Die USA haben bis heute (faktisch) kein angemessenes Datenschutzniveau nach Maßgabe der europäischen Datenschutzrichtlinien. Um gleichwohl rechtlich den Datenaustausch mit dem vermeintlich „unsicheren Drittstaat“ in Übersee zu vereinfachen (Deutschland ist der wichtigste Handelspartner der USA in Europa), gab es eine quasi „bilaterale“ Übereinkunft zwischen der EU-Kommission und dem US-Handelsministerium dahingehend, dass US-amerikanische Unternehmen sich im Wege einer Selbstzertifizierung den in der Übereinkunft bestimmten datenschutzrechtlichen Verpflichtungen freiwillig unterwerfen konnten. Die über eine veröffentlichte Liste erreichte Publizität dieser „Unterwerfung“ unter dem sog. „Safe Harbour“-Abkommen vermittelte Rechtssicherheit darüber, ob aus Sicht der zur Rechtskonformität verpflichteten europäischen Unternehmen die US-Seite als grundsätzlich „datenschutzrechtlich sicher“ angesehen werden konnte.

Auch wenn einzelfallbezogen nationale Aufsichtsbehörden – insbesondere in Deutschland – die Erfüllung weiterer Voraussetzungen verlangten, so war doch dieses Abkommen in Anbetracht der Bedeutung eines reibungslosen, d. h. rechtskonformen Datenaustausches von großer Bedeutung für den Wirtschaftsverkehr.

Umso beachtlicher ist es, dass nun der EuGH am 06.10.2015 im Urteilswege (Rs. C-362/14) die Entscheidung der Kommission, nach welcher das besagte Safe-Harbor-Abkommen ein angemessenes Schutzniveau gewährleisten würde (2000/520/EC vom 26.7.2000), kassiert hat. Diese sei ungültig, da das Safe-Harbor-Abkommen lediglich für privatwirtschaftliche Beitrittsunternehmen gelte – nicht aber für amerikanische Behörden.

Und hier liegt tatsächlich der Hase im Pfeffer, wie nun Beispiele aus der jüngeren Vergangenheit eindrucksvoll belegen: Die „Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der USA“ hätten einen anerkanntermaßen und für die Beitrittsunternehmen (im Wortsinne) zwingenden Vorrang vor den Safe-Harbor-Regelungen – soweit diese den nationalen Sicherheitsinteressen widersprechen. Wann das der Fall ist, entscheidet freilich letztlich die US-amerikanische Administration unter gelinde gesagt nicht immer ganz transparenten Gesichtspunkten.

Der dann nicht hinreichend geregelte, ggf. anlassunabhängige und undifferenzierte Zugriff US-amerikanischer Behörden und (befreundeter) Dienste auf personenbezogene Daten von Bürgern der Europäischen Union und deren unklare Verarbeitung und Speicherung ist dann nach europäischem Datenschutzrecht unverhältnismäßig; dies auch im Lichte der berechtigten Sicherheitsinteressen des USA, da hier Grundrechte der EU-Bürger tangiert würden.

Die möglichen Auswirkungen dieser formalen Bestätigung einer allerdings in Fachkreises längst klaren Rechtslage ist derzeit noch gar nicht abzuschätzen und hängt nicht zuletzt nunmehr von der Reaktion nationaler Aufsichtsbehörden in der EU ab. Denn diese Entscheidung hat ja ganz unmittelbare Auswirkungen auf alle transatlantischen Geschäftsvorgänge, bei denen es zu einer Datenübermittlung kommt, und sei es eben auch nur in Gestalt einer IP-Adresse (als ein nach derzeit wohl herrschender Meinung personenbezogenes Datum). Dies betrifft dann aber zum Beispiel und insbesondere natürlich die weltweiten Marktführer im Bereich der „Daten-Clouds“, also dem Outsourcing von Datenverarbeitungs- und Datenanalyseprozessen, namentlich Google Apps, Google Adwords bzw. Analytics, Microsoft Office 365, Salesforce, Amazon u.v.a.

Was ist nun zu tun?

