Der Safe-Harbor ist nicht mehr sicher – Teil 1
Die verschiedensten Quellen im Internet haben bereits über die Safe Harbor Entscheidung des EuGH berichtet. Warum also noch ein weiterer Blog-Post zu diesem Thema? Man konnte bereits am Tag der Entscheidung des EuGH über die Unwirksamkeit des Safe Harbor Abkommens Berichte zu Alternativen für eine rechtskonforme Übertragung von personenbezogenen Daten in die U.S.A. finden – zu einer Zeit als eigentlich nur eines klar war: dass nichts klar ist. In der Zwischenzeit hat sich der Nebel etwas gelüftet und die nationalen Datenschutzbehörden hatten etwas Zeit, die Entscheidungsgründe der EuGH Entscheidung zu verdauen. Da diese Entscheidung wesentliche Auswirkungen auf die Übertragung von personenbezogenen Daten in die U.S.A. hat, soll sie noch einmal beleuchtet werden. Ich möchte allerdings aus beim Leser Bekanntem einen Vorteil ziehen, und werde die Beschreibung der Fakten kurz halten und auf die aus me<iner Sicht wesentlichen Punkte fokussieren.
Die Dinge sind im Fluß. Die für Anfang 2016 erwarteten Änderungen werden Gegenstand eines zweiten Teils dieses Posts. Doch eins nach dem anderen:
Bekanntlich hat der EuGH am 6. Oktober 2015 die Entscheidung der EU Kommission, dass die Übertragung von personenbezogenen Daten in die U.S.A. dann ein angemessenes Datenschutzniveau aufweise (also rechtmäßig ist), wenn der Empfänger in den U.S.A. dem sogenannten Safe Harbor beigetreten ist, für unwirksam erklärt (die „Schrems-Entscheidung“). Aus diesem Grund sind seit dem 6. Oktober 2015 Übertragungen von personenbezogenen Daten auf Basis des Safe Harbor Abkommens unrechtmäßig. Die Schrems-Entscheidung des EuGH hat deshalb signifikante Auswirkungen auf die zukünftige Strukturierung von Daten-Transfers aus der EU in die U.S.A., da nunmehr weder EU Datenexporteure noch U.S.-Empfänger von personenbezogenen Daten für eine rechtskonforme Datenübertragung noch auf das Safe Harbor Abkommen vertrauen können.
Die Schrems-Entscheidung birgt jedoch noch einen weiteren Grundsatz, der nicht auf Datenschutzangelegenheiten limitiert ist und bislang nicht entsprechend in den Medien penetriert wurde: während die nationalen Behörden bislang EU-Richtlinien im Lichte entsprechender Entscheidungen der EU-Kommission auslegte, stellt der EuGH nunmehr zum einen klar, dass die EU-Kommission nicht berechtigt ist, nationale Behörden in ihrer Auslegung von EU-Richtlinien zu limitieren und zum anderen, dass Entscheidungen der EU-Kommission justiziabel sind, sofern die nationalen Gerichte Zweifel an deren Rechtmäßigkeit haben.
Der Sachverhalt
Maximilian Schrems, ein österreichischer Bürger (und Datenschutzrechtler) war besorgt, dass die irische Tochtergesellschaft des Facebook-Konzerns seine personenbezogenen Daten an in den U.S.A. gelegene Server überträgt. Herr Schrems erhob Beschwerde bei der irischen Datenschutzbehörde gegen die Übertragung seiner personenbezogenen Daten in die U.S.A. mit der Begründung, dass das in den U.S.A. geltende Recht keinen ausreichenden Schutz gegen den Zugriff auf in die U.S.A. übertragene personenbezogenen Daten durch Regierungsbehörden biete. Die irische Behörde lehnte das Rechtsmittel ab mit der Begründung, dass aufgrund der Safe Harbor Entscheidung der EU-Kommission vom 26. Juli 2000 Datenübertragungen an Empfänger in den U.S.A., die dem Safe Harbor beigetreten sind, ein angemessenes Schutzniveau im Sinne der EU-Datenschutzrichtlinie aufweisen (und deshalb rechtmäßig seien).
Der irische High Court legte die Angelegenheit sodann dem EuGH vor mit der Frage, ob nationale Datenschutzbehörden, ungeachtet des Beitritts eines U.S. Empfängers von personenbezogenen Daten zum Safe Harbor, nach eigenem Ermessen im Einzelfall über ein angemessenes Schutzniveau entscheiden und eine Übertragung von personenbezogenen Daten in ein Drittland verbieten können.
