CR-online.de Blog

Der Einfluss des Safe-Harbor-Urteils auf den Entwurf der Datenschutz-Grundverordnung

avatar  Matthias Bergt

Das EuGH-Urteil zu Safe Harbor hat Spuren im Trilog-Entwurf der Datenschutz-Grundverordnung hinterlassen. Im Safe-Harbor-Urteil hatte der EuGH eine Reihe an Anforderungen an Datentransfers in Drittstaaten aufgestellt und Aussagen zur Kompetenzverteilung zwischen EU-Kommission und nationalen Datenschutz-Aufsichtsbehörden gemacht. Da der EuGH die Anforderungen unmittelbar aus der Grundrechtecharta ableitet, kann auch die geplante Datenschutz-Grundverordnung (DSGVO) nicht hinter diesen Maßstäben zurückbleiben. Der zwischen Kommission, Parlament und Rat abgestimmte Trilog-Entwurf vom 15. Dezember 2015 (hierzu Härting, CR-online.de Blog vom 18.12.2015) greift eine Reihe an Formulierungen aus dem Safe-Harbor-Urteil (EuGH, Urt. v. 6.10.2015 – C-362/14 – Schrems (Safe Harbor), CR 2015, 633 m. Anm. Härting = MMR 2015, 753 m. Anm. Bergt; hierzu auch Moos/Schefzig, CR 2015, 625; Moos, CR-online.de Blog vom 6.10.2015; Lejeune, CR-online.de Blog vom 14.10.2015; Bergt, CR-online.de Blog vom 23.9.2015) auf.

Angemessenheit des Schutzniveaus

So spricht – anders als die Vorfassungen – der DSGVO-Entwurf in der – nach dem Safe-Harbor-Urteil beschlossenen – Trilog-Fassung in Erwägungsgrund 81 davon, dass das „angemessene Schutzniveau“ eines Drittstaats „essentially equivalent to that guaranteed within the Union“ sein müsse und übernimmt so die Wortwahl des Safe-Harbor-Urteils. Erwägungsgrund 81b und Art. 41 Abs. 3 und 4a nehmen die Forderung des EuGH nach einer regelmäßigen Überprüfung von Angemessenheitsentscheidungen auf.

Durchsetzbare Rechte für die Betroffenen

Erwägungsgrund 83 verlangt weitergehend, dass Rechtfertigungsmechanismen wie Standardvertragsklauseln, Binding Corporate Rules oder sonstige Vertragsklauseln die Rechte der Betroffenen „appropriate to intra-EU processing, including the availability of enforceable data subject rights and of effective legal remedies“ sichern und greift damit wesentliche Forderungen aus dem Safe-Harbor-Urteil auf.

Auch der Datenaustausch mit anderen Staaten oder internationalen Organisationen auf Basis von Verwaltungsvereinbarungen muss nach Erwägungsgrund 83 und Art. 42 Abs. 2a lit. b) DSGVO nun durchsetzbare und effektive Rechte für die Betroffenen vorsehen. Entsprechendes gilt nach Erwägungsgrund 89 und Art. 42 Abs. 1 DSGVO für den Fall, dass keine Angemessenheitsentscheidung vorliegt.

Auch behördliche Zugriffsmöglichkeiten zu beachten

Art. 41 Abs. 2 lit. a) DSGVO verlangt in der Trilog-Fassung nun – entsprechend dem Safe-Harbor-Urteil –, dass bei der Bewertung der Angemessenheit des Datenschutzniveaus in einem Drittstaat auch das Recht der öffentlichen Sicherheit und Verteidigung, das Strafrecht, behördliche Zugriffsrechte auf personenbezogene Daten und die tatsächliche Umsetzung dieser Rechtslage – einschließlich der Rechtsprechung – zu berücksichtigen sind.

__________
Anzeige:

__________

Verhältnis EU-Kommission – nationale Datenschutz-Aufsichtsbehörde

Die Angemessenheitsentscheidungen werden in Art. 41 DSGVO weiterhin der EU-Kommission zugewiesen. Der Konflikt mit der unabhängigen Prüfungskompetenz der Datenschutz-Aufsichtsbehörden (Art. 47 Abs. 1 DSGVO) bleibt damit letztlich bestehen wie bisher schon unter der Geltung der DSRL und vom EuGH dem Safe-Harbor-Urteil zu Grunde gelegt: Denn eine alleinige Entscheidungskompetenz der EU-Kommission würde nach dem Safe-Harbor-Urteil den Betroffenen das Recht aus Art. 8 Abs. 1 und 3 GRCh nehmen, sich zum Schutz ihrer Grundrechte an die nationalen Aufsichtsbehörden zu wenden (EuGH, Urt. v. 6.10.2015 – C-362/14 – Schrems (Safe Harbor), CR 2015, 633 (636) Rz 58).

Damit werden die nationalen Datenschutz-Aufsichtsbehörden auch weiterhin das Recht zu vorläufigen Maßnahmen einschließlich des vorläufigen Verbots von Datenübermittlungen haben, auch wenn die EU-Kommission eine entgegenstehende Angemessenheitsentscheidung getroffen hat; diese Entscheidungen nationaler Aufsichtsbehörden dürfen nur nicht endgültig sein, weil eine endgültige Entscheidung in die Alleinkompetenz des EuGH eingreifen würde (EuGH, Urt. v. 6.10.2015 – C-362/14 – Schrems (Safe Harbor), CR 2015, 633 (635) Rz 52 ff.).

 

Mehr zum Autor: Matthias Bergt ist Referatsleiter bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit. Er kommentiert beispielsweise die Artikel 37-39 (Datenschutzbeauftragter), 40-43 (Verhaltensregeln und Zertifizierung) und 77-84 (Rechtsbehelfe, Haftung und Sanktionen) sowie Parallelnormen des BDSG in Kühling/Buchner (Hrsg.): Datenschutz-Grundverordnung/Bundesdatenschutzgesetz (DSGVO/BDSG), das Dienstvertragsrecht und die Abgrenzung der Vertragstypen in Schuster/Grützmacher (Hrsg.): IT-Recht Kommentar und trägt eine Vielzahl von Mustern zum Formularhandbuch Datenschutzrecht von Koreng/Lachenmann (Hrsg.) bei.

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.