Navigation path

Left navigation

Additional tools

Other available languages: EN FR

Europäische Kommission - Factsheet

Fragen und Antworten: Leitlinien für transatlantische Datenübermittlungen nach dem Schrems-Urteil

Brüssel, 6. November 2015

Was ist das Safe-Harbor-Abkommen?

In der Datenschutzrichtlinie der EU von 1995 sind Vorschriften für die Übermittlung personenbezogener Daten aus der EU in Nicht-EU-Staaten festgelegt. Diese sehen vor, dass die Kommission beschließen kann, dass ein Nicht-EU-Staat ein „angemessenes Schutzniveau“ aufweist. Derartige Beschlüsse werden gemeinhin als „Angemessenheitsbeschlüsse“ bezeichnet.

Auf der Grundlage der Datenschutzrichtlinie von 1995 nahm die Europäische Kommission am 26. Juli 2000 eine Entscheidung („Safe-Harbor-Entscheidung”) an, durch die anerkannt wurde, dass die vom Handelsministerium der USA vorgelegten Grundsätze des „sicheren Hafens“ einen angemessenen Schutz für die Zwecke der Übermittlung personenbezogener Daten aus der EU bieten.

Mit der Safe-Harbor-Entscheidung wurde somit die ungehinderte Übermittlung personenbezogener Daten für gewerbliche Zwecke von Unternehmen in der EU an Unternehmen in den USA ermöglicht, die sich zur Einhaltung der Grundsätze verpflichtet hatten.

Ihre Funktionsweise basiert auf den Verpflichtungserklärungen und Selbstzertifizierungen der beteiligten Unternehmen. Der Beitritt erfolgt durch Meldung an das US-Handelsministerium. Für die Durchsetzung der Safe-Harbor-Regelung ist die U.S. Federal Trade Commission verantwortlich. Die Beteiligung ist freiwillig, doch sind die Unternehmen in der Folge an die geltenden Vorschriften gebunden.

2013: NSA-Enthüllungen und 13 Empfehlungen

Die NSA-Enthüllungen von 2013 warfen entscheidende Fragen in Bezug auf die Überwachung und den Schutz personenbezogener Daten auf. Das Safe-Harbor-Abkommen sah vor, dass in seinem Rahmen Einschränkungen der Datenschutzbestimmungen möglich waren, wenn sich dies aus Gründen der nationalen Sicherheit als notwendig erwies. Somit stellte sich die Frage, ob die umfassende Erfassung und Verarbeitung personenbezogener Informationen im Rahmen von US-Überwachungsprogrammen zum Schutz nationaler Sicherheitsinteressen notwendig und angemessen ist.

Nach den Snowden-Enthüllungen beschloss die Kommission, die Safe-Harbor-Entscheidung zu überarbeiten und sprach im November 2013 13 Empfehlungen zu ihrer Verbesserung aus:

Transparenz

  1. Selbstzertifizierte Unternehmen sollten ihre Datenschutzbestimmungen öffentlich bekanntmachen.
  2. Die Datenschutzbestimmungen auf den Websites selbstzertifizierter Unternehmen sollten stets einen Link zur Safe-Harbor-Website des US-Handelsministeriums enthalten, auf der eine Liste aller aktuellen Mitglieder des Safe-Harbor-Programms abgerufen werden kann.
  3. Selbstzertifizierte Unternehmen sollten die Datenschutzbestimmungen aller mit Unterauftragnehmern (z. B. mit Cloud-Computing-Diensten) geschlossenen Verträge veröffentlichen.
  4. Auf der Website des US-Handelsministeriums sollten alle Unternehmen benannt werden, die aktuell nicht Mitglied des Systems sind.

Rechtsschutz

  1. Die Datenschutzerklärungen auf den Websites von Unternehmen sollten einen Link zu einem Anbieter alternativer Streitbeilegungsdienste enthalten.
  2. Der alternative Streitbeilegungsmechanismus sollte leicht zugänglich und seine Inanspruchnahme erschwinglich sein.
  3. Das US-Handelsministerium sollte Anbieter alternativer Streitbeilegungsdienste systematischer überwachen, was die Transparenz und Zugänglichkeit der von ihnen bereitgestellten Informationen über das angewandte Verfahren und die Behandlung von Beschwerden betrifft.

