Nach der Ankündigung der deutschen Datenschutzbehörden, neue Genehmigungen für Datenübermittlungen in die USA nicht mehr erteilen zu wollen, da mit hoher Wahrscheinlichkeit gegen die Grundsätze von Safe-Harbor verstoßen wird, mehren sich in der Öffentlichkeit die Stimmen, die eine „Kündigung“ von Safe-Harbor fordern oder die „Safe-Harbor-Klausel“ auf Eis legen wollen. Inwiefern die nationalen Datenschutzbehörden hier tatsächlich tätig werden können, hat Adrian Schneider bei Telemedicus näher untersucht.

Nachfolgend soll es vor allem um den Versuch gehen eine Antwort auf die Frage zu finden, was Safe-Harbor rechtlich darstellt und wie und wenn ja wer sich davon lösen kann.

Entstehung
Die Verhandlungen zwischen der Europäischen Kommission und der amerikanischen Regierung, vertreten durch das Handelsministerium, begannen 1998. Die Praxis bestand darin, dass in Form eines Briefwechsels Vorschläge, für die Grundsätze einer Datenübermittlung mit angemessenem Schutznievau aus Europa in die USA, gegenseitig ausgetauscht und kommentiert wurden (viele Dokumente und Briefe finden sich auf der Seite des amerikanischen Handelsministeriums). Auf europäischer Seite wurde zudem die Art. 29 Datenschutzgruppe über die Verhandlungen informiert und diese gab mehrere Stellungnahmen im Laufe des Prozesses ab (WP 15, WP 19, WP 21, WP 23, WP 27, WP 31, WP 32, alle abrufbar über die Internetseite der Datenschutzgruppe).

Internationales Abkommen?
Zunächst könnte man die Meinung vertreten, dass es sich bei diesem Briefwechsel auf internationaler Ebene und der abschließenden Einigung auf bestimmte Grundsätze, um ein internationales Abkommen i. S. d. Art. 218 AEUV handelt. Diese Meinung wurde etwa in dem Bericht des Europäischen Parlaments zu Safe-Harbor vorgebracht. Es wurde die Gefahr angesprochen, dass ein solches Abkommen eventuell unwirksam sein könnte, da das Europäische Parlament nicht aktiv an dem Abschluss beteiligt war. Dass allein ein Briefwechsel ein internationales Abkommen darstellen kann, ist in der Europäischen Union anerkannt. Dennoch bedarf es zu seiner Wirksamkeit nach Art. 218 AEUV auf jeden Fall der Zustimmung des Rates der Europäischen Union durch einen Beschluss. In einigen Fällen auch die Zustimmung des Europäischen Parlaments. Diese lagen hier jedoch nicht vor.  Zwar wurden die Mitgliedstaaten i. R. d. des erforderlichen Ausschussverfahrens (zur Unterstützung der Kommission bei der Beurteilung eines angemessenen Schutzniveaus) nach Art. 31 der Datenschutzrichtlinie (RL 95/46/EG) an den Verhandlungen beteiligt. Die formellen Vorschriften zum Abschluss eines internationalen Abkommens nach Art. 218 AEUV sind jedoch nicht erfüllt.

Geht man also aufgrund des Briefwechsels zwischen der Kommission und dem amerikanischen Handelsministerium von einem internationalen Abkommen aus, so würde sich dies eventuell bereits als unwirksam darstellen.

Entscheidung der Kommission
Dieses Abkommen würde sich jedoch nur auf die in den Briefwechseln niedergelegten und verhandelten Positionen beziehen. Denn den Safe-Harbor Grundsätzen und ihrer EU-weiten Verbindlichkeit liegt offiziell eine Entscheidung der Kommission zugrunde (2000/520/EG). Der Begriff „Entscheidung“ existiert in der heutigen EU Gesetzgebung nicht mehr. Dieser wurde durch den „Beschluss“ i. S. d. Art. 288 Abs. 4 AEUV ersetzt.

Solche Beschlüsse sind in all ihren Teilen verbindlich. Es können zwei Arten von Beschlüssen erlassen werden, adressatenspezifische und adressatenunabhängige Beschlüsse. Im Falle des adressatenspezifischen Beschlusses ist dieser an einen fest definierten Adressatenkreis gerichtet.

Die Safe-Harbor Entscheidung stellt einen solchen adressatenspezifischen Beschluss, mit verbindlicher Wirkung, dar. Denn nach Art. 6 der Entscheidung ist diese an alle Mitgliedstaaten gerichtet. Der Inhalt der Entscheidung, also sowohl der Text an sich, als auch die umfangreichen Anhänge mit den verschiedenen Angaben zur tatsächlichen Durchführung und spezifischen Pflichten für amerikanische Unternehmen, beinhalten für alle Mitgliedstaaten und deren Organe eine Pflicht zur Befolgung. Diese verbindliche Feststellung schließt freilich nicht aus, dass hiervon Ausnahmen zugelassen werden (hierzu das Update am Ende des Beitrages).

