[IITR – 27.1.16] Jetzt geht es Zack auf Zack: Am heutigen Mittwoch treffen sich die deutschen Datenschutz-Aufsichtsbehörden, um noch einmal darüber zu beraten, welche Alternativen es nach dem Safe-Harbor-Urteil noch geben wird. Nächsten Dienstag und Mittwoch wollen alle europäischen Datenschutz-Aufsichtsbehörden dazu einen gemeinsamen Beschluss fassen.
Interessant ist nun ein Vorschlag für einen Export- Import-Datenschutzvertrag mit den USA, den die Datenschutzexperten Thilo Weichert und Karin Schuler vor wenigen Tagen auf ihrer gemeinsamen Website „Netzwerk Datenschutzexpertise“ vorgestellt haben. Diesen Vertrag können „Datenexporteur“ und „Datenimporteur“ abschließen. Er sieht materiell-rechtliche Garantien und bei Verstößen Sanktionen vor. Anknüpfungspunkt hierbei ist das für den Exporteur geltende Recht.
Weichert hofft, dass damit der „rechtswidrige Zustand, der die bisherigen Binding Corporate Rules und Standardvertragsklauseln miteinschließt, beendet werden“ kann. Karin Schuler hält den Export-Import-Datenschutzvertrag für „praktikabel und datenschutzkonform“. Er enthalte das, was nach den Vorgaben des Gerichtshofs notwendig ist.
Der reine Vertragstext ist etwas über fünf Seiten lang und baut auf den EU-Standardvertragsklauseln auf. Er berücksichtig außerdem bereits die künftig geltenden Regelungen der europäischen Datenschutz-Grundverordnung. Diese erlaubt Datentransfers in unsichere Drittstaaten dann, wenn der Datenimporteur geeignete Garantien vorsieht und die Betroffenen über subjektive Rechte und wirksame Rechtsmitteln verfügen. Dies kann er durch Binding Corporate Rules nachweisen oder durch Standvertragsklauseln, die die EU-Kommission angenommen oder die eine Datenschutzbehörde genehmigt hat. Auch Zertifikate sind möglich. Weichert geht davon aus, dass die aktuellen EU-Standardvertragsklauseln im Licht des EuGH-Urteils überarbeitet werden müssen.
Weichert und Schuler räumen ein, dass angesichts der Massenüberwachung durch Geheimdienste „weiterhin eine gewisse rechtliche Unsicherheit besteht“. Dieses Defizit wollen sie mit einer „Notice and take down“-Lösung kompensieren. Darunter verstehen sie eine Informationspflicht des Datenimporteurs und eine Suspendierungspflicht der weiteren Datentransfers durch den Exporteur. Da jedoch die Regeln des Geheimdienstkontrollgerichts FISA den US-Unternehmen eine Benachrichtigung des Betroffenen untersagen, dürfen diese ihrer Informationspflicht gar nicht nachkommen. Eventuell könnte hier die Figur des „Ombudsmann“ Abhilfe schaffen, den die USA jüngst in den Verhandlungen mit der EU-Kommission ins Spiel gebracht haben.
Wie die Artikel-29-Gruppe entscheiden wird, lässt sich im Moment noch immer nicht absehen. Bis zuletzt gab es im Kreis der europäischen Aufsichtsbehörden zwei Lager: Das eine Lager, darunter die deutschen Aufsichtsbehörden, glaubt, dass die Prinzipien, auf denen das Urteil beruht, auf alternative Rechtsinstrumente übertragen werden müssen. Zu den Prinzipien zählen ein gerichtlicher Rechtsschutz der Betroffenen, materielle Datenschutzrechte und die Beachtung des Grundsatzes der Verhältnismäßigkeit. Tut man das, sind Verträge mit den so genannten EU-Standardvertragsklauseln, die verbindlichen Unternehmensregeln (Binding Corporate Rules) und das Instrument der „freiwilligen Einwilligung“ nur unter bestimmten Bedingungen weiterhin anwendbar.
Das andere Lager, darunter die britische und österreichische Aufsichtsbehörde, glaubt, dass das Urteil sich allein auf das Safe-Harbor-Abkommen bezieht und sich nicht auf die alternativen Rechtsinstrumente anwenden lässt. Kurz nach der Urteilsverkündung argumentierte auch die EU-Kommission so.
Zwischenzeitlich, so ist zu vernehmen, hat es einen leichten Sinneswandel gegeben. So gab ein Mitglied des Europäischen Gerichtshofs in der Runde der Artikel-29-Gruppe Einblick in die Überlegungen des Gerichts, wonach die Prinzipien des Urteils durchaus als fundamental zu sehen sind und auch im Falle neuer Rechtsstreitigkeiten, die sich auf alternative oder neue Lösungen beziehen, zum Anschlag kommen würden. Dieser Vortrag soll durchaus Eindruck auf die Aufsichtsbehörden gemacht haben, die einen eher vorsichtigen Kurs fahren.
Jüngsten Äußerungen aus Kommissionskreisen nach liegt die Messlatte für ein Nachfolgeabkommen von Safe Harbor inzwischen deutlich höher, was zu längeren Verhandlungen führen könnte.
Nicht zuletzt wird in diesen Tagen auch das Urteil in dem Prozess erwartet, in dem Microsoft sich gegen die Herausgabe der Daten an die US-Justiz wehrt, die in einem seiner irischen Datenzentren gespeichert sind. Microsoft verlangt, dass die Justiz den bewährten Weg beschreiten muss, den verschiedene Rechtshilfeabkommen vorzeichnen, während die Justiz den kurzen Weg nach Redmond bevorzugt. Der Import-Export-Vertrag, den Weichert und Schuler jetzt vorgestellt haben, atmet im Übrigen die Vorstellungen von Microsofts Chefjustiziar Brad Smith. Er sieht die einzige Lösung darin, die Grundrechte der Kunden entsprechend ihrer eigenen Gesetze zu gewährleisten.
Autorin:
Christiane Schulzki-Haddouti
Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.