Die Entscheidung des EuGH
In seiner Entscheidung arbeitete der EuGH im Wesentlichen zwei bedeutende Grundsätze heraus:
(i) Zunächst stellt der EuGH klar, dass Entscheidungen der EU-Kommission, die in der Vergangenheit zur Auslegung von EU-Richtlinien dienten, justiziabel sind. Damit relativiert der EuGH die Rolle der EU-Kommission bei der Auslegung von EU-Richtlinien. Der EuGH betont jedoch, dass Entscheidungen der EU-Kommission nur durch ein Urteil des EuGH kassiert werden können.
(ii) Sodann erklärt der EuGH die Safe Harbor Entscheidung der EU Kommission für unwirksam. Damit sind zum einen Datenübertragungen auf Basis des Safe Harbor Abkommens nicht mehr rechtmäßig. Zum anderen sind die nationalen Datenschutzbehörden nunmehr in ihrem Ermessen frei, eine Datenübertragung in die U.S.A. zu verbieten ungeachtet des Beitritts zum Safe Harbor durch den U.S. Empfänger.
Bezüglich des ersten Aspekts der Schrems-Entscheidung wird nunmehr der Weg zur Überprüfung von Entscheidungen der EU-Kommission durch den EuGH geebnet.
Bezüglich des zweiten Aspekts der Schrems-Entscheidung – und ohne auf die Entscheidungsgründe im Einzelnen einzugehen – erklärt der EuGH Datenübertragungen auf Basis des Safe Harbor Abkommens für unrechtmäßig, da der Safe Harbor sowohl U.S. Sicherheits- und Vollzugs- als auch andere US-Behörden nicht am Zugriff auf von der EU in die U.S.A. transferierte personenbezogene Daten hindert. Aus europäischer Sicht wird hierdurch der Schutz des Safe Harbors überholt. Nach Auffassung des EuGH wird das Grundrecht auf Achtung des Privatlebens nach Art. 7 der Charta der Grundrechte der Europäischen Union („Charta“) tangiert, wenn nach U.S.-Recht ein grundsätzlicher Zugriff auf den Inhalt elektronischer Kommunikation durch Behörden zugelassen ist.
Auswirkungen und Anwendung der EuGH-Entscheidung in der Praxis
Der erste Aspekt der Schrems-Entscheidung kann nicht als unmittelbar nachteilig bezeichnet werden, auch wenn er die Bemühungen zu einer konsolidierten Auslegung und Anwendung von EU-Richtlinien durch die verschiedenen EU-Mitgliedstaaten zunächst zu unterminieren scheint. Ein konsolidiertes Compliance-Management in verschiedenen EU-Mitgliedsländern unter EU-Richtlinien kann im Einzelfall trickreich sein, da jeder EU-Mitgliedsstaat im Rahmen der Umsetzung einer EU-Richtlinie in nationales Recht Regeln vorsehen kann, die strenger sind als die Vorgaben der entsprechenden EU-Richtlinie. Entsprechendes gilt auch für die Auslegung von EU-Richtlinien. In diesem Kontext sind Kommissionsentscheidungen eine wertvolle Hilfe zur Schaffung einer größeren Einheitlichkeit in der EU-weiten Auslegung von Richtlinien. Dennoch kann eine Einheitlichkeit in der Anwendung nicht zu Lasten des effektiven Rechtsschutzes gehen. Wenn der EuGH eine Kommissions-Entscheidung kassiert, bleiben die Mitgliedstaaten aufgerufen, ein hierdurch ggf. entstandenes rechtliches Vakuum wieder zu schließen.
Der zweite Aspekt der Schrems-Entscheidung hat freilich enorme wirtschaftliche Auswirkungen. Seit dem 6. Oktober 2015 sind Übertragungen von personenbezogenen Daten von der EU in die U.S.A. auf Basis des Safe Harbor Abkommens unrechtmäßig. Natürlich gab es bei vielen Berichten im Internet die Bestrebung, sofort Lösungen zu dieser Situation anzubieten. Zugegebenermaßen lag es zunächst nahe, auf die sogenannten Standardvertragsklauseln oder “Binding Corporate Rules” zu verweisen – zwei Mechanismen zur Schaffung eines angemessenen Schutzniveaus bei der Übertragung personenbezogener Daten in die U.S.A. auf vertraglicher Grundlage. Diese beiden Alternativen hatten in der Vergangenheit eine große Akzeptanz in der Industrie erfahren, warum sollten sie also nicht auch zukünftig anwendbar sein?