Durchsetzung

  1. Nach einer Zertifizierung oder Neuzertifizierung von Unternehmen im Rahmen der Safe-Harbor-Regelung sollten für einen bestimmten Prozentsatz dieser Unternehmen von Amts wegen (über eine bloße Kontrolle der Erfüllung formaler Anforderungen hinausgehende) Untersuchungen zur effektiven Einhaltung ihrer Datenschutzbestimmungen vorgenommen werden.
  2. Wird aufgrund einer Beschwerde oder einer Untersuchung festgestellt, dass die einschlägigen Bestimmungen nicht eingehalten werden, sollte das betreffende Unternehmen nach einem Jahr einer gezielten Folgeuntersuchung unterworfen werden.
  3. Bestehen Zweifel daran, ob ein Unternehmen die Bestimmungen einhält, oder liegen Beschwerden vor, sollte das US-Handelsministerium die zuständige EU-Datenschutzbehörde unterrichten.
  4. Im Falle falscher Erklärungen zum Safe-Harbor-Beitritt sollten weitergehende Ermittlungen durchgeführt werden.

Zugang für US-Behörden

  1. Die Datenschutzbestimmungen selbstzertifizierter Unternehmen sollten Informationen darüber enthalten, inwieweit das US-Recht es öffentlichen Stellen gestattet, die im Rahmen der Safe-Harbor-Regelung übermittelten Daten zu sammeln und zu verarbeiten. Insbesondere sollten Unternehmen dazu angehalten werden, in ihren Datenschutzbestimmungen anzugeben, ob sie aus Gründen der nationalen Sicherheit, des öffentlichen Interesses oder der Rechtsdurchsetzung Ausnahmen von den Grundsätzen anwenden.
  2. Es sollte sichergestellt werden, dass die in der Safe-Harbor-Entscheidung vorgesehenen Ausnahmeregelungen aus Gründen der nationalen Sicherheit nur zur Anwendung gelangen, wenn dies unbedingt notwendig bzw. angemessen ist.

Was bedeutet das unlängst ergangene Urteil in der Rechtssache Schrems?

Der Gerichtshof hat in seinem Urteil vom 6. Oktober in der Rechtssache Schrems die Safe-Harbor-Entscheidung der Kommission für ungültig erklärt. In dem Urteil wurde die Bedeutung hervorgehoben, die das Grundrecht auf Datenschutz auch bei Übermittlungen personenbezogener Daten in Drittländer besitzt. Durch das Urteil wurden die seit November 2013 unternommenen Bemühungen der Kommission um eine Überarbeitung des Safe-Harbor-Abkommens bestätigt. Das Abkommen ermöglichte keinen hinreichenden Datenschutz im Sinne des EU-Rechts.

Im Lichte des Urteils verfolgt die Kommission folgende vorrangige Ziele:

  • Sicherstellung eines hohen Schutzniveaus für personenbezogene Daten bei transatlantischen Datenübermittlungen
  • Fortsetzung der transatlantischen Datenübermittlungen mit angemessenen Garantien
  • mit den nationalen Datenschutzbehörden abgestimmtes Vorgehen zwecks Sicherstellung einer einheitlichen Anwendung des EU-Rechts im Binnenmarkt und klarer Leitlinien für EU-Unternehmen.

Welche alternativen Instrumente stehen den Unternehmen für Übermittlungen personenbezogener Daten in die Vereinigten Staaten zur Verfügung?

Bis eine Einigung über das überarbeitete Safe-Harbor-Abkommen erzielt wird, dürfen transatlantische Datenübermittlungen zwischen Unternehmen mit anderen nach dem EU-Datenschutzrecht für internationale Datenübermittlungen geeigneten Instrumenten fortgeführt werden.

Dabei handelt es sich um

  • individuelle Standardvertragsklauseln in Verträgen mit Unternehmen in den USA, die Datenschutzpflichten vorsehen und von der Kommission genehmigt wurden
  • verbindliche unternehmensinterne Vorschriften für mit Zustimmung der nationalen Datenschutzbehörden erfolgende unternehmensgruppeninterne Datenübermittlungen.