Durchführungsrechtsakt
Als besondere Art des Beschlusses kommt im Fall von Safe-Harbor, als Ausgestaltung der Grundsätze zur Übertragung von personenbezogenen Daten in Drittländer, ein sog. Durchführungsrechtsakt i. S. d. Art. 291 Abs. 4 AEUV in Betracht. Denn in Erwägungsgrund 66 der Datenschutzrichtlinie wird ausdrücklich bestimmt: „Für die Übermittlung von Daten in Drittländern ist es zur Anwendung dieser Richtlinie erforderlich, der Kommission Durchführungsbefugnisse zu übertragen“.

Zweck der Safe-Harbor Entscheidung ist es, ein angemessenes Schutzniveau für die Übermittlung von Daten aus der Gemeinschaft in die Vereinigten Staaten anzuerkennen (Erwägungsgrund 5 der Safe-Harbor Entscheidung). Grundsätzlich besteht ein solches angemessenes Niveau in den USA nicht. Jedoch soll eine Art „Insel der Angemessenheit“ geschaffen werden. Hierzu ist es für amerikanische Unternehmen erforderlich, gewisse Pflichten in Bezug auf den Umgang mit Daten einzugehen. Nehmen sie an diesem, in den USA als freiwilliges Zertifizierungssystem ausgestalteten Programm teil, so wird eine Datenübermittlung automatisch und für die Mitgliedstaaten verbindlich als von einem angemessenen Schutzniveau gedeckt angesehen. Eine gesonderte Genehmigung durch nationale Behörden ist dann nicht erforderlich.

Nach Art. 25 Abs. 6 Datenschutzrichtlinie kann die „Kommission nach dem Verfahren des Artikels 31 Absatz 2 feststellen, daß ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen … hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet“. Hier wird also der Kommission gerade die Durchführungsbefugnis erteilt, ein angemessenes Datenschutzniveau, verbindlich für alle Mitgliedstaaten, festzulegen. Genau von dieser Befugnis hat sie mit ihrer Safe-Harbor Entscheidung Gebrauch gemacht.

Dafür, dass es sich bei Safe-Harbor rechtlich „nur“ um eine Kommissionsentscheidung handelt, könnte auch die Ansicht und der Wortlaut der Pressemitteilung der deutschen Datenschutzbehörden sprechen. Denn dort werden die „Grundsätze in den Kommissionsentscheidungen“ und nicht in einem Abkommen, als verletzt angesehen.

Wie beendet man einen Beschluss?
Nun stellt sich natürlich die Frage, wie und vor allem wer die Befugnis besitzt, einen solchen bindenden Beschluss der Kommission für unwirksam zu erklären, Safe-Harbor also auszusetzen bzw. zu beenden.

Zunächst wäre es den Adressaten, also den Mitgliedstaaten, möglich, eine Nichtigkeitsklage gem. Art. 263 AEUV vor dem EuGH zu erheben, mit dem Ziel der Aufhebung des Beschlusses. Dazu müsste dieser jedoch gegen Unionsrecht verstoßen.

Vor allem befugt ist aber die Kommission selbst. Mitgliedstaaten können nicht von sich aus die Entscheidung der Kommission „aussetzen“ oder „kündigen“. Nach Art. 25 Abs. 4 Datenschutzrichtlinie besitzt die Kommission die Befugnis festzustellen, dass kein angemessenes Datenschutzniveau (mehr) in einem Drittstaat besteht. Als Folge könnte sie ihre Entscheidung zurücknehmen oder aber abändern. Art. 4 Abs. 1 der Safe-Harbor Entscheidung sieht ebenfalls die Möglichkeit für die Kommission vor, ihre Entscheidung anzupassen. Die Untersuchung, ob die Safe-Harbor Entscheidung angepasst oder gar aufgehoben werden muss, wird derzeit durch die Europäische Kommission vorgenommen. Bis zum Ende diesen Jahres soll ein Ergebnis vorliegen.

Fazit
Derzeit liegt der Ball sicherlich im Feld der Kommission. Sie muss prüfen und dann entscheiden, welche Maßnahmen sie in Bezug auf Datenübermittlungen in die USA und ihre Safe-Harbor Entscheidung trifft. Nationale Datenschutzbehörden können nach Art. 3 Abs. 1 b) und Erwägungsgrund 8 der Safe-Harbor Entscheidung „bestimmte Datenübermittlungen“ aussetzen, wenn gewisse Voraussetzungen vorliegen, wie etwa, dass die hohe Wahrscheinlichkeit besteht, dass die Grundsätze von Safe-Harbor verletzt werden. Die deutschen Datenschutzbehörden haben klargestellt, dass sie derzeit von einer solchen Sachlage ausgehen. Die irische Datenschutzbehörde sieht dies jedoch genau anders (hierzu mein Beitrag).