Wirft man jedoch einen genauen Blick auf den Kern der Schrems-Entscheidung wird deutlich, dass der EuGH den Grund für die Unwirksamkeit der Kommissions-Entscheidung darin gesehen hat, dass diese einen grundsätzlichen Zugriff auf aus der EU in die USA übertragene personenbezogene Daten durch amerikanische Regierungsbehörden nicht verhindern kann. Wenn sich jedoch die Bedenken des EuGH gegen die einen solchen generellen Zugriff auf elektronische Kommunikation erlaubende Gesetzgebung in den USA richtet, und wenn der EuGH diesen Zugriff als Eingriff In das Grundrecht auf Privatheit betrachtet, macht es vor diesem Hintergrund dann einen Unterschied, ob Datenübertragungen zukünftig auf Basis der Standardvertragsklauseln oder der “Binding Corporate Rules” erfolgen? In der Tat sind die deutschen Datenschtzbehörden der Aufassung, dass es keinen Unterschied macht: weder Standardvertragsklauseln noch “Binding Corporate Rules” könnten einen Verstoß gegen die gesetzliche Verpflichtung zur Zusammenarbeit mit den Regierungsbehörden in den USA rechtfertigen.
Die (gegenwärtige) Situation in Deutschland
Verschiedene deutsche und europäische Gremien kommen regelmäßig zusammen, um sich bezüglich einer einheitlichen Anwendung von Datenschutzmaßnahmen abzustimmen. Auf europäischer Ebene ist dies die sogenannte Art 29 Arbeitsgruppe (so genannt aufgrund der sie betreffenden Regelung in Art 29 der EU-Datenschutzrichtlinie), deren Aufgabe es ist, gemeinsame Standpunkte zur EU-weiten Auslegung und Anwendung der Datenschutzrichtlinie zu erarbeiten. Nach Auffassung der Art 29 Arbeitsgruppe sind Datenübertragungen auf Basis des Safe Harbor Abkommens, die nach Verkündung der Schrems-Entscheidung fortgesetzt werden, unrechtmäßig. Die Arbeitsgruppe hat deshalb mit ihrem Statement vom 16. Oktober 2015 entschieden, dass, sofern die EU und die USA bis Ende Januar keine politische Lösung für diese Situation finden, die Datenschutzbehörden der Mitgliedstaaten Maßnahmen gegen eine Fortsetzung der Datenübertragungen vollziehen werden.
Auf deutscher Ebene hat die Datenschutzkonferenz des Bundes und der Länder am 21. Oktober 2015 beschlossen, dass im Lichte der Schrems-Entscheidung die Rechtmäßigkeit einer Übertragung von personenbezogenen Daten in die USA auf Basis der Standardvertragsklauseln und von Binding Corporate Rules ebenfalls fraglich sei. Bis auf weiteres würden die deutschen Datenschutzbehörden deshalb keine Datenübertragungen die USA auf Basis von Standardvertragsklauseln oder Binding Corporate Rules mehr genehmigen. Die deutschen Datenschutzbehörden würden zukünftig ihre Ermessensentscheidungen im Lichte der Nummern 94 und 95 der Schrems-Entscheidung treffen. Daraus folgt, dass auch die deutschen Datenschutzbehörden höchstwahrscheinlich Gesetzgebung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, als den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens verletzend erachten werden. Ferner werde Gesetzgebung, die keine Rechtsmittel gegen den Zugriff auf personenbezogene Daten oder das Recht auf Richtigstellung oder Löschung von personenbezogenen Daten vorsehe, als gegen das in Art. 47 der Charta verankerte Grundrecht auf wirksamen gerichtlichen Rechtsschutz verstoßend angesehen. Sofern die U.S.A. europäische Personen nicht vor dem generalisierten Zugriff auf deren personenbezogene Daten durch U.S.-Regierungsbehörden schützen und im Falle eines ungerechtfertigten Zugriffs Rechtsschutz gewähren, ist es nicht ausgeschlossen, dass die deutschen Datenschutzbehörden Übertragungen von personenbezogenen Daten in die U.S.A. auf Basis von Standardvertragsklauseln oder Binding Corporate Rules in Zukunft verbieten.
