Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

PRESSEMITTEILUNG  
der Konferenz der unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder vom 4. September 2023

Wer personenbezogene Daten in die USA übermitteln will, muss sich an das europäische Datenschutzrecht halten. Die Datenschutz-Grundverordnung lässt einen Datentransfer in Drittländer nur unter bestimmten Bedingungen zu, um auch bei der Übermittlung und Weiterverarbeitung ein gleichwertiges Datenschutzniveau aufrechtzuerhalten. Die EU-Kommission kann in einem Angemessenheitsbeschluss die Gleichwertigkeit des Datenschutzniveaus feststellen. Frühere Angemessenheitsbeschlüsse für die USA hatte der Europäische Gerichtshof insbesondere aufgrund der weitreichenden Befugnisse für US-Sicherheitsbehörden, auf die personenbezogenen Daten zuzugreifen, für ungültig erklärt: im Jahr 2015 „Safe Harbor“ und im Jahr 2020 den so genannten „Privacy Shield“.

Nachdem der Generalanwalt des Gerichtshofs der Europäischen Union (EuGH) bereits mit deutlichen Worten die Safe-Harbor-Grundsätze für unzureichend befunden hat (siehe Pressemitteilung des ULD vom 23.09.2015), hat der EuGH mit Urteil vom 06.10.2015 die Safe-Harbor-Entscheidung ausdrücklich für ungültig erklärt. Unternehmen, die personenbezogene Daten an US-amerikanische Geschäftspartner und Auftragnehmer übermitteln, können sich von nun an nicht mehr auf die Safe-Harbor-Grundsätze stützen. 

• Position Paper as PDF
• German Version

This Position Paper addresses public and private bodies in Schleswig-Holstein in their function as controllers responsible for the collection, processing or use of personal data [in the context of section 3, para. 7 BDSG (German Federal Data Protection Act) and section 2, para. 3 LDSG (State Data Protection Act of Schleswig-Holstein)]. The Unabhängiges Landeszentrum für Datenschutz (ULD) of Schleswig-Holstein aims to explain the appropriate consequences following the “Schrems”/Safe Harbor Judgment of the Court of Justice of the European Union (CJEU) in case C-362/14.

First, this paper clarifies which statements the CJEU has or has not taken in its judgment. Second, the position paper takes a stand on the question of what options for action are available to the European Commission in line with the judgment. Third, it considers on which legal basis a transfer of personal data to the United States can or cannot be taken into consideration, and, fourth, how to deal with Standard Contractual Clauses  for transfers to the United States. Fifth, and finally, it discusses the impact of the court decision – as far as is currently conceivable – on ULD’s enforcement action.

• Positionspapier als PDF
• English translation

Dieses Positionspapier richtet sich an nichtöffentliche und öffentliche Stellen in ihrer Funktion als verantwortliche Stellen für Datenverarbeitungen (§ 3 Abs. 7 BDSG/§ 2 Abs. 3 LDSG) und soll verdeutlichen, welche Folgen das Unabhängige Landeszentrum für Datenschutz (ULD) Schleswig-Holstein aus dem „Safe-Harbor-Urteil“ des Gerichtshofs der Europäischen Union (EuGH) vom 06.10.2015, C-362/14, zieht.

Zunächst wird dargestellt, welche Aussagen der EuGH in seinem Urteil getroffen bzw. nicht getroffen hat (1). Das Positionspapier nimmt danach Stellung zu der Frage, welche Handlungsoptionen nach dem Urteil für die EU-Kommission bestehen (2), auf Basis welcher Rechtsgrundlagen eine Übermittlung personenbezogener Daten in die USA noch in Betracht kommt bzw. nicht mehr zulässig ist (3) und wie mit den Standardvertragsklauseln umzugehen ist (4). Schließlich wird dargestellt, welche Auswirkungen die gerichtliche Entscheidung – soweit dies derzeit absehbar ist – auf die Prüftätigkeit des ULD hat (5).

Schleswig-Holsteinische Unternehmen, die personenbezogene Daten an Geschäftspartner oder Auftragnehmer in die Vereinigten Staaten von Amerika übermitteln, haben sich bisher vor allem auf „Safe Harbor“ („Sicherer Hafen“) berufen: Die Europäische Kommission hatte im Jahr 2000 eine Übermittlung personenbezogener Daten an US-amerikanische Unternehmen für zulässig erklärt, sofern sich diese den Vorgaben der sogenannten Safe-Harbor-Grundsätze unterwerfen. 

Die Grundsätze dieser Safe-Harbor-Entscheidung werden seit mehreren Jahren erheblich von den Datenschutzaufsichtsbehörden kritisiert. Sie ermöglichen keine befriedigende Kontrolle für Betroffene, werden nur unzureichend durchgesetzt und sind vor dem Hintergrund der willkürlichen Überwachungsmaßnahmen der US-amerikanischen Geheimdienste nicht dazu geeignet, ein angemessenes Schutzniveau für Betroffene zu gewährleisten. Aus diesem Grund hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder im März 2015 auf Initiative des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) in einer Entschließung darauf hingewiesen, dass die Safe-Harbor-Entscheidung keinen ausreichenden Schutz für das Grundrecht auf Datenschutz bei der Übermittlung personenbezogener Daten in die USA biete.

Dieser Auffassung hat sich nun auch der Generalanwalt des Europäischen Gerichtshofs (EuGH) in dem Verfahren des österreichischen Studenten Max Schrems gegen die irische Datenschutzaufsichtsbehörde angeschlossen. Der EuGH hat in diesem Verfahren über die Frage zu entscheiden, ob die irische Aufsichtsbehörde verpflichtet war, auf Beschwerde des Studenten hin gegen die Facebook Ltd. tätig zu werden. Die irische Aufsichtsbehörde hatte dies mit Verweis auf die ausreichende Schutzwirkung der Safe-Harbor-Grundsätze verneint. Der daraufhin angerufene Irish High Court hat diese Rechtsfrage dem EuGH vorgelegt.

In einer von dem Wiener Juristen Max Schrems angestoßenen Klage gegen die Untätigkeit des Irischen Datenschutzbeauftragten wegen der Datenübermittlung von Facebook Ireland Ltd. zur Konzernmutter Facebook Inc. in den USA entschied der irische High Court in Dublin mit Beschluss vom 18.06.2014, dem Europäischen Gerichtshof (EuGH) die Frage nach der Verbindlichkeit des Safe-Harbor-Beschlusses der EU-Kommission aus dem Jahr 2000 vorzulegen. Der Kläger machte geltend, dass er durch die Massendatenabfrage des US-amerikanischen Geheimdienstes National Security Agency (NSA) bei der Facebook Inc. in den USA als Facebook-Mitglied in seinen Datenschutzrechten verletzt sei. Eine entsprechende Aufforderung zum Tätigwerden wies der Irische Datenschutzbeauftragte zurück.