Zudem enthalten die Datenschutzvorschriften eine Reihe von Ausnahmeregelungen für

  • Datenübermittlungen zum Abschluss oder zur Erfüllung eines Vertrags [einschließlich vorvertraglicher Situationen, beispielsweise zur Buchung eines Flugs oder eines Hotelzimmers in den Vereinigten Staaten]
  • Datenübermittlungen zur Geltendmachung, Durchsetzung oder Verteidigung von Rechtsansprüchen
  • Datenübermittlungen bei aus freien Stücken und in voller Sachkenntnis erfolgender Zustimmung der betroffenen Personen (falls kein anderer Grund besteht).

Was haben die Datenschutzbehörden nach dem Urteil beschlossen?

Die Artikel-29-Datenschutzgruppe (ein unabhängiges beratendes Gremium aus Vertretern aller Datenschutzbehörden) hat am 16. Oktober eine Erklärung mit ersten Schlussfolgerungen aus dem Urteil abgegeben.

Diese enthielt u.a. folgende Empfehlungen im Hinblick auf künftige Datenübermittlungen:

-         Die für ungültig erklärte Safe-Harbor-Entscheidung der Kommission kann nicht mehr als Grundlage für Datenübermittlungen herangezogen werden.

-         Bis auf weiteres können individuelle Standardvertragsklauseln und verbindliche unternehmensinterne Vorschriften als Grundlage für Datenübermittlungen dienen (die Datenschutzgruppe kündigte gleichwohl an, dass sie weiter prüfen wird, wie sich das Urteil auf diese alternativen Instrumente auswirkt).

-         Die Mitgliedstaaten und die EU-Organe sollten Gespräche mit den US-Behörden über mögliche rechtliche und technische Lösungen für die Datenübermittlung aufnehmen. Die laufenden Verhandlungen über ein überarbeitetes Safe-Harbor-Abkommen könnten nach Meinung der Datenschutzgruppe zu einer entsprechenden Lösung beitragen.

Die Artikel-29-Datenschutzgruppe hat ferner angekündigt, dass die Datenschutzbehörden in Abhängigkeit von den Ergebnissen der Prüfung alternativer Datenübermittlungsinstru-mente alle erforderlichen und geeigneten Maßnahmen einschließlich abgestimmter Durchsetzungsmaßnahmen ergreifen werden, falls in den Gesprächen mit den US-Behörden bis Ende Januar 2016 keine geeignete Lösung herbeigeführt wird.

Die Datenschutzgruppe hat darauf hingewiesen, dass es die gemeinsame Aufgabe der Datenschutzbehörden, der EU-Organe, der Mitgliedstaaten und der Unternehmen ist, zukunftsfähige Lösungen zu finden, die dem Urteil gerecht werden. Sie hat insbesondere darauf gedrängt, dass die Unternehmen rechtliche und technische Lösungen einführen, durch die mögliche Risiken bei der Datenübermittlung vermindert werden.

Warum veröffentlicht die Kommission eine Mitteilung zu diesem Thema?

Solange die Verhandlungen noch laufen, müssen sich die Unternehmen an das Urteil halten und nach Möglichkeit auf alternative Datenübermittlungsinstrumente zurückgreifen. In der erläuternden Mitteilung der Kommission werden die Folgen des Urteils analysiert und die alternativen Instrumente für Übermittlungen personenbezogener Daten in die Vereinigten Staaten vorgestellt. Die Kommission wird darüber hinaus weiterhin eng mit den unabhängigen Datenschutzbehörden zusammenarbeiten, um eine einheitliche Anwendung des Urteils sicherzustellen.

Was ist nach dem Urteil passiert?

Eine neue allgemeine Regelung wäre die beste Lösung für den Schutz der EU-Bürger in einer Zeit, in der die gewerblichen Datenübermittlungen über den Atlantik stetig zunehmen. Sie wäre nicht nur für die transatlantischen Handelsbeziehungen wichtig, sondern vor allem und in erster Linie für die EU-Bürger und ihre Datenschutzrechte. In der Praxis könnte nur ein umfassender Rahmen mit freiwilligen Verpflichtungen und Durchsetzungsmaßnahmen der US-Behörden das Datenschutzniveau sicherstellen, das den EU-Bürgern zusteht und auf das diese nach dem Datenschutzrecht der EU Anspruch haben.

Alternative Datenübermittlungsinstrumente können zwar eine kurzfristige Lösung sein, doch wegen des Umfangs der Datenübermittlung ist ein einfacher und effizienter Rahmen unabdingbar.