In diesem Zusammenhang beruft sich auch die Datenschutzkonferenz auf das von der Art. 29 Arbeitsgruppe kommunizierte Moratorium bis Ende Januar 2016. Dies kann dahingehend aufgefasst werden, dass auch die deutschen Datenschutzbehörden unrechtmäßige Übertragungen von personenbezogenen Daten auf Basis des Safe Harbors vorerst bis zu diesem Datum nicht ahnden werden. Jedoch sind die deutschen Behörden bereits auf der Hut: Der rheinland-pfälzische Landesdatenschutzbeauftragte hat im November 2015 die 10 größten Unternehmen des Bundeslands gebeten, die Behörde über die Grundlage ihrer Datenübertragungen in die U.S.A. zu informieren. Der Behördenleiter informierte, dass Unternehmen mit Geldstrafen zu rechnen hätten, sofern sie auch Ende Januar 2016 ihren Datenübertragungen in die U.S.A. noch den Safe Harbor zugrunde legten.
Welche Alternativen gibt es?
Nach geltendem Recht kann eine Einwilligung des Betroffenen eine alternative Rechtsgrundlage für eine rechtskonforme Übertragung von personenbezogenen Daten in die U.S.A. darstellen. Aus deutscher Sicht sind hierbei im wesentlichen zwei Punkte bei der Einholung einer Einwilligung zu beachten: (i) der/die Betroffene ist über die Umstände und Risiken der Datenübertragung zu informieren, die Einwilligung muss freiwillig erteilt werden und dem/der Betroffenen sind bestimmte Rechte z. B. in Bezug auf die Richtigstellung und Löschung seiner personenbezogenen Daten zu gewähren. Es gibt Unternehmen, die befürchten, je umfangreicher die Aufklärung an den an den Betroffenen erfolge, desto weniger wahrscheinlich die Erteilung einer Einwilligung erscheine. Es zeichnen sich deshalb Tendenzen ab, Informationen im Rahmen der Einholung einer Einwilligung (zu) „knapp“ zu halten. (ii) Zum anderen häufen sich die Stimmen unter den Datenschützern, die Wirksamkeit von im Arbeitsverhältnis erteilten Einwilligungen anzuzweifeln, mit der Begründung, aufgrund der starken Abhängigkeit eines Arbeitnehmers von seinem Arbeitgeber könne bei einer im Arbeitsverhältnis erteilten Einwilligung kaum von deren Freiwilligkeit ausgegangen werden. Aus diesem Grund will die Vornahme einer Übertragung von personenbezogenen Daten auf Basis einer Einwilligung wohl überlegt sein.
Eine Anonymisierung von personenbezogenen Daten würde diese in der Tat dem Anwendungsbereich des Datenschutzrechts entziehen. Jedoch erscheint die Wahl dieser Alternative akademischer Natur: Voraussetzung einer Anonymisierung ist, dass niemand in der Lage ist, die einmal anonymisierten Daten im Nachgang wieder zu individualisieren. Das kann einem mit einer Datenübertragung verfolgten geschäftlichen Interesse diametral entgegenstehen. Sofern eine Partei einen die nachträgliche Individualisierung ermöglichenden Schlüssel oder andere dafür nützliche Daten vorhält, sind die entsprechenden personenbezogenen Daten eben nicht anonymisiert und somit Gegenstand des Datenschutzes – auch wenn sie vorübergehend ggf. nicht individualisiert werden können. Aus diesem Grund kann auch mit einer Verschlüsselung von personenbezogenen Daten keine Anonymisierung herbeigeführt werden: Zweck der Verschlüsselung ist, dass letztendlich die verschlüsselten Daten durch den Empfänger wieder entschlüsselt und sie somit wieder zu personenbezogenen Daten werden. Man könnte auch sagen, der Personenbezug wurde niemals aufgegeben, lediglich die Lesbarkeit der Daten wurde erschwert.
Letztlich erscheint die Pseudonymisierung auch nicht als gangbare Alternative. Pseudonymisierung meint, dass gewisse individualisierende Parameter eines Datensatzes (wie z. B. der Name) durch einen Platzhalter ersetzt werden. Im Gegensatz zur Anonymisierung werden diese Platzhalter in der Regel nach einem gewissen Schlüssel vergeben, so dass der Inhaber des Schlüssels die Daten wieder individualisieren kann. Aus diesem Grund sind auch pseudonymisierte Daten von der EU-Datenschutzrichtlinie erfasst und unterfallen den Restriktionen beim grenzüberschreitenden Datentransfer in ein Drittland.
