André Stämmler
Am 06.10.15 kippte der Europäische Gerichtshof (EuGH), das Safe-Harbor-Abkommen. Damit ist ein Tarnsfer von personenbezogenen Daten in die USA nicht mehr ohne Weiteres möglich. Der Beitrag beschäftigt sich mit den Hintergründen des Urteils und welche Alternativen jetzt noch haben.
Was ist war Safe-Harbor?
Die Übermittlung von personenbezogenen Daten ins Ausland oder überhaupt an Dritte ist nach den Vorschriften des Bundesdatenschutzgesetzes nicht ohne weiteres möglich. So dürfen Kundendaten, Webseitenbesucher oder auch der Angestellten nicht einfach an Dritte weitergebenen werden. Will man dies dennoch tun müssen bestimmte datenschutzrechtliche Bestimmungen berücksichtigt werden. Eine Weitergabe ist etwa dann zulässig, wenn der Betroffene eingewilligt hat oder die Weitergabe für die Durchführung des Geschäfts notwendig ist. Darüber hinaus ist eine Übermittlung von personenbezogenen Daten zulässig, wenn eine sogenannte Auftragsdatenverarbeitung vorliegt.Will man die Daten dann auch noch ins Ausland übermitteln, ist das nur zulässig, wenn im Empfängerland ein angemessenes Datenschutzniveau vorliegt. Das ist etwa bei den Mitgliedstaaten der EU der Fall. Nicht aber in den USA. Um Daten dennoch wirksam in die USA übermitteln zu können wurde das Safe-Harbor-Abkommen geschlossen. Danach konnten sich US-Unternehmen selbst verpflichten die EU-Datenschutzstandards einzuhalten. Die Unternehmen erhielten dafür eine Safe-Harbor-Zertifizierung. Ein angemessenes Datenschutzniveau lag vor. So jedenfalls die Idee.
Die Entscheidung des EUGH
Das eben kein angemessenes Datenschutzniveau vorlag, stellte jetzt der Europäische Gerichtshof fest.Mit Urteil vom 06.10.2015 (C-362/14) erklärte der EuGH die Safe-Harbor-Entscheidung der Europäischen Kommission (2000/520/EG) für unvereinbar mit Art. 7 (Achtung des Privatlebens), Art. 8 (Schutz personenbezogener Daten) und Art. 47 GRCh (Recht auf einen wirksamen Rechtsbehelf). Hauptargument des EUGH ist ein Vorbehalt im Safe-Harbor-Abkommen nach dem sich US-amerikanische Unternehmen vollständig von allen Verpflichtungen loslösen konnten
Das Ende von Safe Harbor und die Auswirkungen?
Nachdem das Safe-Harbor-Abkommen gekippt wurde herrscht bei vielen Unternehmen Unsicherheit, wie es weitergehen wird und ob sogar Auswirkungen für die Vergangenheit zu befürchten sind.Für die Vergangenheit sind keine Auswirkungen zu befürchten. Das schon mal vorab. Unternehmen müssen also nicht befürchten, dass bereits abgeschlossene Transfers nachträglich als rechtswidrig deklariert werden und nun Strafen zu befürchten sind.Das Ende von Safe-Harbor wird aber Auswirkungen für die Zukunft bringen.Konnten bisher die Daten aufgrund des Abkommens in die USA übermittelt werden, ist das jetzt nicht mehr möglich. Wer rechtmäßig handeln will benötigt also Alternativen:
- Die sicherste Alternative wäre ganz einfach keine Daten mehr in die USA zu transferieren und Daten nur noch in Deutschland zu speichern oder wenigstens im EU Wirtschaftsraum.
- Eine weitere Alternative wäre die Einwilligung des Betroffenen. Unternehmen müssten dann von jedem Kunden, Webseitenbesucher etc. die Einwilligung einholen, dass entsprechende Daten auch in die USA transferiert werden. Diese Variante ist für die Praxis kaum zu gebrauchen. Jeder Betroffene könnte die Einwilligung jederzeit widerrufen. Die entsprechenden Daten müssten dann gelöscht, gesperrt oder was auch immer werden. Der Arbeitsaufwand für Unternehmen dürfte immens sein. Darüber hinaus wird auch diese Methode von Datenschützern als ungenügend angesehen. Das Argument dahinter: Eine wirksame Einwilligung ist nur möglich, wenn der Betroffene vorher ausreichend über die Nutzung der Daten aufgeklärt wurde. Dass ist aber bei einem Versand der Daten in die USA nicht möglich. Der Unternehmer weiß in der Regel nicht, was mit den Daten geschieht.
- Denkbar wäre der Einsatz von EU-Standardvertragsklauseln. Das sind vorformulierte Klauseln der EU. Gegen den Einsatz spricht aber auch hier das gleiche Argument mit dem der EUGH das Safe-Harbor-Abkommen gekippt hat. Auch bei den EU-Standartvertragsklauseln haben amerikanische Unternehmen unter bestimmten Voraussetzungen die Möglichkeit sich vom Datenschutz loszusagen. Damit dürften auch diese Klauseln kaum wirksam sein. Gerichtlich festgestellt wurde dies bislang allerdings nicht.Einige Unternehmen setzen dennoch auf EU-Standartvertragsklauseln. So reagierte etwa salesforce (http://www.salesforce.com )sehr schnell und setzt nun auf die Standartklauseln http://www.salesforce.com/company/privacy/data-processing-addendum-faq.jsp
- Eine weitere Möglichkeit sind sogenannte Corporate Binding Rules, nach denen sich Unternehmen eine Selbstverpflichtung auferlegen können und damit eine angemessenes Schutzniveau auch in Drittstaaten sichergestellt sein sollte.
Wie können Unternehmen jetzt reagieren?
Die sicherste Variante ist wohl derzeit, einen Datentransfer in die USA ganz zu unterbinden und auf deutsche oder europäische Alternativen auszuweichen.Alternativ kann man gerade versuchen auf die EU-Standartvertragsklauseln zu setzen. Hier herrscht zwar eine gewisse Unsicherheit, bis ein Gericht über die Rechtmäßigkeit entscheidet, wird man die Verwendung wohl als rechtmäßig ansehen müssen.Der toughe Weg wäre letztlich noch, einfach genauso weiter zu machen wie bisher. Die Einhaltung aller datenschutzrechtlichen Vorschriften gelingt erfahrungsgemäß so oder so nicht bis ins letzte Detail. Dieser Weg wäre zwar rechtswidrig und mit deutschem Datenschutz kaum nicht vereinbar. Die Gefahr einer Verfolgung durch die Datenschutzbehörde dürfte aber gerade für kleine und mittelständische Unternehmen eher gering sein. Das gilt jedenfalls für Unternehmen die nicht explizit Daten in die USA transferieren, sondern lediglich „am Rande“ betroffen sind.Das weitere Prozedere bleibt abzuwarten. Mit hoher Wahrscheinlichkeit wird man davon ausgehen können, dass es jetzt erst einmal ein wenig lauter wird, dann schnell ein paar Normen zurecht geschustert werden und am Ende die Auswirkungen bis aufein paar kleinere Umstellungen kaum spürbar sein dürften.
Wie kam es zu dieser Entscheidung?
Initiator der Entscheidung ist übrigens der österreichische Jurist Max Schrems. Sein Buch „Kämpf um deine Daten“ ist meines Erachtens Pflichtlektüre für jeden der sich für den Umgang mit den eigenen Daten durch Dritte mehr interessiert als die Windstärke im Juli am Nordpol.