Zunächst einmal war und ist der „Safe Harbour“ natürlich nicht die einzige Möglichkeit der rechtskonformen Datenübermittlung. Neben der ausdrücklichen und freiwilligen Einwilligungen von wohlgemerkt hinreichend informierten Betroffenen (deren Einholung freilich im rechtsgeschäftlichen Verkehr oder in Arbeitsrechtsverhältnissen praktisch unmöglich ist), besteht immer die Möglichkeit der Rechtskonformität durch unveränderte Übernahme der Regelungen nach den sog. EU-Standardvertragsklauseln für die Datenübermittlung in unsicherer Drittstaaten. Ob dies für europäische bzw. deutsche Unternehmen tatsächlich eine Option ist, hängt letztlich vom Empfänger in den USA ab – je gewichtiger dessen Marktstellung, desto weniger dürfte man allerdings dort bereit sein, sich derart im Sinne der strengen europäischen bzw. nationalen Datenschutzbestimmungen zu verpflichten; der zu betreibende Aufwand bei weltweit vernetzen Strukturen wäre auch wohl ganz erheblich.

Schließlich bliebe derzeit noch im Falle international tätiger Konzerne (mit also datenaustauschenden Niederlassungen bzw. Tochterfirmen sowohl in Europa als auch in den USA) der Einsatz der sog. Binding Corporate Rules (BCR), d. h. verbindlichen Konzernregelungen zum Datenschutz wiederum auf Basis des europäischen Datenschutzrechts, durch die quasi im Wege von begünstigten Binnenregelung ein „angemessenes Datenschutzniveau“ hergestellt werden kann. Der Datentransfer stünde aber gleichwohl unter einem administrativen Zustimmungsvorbehalt der Datenschutzbehörden all jener EU-Länder, in denen das betroffene Konzernunternehmen Sitze unterhält.

Im Hinblick auf die EU-Standardvertragsklauseln und BCR drängt sich nun freilich die Frage auf, warum denn unter deren Anwendung rechtlich etwas anderes gelten sollte, als der EuGH zum Safe Harbour konstatiert hat: Auch hier unterstehen die in die USA übermittelten Daten ja faktisch der Zugriffsberechtigung der Behörden.

Zumindest die EU-Kommission hat sich im Lichte des EuGH-Urteils beeilt darauf hinzuweisen, dass ja die EU-Standardvertragsklauseln und BCR einen anderen Regelungshintergrund hätten (nämlich den der Gefährdung eines „unsicheren Drittstaates“ ohne angemessenes Datenschutzniveau). Gleichwohl ist es nach dem Vorangestellten schon sehr fraglich, ob selbst unter dem strengen Regelungsinhalt dieser Klauseln eine rechtliche Differenzierung widerspruchsfrei gelingt.

Für deutsche bzw. europäische Unternehmen dürfte es im Hinblick auf etwaige Gefährdungen entscheidend darauf ankommen, wie die nationalen Datenschutzbehörden auf das Urteil reagieren. Es deuten sich allerdings in den ersten Stellungnahmen bereits wieder unterschiedliche Auffassungen auf europäischer und nationaler Ebene an. Es darf zwar im Sinne einer Harmonisierung des europäischen Wirtschaftsraumes erwartet werden, dass sich diese in den nächsten Tagen untereinander abstimmen und sodann Stellung nehmen. Bis dahin sollten aber die hiesigen Unternehmen die Zeit unbedingt nutzen, um im Hinblick auf die konkreten aktiven Geschäftsprozesse mit Datenempfängern in den USA den Status Quo möglichst nachweisbar zu analysieren, um ggf. schnell alternative, d. h. rechtskonforme Datenverarbeitungsprozesse bzw. arbeitsvertragliche Grundlagen (z. B. Betriebsvereinbarungen) zu implementieren.

Ansonsten darf zumindest mittelfristig mit Bußgeldern oder gar mit dem Versuch von Abmahnungen gerechnet werden (freilich wurden bislang nur bestimmte Verstöße gegen das Datenschutzrecht von deutschen Gerichten als wettbewerbsrechtlich abmahnbar erkannt, soweit es sich nämlich um eine Marktverhaltensregel im Sinne des § 4 Nr. 11 UWG handelt).