Ohne Zweifel sind international harmonisierte Regelungen zum grenzüberschreitenden Transfer von personenbezogenen Daten für die digitale Wirtschaft von größter Bedeutung. Die Schrems-Entscheidung ergeht deshalb zu einem interessanten Zeitpunkt: Zur Zeit verhandelt die EU-Kommission intensiv mit den U.S. Behörden an einer gemeinsamen Lösung für die durch die Enthüllungen von Edward Snowdon ausgelösten öffentlichen Bedenken. Ungeachtet potentieller durch die Schrems-Entscheidung ausgelöster Irritationen haben beide, die U.S.A. und die EU, größtes Interesse daran, die Gespräche, die fast beendet schienen, nunmehr zielführend weiterzuführen. Gegenwärtig richten sich ferner alle Augen auf die bereits lang andauernden Verhandlungen zum Abschluss eines überarbeiteten zweiten Safe Harbor Abkommens. Die Hoffnung ist groß, dass dieses den Durchbruch zur Lösung der vom EuGH festgestellten Mängel im Rahmen der rechtskonformen Übertragung von personenbezogenen Daten in die U.S.A. bringen wird.
Dieser Beitrag sowie Antworten auf Kommentare zu diesem Beitrag enthalten allgemeine Erwägungen zum Gegenstand des Beitrags. Sie stellen keine rechtliche Beratung und kein Angebot zur Rechtsberatung dar und begründen kein Beratungsverhältnis.
The Safe Harbor Is Not Safe Anymore – Part 1
Well, you may have heard about the Safe Harbor decision by the European Court of Justice (“ECJ”) before from the various sources on the Internet. So why having another blog post on this subject? Some sources were eager to spread word and offer potential solutions as alternative for the Safe Harbor Agreement invalidated by the ECJ on the same day the ECJ-decision was delivered – i.e., at a time when only one thing was clear: that nothing would be clear. In the meantime the fog has somewhat lifted and national data protection authorities have had some time to digest the holding of the ECJ-decision. Since this decision does have significant impact on data transfers between the EU and the U.S.A., I cannot leave it out. However, I will take advantage of your potential prior readings, shorten the facts and emphasize on the core elements of the ECJ decision as I see them.
Things are in the flow. A part two of this post will cover the developments expected for the beginning of 2016. But first things first:
As you may already know, on October 6, 2015 the European Court of Justice (“ECJ”) has held the EU Commission’s decision that transfers of personal data to recipients in the United States that have joined the Safe Harbor scheme enjoy an adequate level of data protection to be invalid (the “ECJ Ruling”). Thus, as of that day transfers of personal data from the EU to the U.S. cannot be justified anymore by the U.S. data recipient having joined the Safe Harbor scheme. The ECJ Ruling has a huge impact on the structuring of data transfers from the EU to the United States since neither EU transferors nor U.S. recipients of personal data can rely anymore on the Safe Harbor scheme for a compliant data transfer.
However, the ECJ Ruling provides for a further holding that is not limited to data protection matters and that has not yet been equally stressed in the media: while in the past Commission decisions (such as the Safe Harbor Decision) on the interpretation of EU Directives served as precedent, the ECJ makes clear that the EU Commission does not have the power to limit national authorities in their interpretation of EU Directives and that Commission Decisions are subject to judicial review by the ECJ where national courts have doubts on their legitimacy.
The Facts
Maximilian Schrems, an Austrian citizen (and data protection lawyer), was concerned that Facebook’s Irish subsidiary transferred some or all of his personal data to servers located in the U.S.A. Mr. Schrems lodged a complaint with the Irish Data Protection Commissioner, taking the view that, the law and practice of the U.S.A. do not offer sufficient protection against surveillance by the public authorities of the personal data transferred to the U.S.A. The Irish Data Protection Commissioner rejected the complaint on the ground, in particular, that in a decision of July 26, 2000 (the “Safe Harbor Decision”), the EU Commission held that data that is transferred to recipients in the U.S.A. that joined the Safe Harbor scheme would be ensured an adequate level of protection pursuant to the applicable provisions of the EU Data Protection Directive.