Kommissionsmitglied Jourová hat nach dem Urteilsspruch sogleich Kontakt zu US‑Handelsministerin Pritzker aufgenommen, um das weitere Vorgehen zu besprechen. Die auf technischer Ebene laufenden Verhandlungen werden intensiv weitergeführt.

Kommissionsmitglied Jourová wird am 13. November nach Washington reisen, um die Verhandlungen über einen neuen und sicheren Rahmen für die Übermittlung personenbezogener Daten weiterzuführen. Ein neues, sicheres Safe-Harbor-Abkommen würde die Fortsetzung der Datenübermittlung über den Atlantik ermöglichen und zugleich sicherstellen, dass dabei robuste Garantien und Rechtssicherheit für Unternehmen wie Bürger bestehen.

Wie ist der Stand der Verhandlungen über ein sicheres Safe-Harbor-Abkommen?

In Bezug auf die Empfehlungen 1 bis 11 zu den Punkten Transparenz, Rechtsschutz und Durchsetzung besteht bereits grundsätzliche Einigung. Die Kommission erörtert allerdings noch, wie diese Selbstverpflichtungen so verbindlich gemacht werden können, dass die Vorgaben des Gerichtshofs erfüllt werden.

Die US-Seite hat sich in diesen Punkten bewegt und sich zu einer strengeren Beaufsichtigung durch das US-Handelsministerium, zu einer engeren Zusammenarbeit mit den europäischen Datenschutzbehörden und zu einer vorrangigen Beschwerdeabwicklung durch die Federal Trade Commission verpflichtet. Durch diesen Wechsel von einer bloßen Selbstregulierung zu einer Beaufsichtigung wird ein System geschaffen, das sowohl eine flexiblere Reaktion als auch ein proaktives Vorgehen ermöglicht und durch umfassende Durchsetzungs- einschließlich Sanktionsmöglichkeiten gestützt wird.

Die nationalen Datenschutzbehörden in der EU werden bei diesem System künftig eine aktivere und stärker sichtbare Rolle als zuvor spielen. Beispielsweise wurden die Schnittstelle und die Kommunikationskanäle zwischen den Datenschutzbehörden und dem US-Handelsministerium verbessert. Außerdem werden die Datenschutzbehörden künftig bei der Überprüfung des Funktionierens der Regelung mitwirken.

Der Gerichtshof hat bekräftigt, dass ein Angemessenheitsbeschluss ein fortzuschreibendes Dokument ist und daher regelmäßig im Lichte des ausländischen Systems überprüft werden muss. Die Kommission arbeitet diesbezüglich gemeinsam mit der US-Seite an der Einführung eines Verfahrens für eine gemeinsame jährliche Überprüfung, die sich auf sämtliche Aspekte der Funktionsweise des neuen Rahmens (einschließlich des Rückgriffs auf Ausnahmeregelungen aus Gründen der Strafverfolgung oder der nationalen Sicherheit) erstrecken soll und in die die zuständigen Behörden beider Seiten eingebunden werden sollen.

Der Gerichtshof hat unterstrichen, dass jeder von Seiten der Behörden erfolgende Datenzugriff - insbesondere wenn er aus Gründen der Strafverfolgung oder der nationalen Sicherheit erfolgt - klaren Bedingungen und Grenzen unterliegen muss. Dies entspricht weitgehend der vor zwei Jahren von der Kommission ausgesprochenen Empfehlung, „dass von der in der Safe-Harbor-Entscheidung vorgesehenen Ausnahme der nationalen Sicherheit nur so weit Gebrauch gemacht wird, wie dies unbedingt notwendig oder angemessen ist“. Die Kommission wirkt daher gemeinsam mit der US-Seite darauf hin, dass genügend Beschränkungen und Garantien vorgesehen werden, die jedweden „in pauschaler Weise“ erfolgenden Zugriff auf personenbezogene Daten oder eine solche Verwendung verhindern und eine ausreichende justizielle Kontrolle über ein derartiges Vorgehen sicherstellen.

Weitere Informationen:

IP/15/6015

Mitteilung

 

MEMO/15/6014

Kontakt für die Medien:

Kontakt für die Öffentlichkeit: Europe Direct – telefonisch unter 00 800 67 89 10 11 oder per E-Mail


Side Bar