19/20 OR.
  23. 23 Vgl. beispielsweise für die Schweiz Art. 119 OR.; Gauch/Schluep et al. (FN 19 NOTEREF _Ref441500486 \h ), N 2531 ff.
  24. 24 Bucher (FN 21), a.a.O., 417.
  25. 25 David Rosenthal/Yvonne Jöhri, Handkommentar zum Datenschutzgesetz, Zürich 2008, N 40 zu Art. 6 DSG; vgl. auch Passadelis (FN 14), N 36.
  26. 26 Eine vor allem im Common Law bekannte gerichtliche oder adminstrative «Maulkorb»- Verfügung, mit der die Offenbarung von Informationen verhindert werden soll.
  27. 27 Peter Schüler, Azur-magenta schwarz-rot-gold, Microsoft und T-Systems kreieren eine deutsche Cloud, c’t 26/2015, 44 (Kasten).
  28. 28 U.S. Court of Appeals for the Second Circuit, Fall-Nr. 14-2985-cv – Microsoft v. U. S.; vgl. etwa Widmer (FN 2), 152; Kühling/Heberlein (FN 9), 11.
  29. 29 Kommission (FN 15), 7.
  30. 30 Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder, Positionspapier, https://www.datenschutz.hessen.de/ft-europa.htm#entry4521, Ziff. 7; Kühling/Heberlein (FN 9), 10.
  31. 31 Vgl. auch ULD (FN 17), Ziff. 4.
  32. 32 So auch Passadelis (FN 14), N 37.
  33. 33 Vgl. EDÖB, Übermittlung ins Ausland, http://www.edoeb.admin.ch/datenschutz/00626/00753/index.html?lang=de; genau besehen müssen die Parteien zusätzlich vereinbaren, dass auch Daten von juristischen Personen den Klauseln unterstehen, und nicht nur natürliche Personen, weil in der Schweiz auch die Personendaten juristischer Personen geschützt sind.
  34. 34 Vgl. EDÖB (FN 11).
  35. 35 Vgl. Europäische Kommission (FN 3).
  36. 36 Axel Kannenberg (axk), «Privacy Shield», Bürgerrechtler schiessen scharf gegen bgeplanten Datenschutzsschild, Heise Newsticker 3. Februar 2016, http://www.heise.de/newsticker/meldung/Privacy-Shield-Buergerrechtler-schiessen-scharf-gegen-geplanten-Datenschutzschild-3093494.html, m.H.
  37. 37 Peter Schaar, Ist das «Privacy Shield» endlich ein sicherer Hafen?, Heise Newsticker vom 2. Februar 2016, http://www.heise.de/newsticker/meldung/Peter-Schaar-Ist-das-Privacy-Shield-endlich-ein-sicherer-Hafen-3091735.html.
  38. 38 Erich Möchel, Bei «Safe Harbour 2» droht EU-Kapitulation, http://fm4.orf.at/stories/1767131/.
  39. 39 Marc Störing, Schrems greift Facebook erneut an, in: c’t 27/2015, 45.
  40. 40 Vgl. auch Axel Spiess, Art. 29-Datenschutzgruppe: Stellungnahme zu Safe Harbor, ZD-Aktuell 2015, 08455.