The High Court of Ireland referred the case to the ECJ inquiring whether, notwithstanding a data recipient in the U.S.A. has joined the Safe Harbor, national data protection agencies have discretion to find no adequate level of data protection on a case-by-case basis and have the right to prohibit a transfer of personal data outside of the EU.
The ECJ Ruling
The ECJ Ruling at hand covers two notable aspects:
(i) The ECJ makes clear that Commission decisions, which in the past served as precedent for the Member States in the interpretation of EU Directives, are justiciable, thus relativizing the EU Commission’s role in the interpretation of EU Directives. However, the ECJ emphasizes that only the ECJ has the authority to review EU acts such as Commission decisions;
(ii) The ECJ holds the Safe Harbor Decision to be invalid, which on the one hand turns data transfers based on the Safe Harbor invalid and on the other hand allows national data protection authorities to exercise their own discretion when prohibiting transfers of personal data to recipients in the U.S.A., notwithstanding these recipients having joined the Safe Harbor in the past.
As to the first aspect of the ECJ-Ruling, the ECJ
paves the way for judicial review of Commission decisions hat used to serve as guidelines on the interpretation of EU Directives by the Member states in the past.
As to the second aspect, and without diving into the nitty gritty details of the decision at this point, the ECJ in essence holds the Safe Harbor Agreement to be invalid since the Safe Harbor does not prevent U.S. national security and law enforcement, or other governmental authorities to access personal data transferred from the E.U. to a U.S. recipient. As a result, the protection of the Safe Harbor Agreement – from an EU perspective – is turned obsolete. The ECJ holds that U.S. legislation permitting the public authorities to have access on a general basis to the content of electronic communications must be regarded as compromising the essence of the fundamental right to respect privacy pursuant to Art. 7 of the Charter of the Fundamental Rights of the European Union (“Charta”).
The Impacts And Practical Application Of The ECJ Ruling
The first aspect of the ECJ Ruling does not necessarily create a disadvantage going forward, although it does undermine efforts to a consolidated interpretation and application of EU Directives among the Member States. Managing compliance under EU Directives in various Member States in a consolidated fashion in practice can create tricky aspects since Member States may provide rules that are stricter than the provisions of an EU Directive when implementing a directive into national law. The same applies to the interpretation of EU-Directives. In this context, Commission decisions aimed for a greater consistency in the implementation and application of EU Directives among the EU Member States. However, a desire for a consolidated application of EU Directives cannot trump the principle of due process. If the ECJ reverses a Commission Decision, it will be up to the Member States to fill any created legislative gap.
The ECJ’s second ruling, however, has a huge economic impact. As of October 6, 2015, transfers of personal data from the EU to the U.S. on the basis of the Safe Harbor Agreement are illegal. It is only natural that various commentators on the Internet were eager to present solutions, and, admittedly it was tempting to refer to the use of the so-called Standard Contractual Clauses and Binding Corporate Rules, two mechanisms that are supposed to create an adequate level of data protection when transferring personal data to the U.S. on a contractual level. Those alternatives are well established and so far enjoyed acceptance in the industry as an alternative to joining the Safe Harbor. So why not use them going forward?
Well, if you take a close look at the core of the ECJ Ruling, it becomes clear that the ECJ held the Safe Harbor to be invalid since the Safe Harbor cannot prevent U.S. governmental authorities to have general access to personal data transferred from the EU to a recipient in the U.S. However, if the ECJ’s concerns are directed toward U.S. legislation permitting the public authorities to have access on a general basis to the content of electronic communications, and if the ECJ considers this as compromising the essence of the fundamental right to respect privacy, would it make a difference in light of this holding to use Standard Contractual Clauses or Binding Corporate Rules? Indeed, the German Data Protection Authorities are of the opinion that it does not make a difference: Neither contracts (SCC) nor intercompany rules (BCR) can trump U.S. legislation and, thus, serve as a protection against governmental accessing of personal data.
The Situation In Germany For The Time Being
There are several committees on the European and German level that regularly gather to discuss a consolidated approach to data protection measures: On a European level, the so-called Art. 29 Working Party (having been established on the basis of Art. 29 of the EU Privacy Directive) establishes common policies on the interpretation and application of the EU Privacy Directive. The Art. 29 Working Party informs in its statement of October 16, 2015 that due to the ECJ Ruling transfers are unlawful if continued under the Safe Harbor Agreement . The Working Party further concluded that if no solution should be found with the U.S. until end of January 2016, the EU data protection authorities would be committed to take coordinated enforcement actions.