Es bleibt daher abzuwarten, wann die Kommission ihr Untersuchungsergebnis vorlegt und wie dieses ausfällt. Bis dahin wird, vorbehaltlich einer Nichtigkeitsklage, Safe-Harbor jedoch in Kraft bleiben, jeder Drohung mit Kündigung und Vereisung zum trotz.

Update vom 30. Juli 2013:
Klarstellend zum Inhalt und der Reichweite der Kommissionsentscheidung sei angemerkt, dass sich diese (wie beschrieben) allein auf die Feststellung bezieht, dass in Bezug auf Datenübermittlungen an teilnehmende Unternehmen des Safe-Harbor Programms von einem angemessenen Datenschutzniveau auszugehen ist. Das ansonsten in den USA bestehende, nicht ausreichende Datenschutzniveau, stellt also kein Übermittlungshindernis dar.

Ist eine Genehmigung erfoderlich?
Prof. Niko Härting befasst sich in einem Blogbeitrag mit der Frage, ob übehaupt eine Genehmigung der Datenschutzbehörden erforderlich bzw. möglich ist, wenn Daten an ein Unternehmen, welches am Safe-Harbor Programm teilnimmt, übertragen werden sollen. Wie er, so sehe ich für eine proaktive Genehmigungszuständigkeit der nationalen Datenschutzbehörden, bei einem durch die Kommission festgestellten angemessenen Datenschutzniveau, keine Rechtsgrundlage. Diese Ansicht vertritt auch ausdrücklich die Europäische Kommission, wenn sie in ihrem ersten Bericht zur Durchführung der Datenschutzrichtlinie (KOM (2003) 265 endg.) ausführt: „Die Datenschutzbehörde kann zwar rechtmäßig verlangen, dass diese Übermittlungen gemeldet werden, aber diese Übermittlungen müssen nicht genehmigt werden, weil sie bereits durch die Gemeinschaftsvorschriften zugelassen sind„. (S. 20)

Untersagung nach Meldung
Jedoch bedeutet dies nicht, dass die Mitgliedstaaten, bzw. in der Praxis die nationalen Datenschutzbehörden, einzelne Datentransfers in die USA damit nicht untersagen könnten. Denn das angemessene Datenschutzniveau stellt sozusagen nur eine Komponente der rechtmäßgen Übermitlung dar. Dies ergibt sich bereits aus Art. 3 Abs. 1 der Safe-Harbor Entscheidung und der Befugnis nationaler Behörden, bestimmte Datenübermittlungen zu untersagen. Vor allem Art. 25 Abs. 1 Datenschutzrichtlinie stellt ausdrücklich klar, dass eine Übermittlung „vorbehaltlich der Beachtung der aufgrund der anderen Bestimmungen dieser Richtlinie erlassenen einzelstaatlichen Vorschriften zulässig ist„. Solch eine einzelstaatliche Rechtsvorschrift stellt in Deutschland etwa § 4b Abs. 2 BDSG dar, wonach eine „Übermittlung unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat„. Dann ist auch die Feststellung der Kommission in Bezug auf das angemessene Datenschutzniveau kein Hindernis und nationalen Datenschutzbehörden können, nach einer erforderlichen Meldung der geplanten Datenverarbeitung durch die verantwortliche Stelle (§§ 4d, 4e BDSG) an die Datenschutzbehörde, die Übermittlung aufgrund der entgegenstehenden Interessen untersagen.

Aktuelle Vorgehensweise der Datenschutzbehörden
In einem Onlineartikel des Bureau of National Affairs von Bloomberg äußert sich der Berliner Beauftragte für den Datenschutz, Dr. Alexander Dix, zur derzeitigen Praxis seiner Behörde. Nach seiner Aussage werden geplante und der Behörde vorgelegte Datenübermittlungen entweder nicht weiter bearbeitet oder es werden der verantwortlichen Stelle spezifische Fragen bezüglich der Maßnahmen gestellt, welche sie einsetzt, um den Zugriff von Geheimdiensten auf die Kommunikation zu verhindern. Positiv beeinflussen wird die Entscheidung der Datenschutzbehörde nach der Aussage von Herrn Dix etwa, wenn ein amerikanischer Anbieter Verschlüsselungstechniken bei der Speicherung der Daten einsetzt.

Dieses Vorgehen der deutschen Datenschutzbehörden wird zum einen Unternehmen unter Druck setzen und vor neue Herausforderungen stellen. Nach der Aussage von Herrn Dix geht es den Datenschützern jedoch vor allem auch darum, dass die Bundesregierung aktiv wird und dafür sorgt, dass der Zugriff ausländischer Geheimdienste auf die Daten deutscher Betroffener nicht die Grenzen des europäischen Datenschutzrechts überschreitet.