On the German level the Conference of Data Protection Commissioners (Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder, “DSK”) concluded with its position paper of October 21, 2015 that In the light of the ECJ’s ruling, the admissibility of data transfers to the US based on Standard Contractual Clauses or Binding Corporate Rules would also be questionable. For the time being, German data protection authorities would not issue any new permissions for data transfers to the US based on Binding Corporate Rules or on Standard Contractual Clauses. When exercising their supervisory powers, German data protection authorities would use the principles laid down in the ECJ Ruling, particularly in paragraphs 94 and 95. This means that the German data protection authorities would regard “U.S. legislation permitting public authorities to have access on a generalized basis to the content of electronic communication as compromising the essence of the fundamental right to respect for private life.” Further, they would consider “legislation not providing for any possibility for an individual to pursue legal remedies in order to have access to personal data relating to him, or to obtain the rectification or erasure of such data, not to respect the essence of the fundamental right to effective judicial protection pursuant to Art. 47 of the Charta”. As a result, unless the U.S. protect European data subjects from generalized access by U.S. public authorities and provide a European data subject with legal remedies in case of accessing his or her personal data, the German authorities are not unlikely to prohibit transfers of personal data to the U.S. made on the basis of Standard Contractual Clauses and/or Binding Corporate Rules.
The DSK references to the Art. 29 Working Group’s moratorium until end of January 2016. This has been interpreted in the fashion that the German data protection authorities will not punish unlawful data transfers based on the Safe Harbor until that date. However, it looks like the German authorities are getting ready: In November 2015, the Data Protection Authority in Rhineland-Palatinate (Rheinland-Pfalz) requested the 10 largest companies in that state to inform the authority on the basis of their transfers of personal data to the U.S. The head of the data protection authority informed that companies would face fines if they relied on the Safe Harbor after end of January 2016.
Any Alternatives?
Consent can serve as an alternative means to create a compliant data transfer to a recipient in the U.S.A. From a German perspective in particular two issues need to be considered when working with a consent: (i) the concerned individual needs to be informed on the circumstances and risks related to a transfer, the consent needs to be provided voluntarily, and the data subject needs to be provided with certain remedies (e.g., related to the rectification or deletion of personal data stored). There is a concern that the more you inform the less likely a consent will be provided. Thus businesses sometimes are tempted to keep information provided with a request for a consent (too) short. (ii) On the other hand, there is a growing number of voices holding that in an employment relationship consent hardly would be voluntary, since employees would depend too much on their employment. Thus, working with consent must be well-considered.
Anonymization of personal data (to be) transferred would exclude such data from the application of European data protection laws in general. However, considering this alternative may be of an academic nature: a requirement of anonymization is that nobody will be in the position anymore to individualize such data again. This may frustrate the business purposes in connection with an original transfer of personal data. Further, if a party keeps any type of data or keys that allow the subsequent individualization of data, such data is not anonymized and subject to applicable European data protection laws. And mind the fact that encryption does not mean anonymization: Purpose of encryption is that data eventually is decrypted by the recipient which turns it into personal data again. You could also hold that encryption does not affect individualization of personal data at all since it does not really change data. All it does is making it difficult to read such data.
Pseudonymization does not seem to be an alternative either. Pseudonymization means that certain identification parameters of personal data (such as a name) are replaced by a placeholder. Contrary to anonymization, the placeholders are applied with a certain system (key) so that the owner of the key can individualize the data again. Therefore, pseudonymized data is covered by applicable European data protection laws, and, thus subject to the restrictions of cross-border data transfer.
There is no doubt that the digital economy needs internationally harmonized rules on data protection. The ECJ Ruling comes at interesting times when the EU Commission has been working and negotiating intensively with U.S. authorities to reach a joint solution for the public concern based on leaked documents from Edward Snowden. Notwithstanding potential irritations caused by the ECJ Ruling, both, the U.S. and the EU should have every incentive to continue the talks that seemed to have been almost completed. Thus, at this time all eyes are directed towards the long-running negotiations on the adoption of a revised Safe Harbor framework in the hope that the issues found by the ECJ may be resolved in a “Safe Harbor 2” framework. Interesting times.
This blog post, and any responses to comments on this post, are intended to convey general thoughts on the topic presented. They should not be relied upon as legal advice. They are not an offer to represent you, nor are they intended to create an attorney-client relationship.
FARMAMOARA 