Wie den Meisten kaum entgangen sein dürfte, hat der EuGH am 06.10.2015 das ohnehin bereits scheintote “Safe Harbor”-Abkommen endgültig beerdigt und entschieden, dass transatlantische Datentransfers nicht mehr aufgrund dieses Abkommens erfolgen dürfen (C-362/14, siehe hierzu die Pressemeldung oder für diejenigen, die es genau wissen wollen auch gerne die Entscheidung im Volltext).
“Safe Harbor” – Was ist das?
Scheintot deshalb, weil das Abkommen von vielen Datenschützern schon seit einer ganzen Weile als nicht ausreichend erachtet worden ist, ein ähnliches Schutzniveau für personenbezogene Daten wie in der Europäischen Union sicherzustellen.
Um rechtlich einen zulässigen Datentransfer in die USA zu ermöglichen, schlossen die EU und die USA im Jahr 2000 das Abkommen, wodurch sich US-amerikanische Unternehmen selbst zur Einhaltung datenschutzrechtlicher Standards auf europäischem Niveau verpflichten konnten und damit in die “Safe Harbor”-Liste aufgenommen wurden.
In diesem Fall wurde die Verarbeitung von personenbezogenen Daten in den USA grundsätzlich als zulässig angesehen, da durch die Unterwerfung des jeweiligen Unternehmens unter die Prinzipien des “Safe Harbors” ein angemessenes Datenschutzniveau angenommen wurde.
Wie sich in der Vergangenheit jedoch gezeigt hat, wurden die Selbstverpflichtungen der Unternehmen durch die zuständigen Behörden nicht überprüft. Der NSA-Skandal und der Erlass des Patriot Acts, wodurch amerikanischen Geheimdiensten der umfassende Zugriff auf in den USA gespeicherte Daten erleichtert wurde, taten ihr Übriges.
Aus diesem Grund war es nun auch wenig überraschend, dass der Generalanwalt in seinem Schlussantrag am 23.09.2015 zu der Erkenntnis kam, das Abkommen sei ungültig. Das nicht nur, weil in den USA, oftmals ohne Kenntnis der Betroffenen innerhalb der EU massenhaft Daten gesammelt werden, sondern auch, weil die amerikanischen Geheimdienste aufgrund des Patriot Act umfassenden Zugriff auf diese Daten nehmen können, was, laut Generalanwalt Bot, nicht nur ein Verstoß gegen das Recht auf Privatsphäre darstellt, sondern auch gegen das Recht auf Schutz persönlicher Daten.
Ebenso wenig war es überraschend, dass der EuGH dem Schlussantrag des Generalanwalts, wie eigentlich fast immer in der Vergangenheit, nachkam und “Safe Harbor” für ungültig erklärte. Die Entscheidung des EuGH war aufgrund seiner Tragweite ein Erdbeben – mit Ansage.
Das bedeutet?
Die Folge der Entscheidung ist eigentlich schnell erklärt:
Alle Datentransfers an US-amerikanische Unternehmen, die über das “Safe Harbor”-Abkommen legitimiert wurden, sind seit dem 06.10.2015 ersteinmal rechtswidrig. Dies umfasst im Zeitalter des Internets und der Cloud-Services nicht nur hochspezialisierte Dienstleister im Unternehmensumfeld, sondern auch Dienste wie Dropbox oder Microsoft Office 365, etc.
Doch wie können solche Datentransfers nun im Einklang mit der Rechtslage erfolgen?
Einwilligung
Gem.§ 4 c Abs. 1 Nr. 1 BDSG kann eine Übermittlung von Daten in ein Drittland ohne angemessenes Datenschutzniveau (wie der USA) erfolgen, wenn der Betroffene hierzu eingewilligt hat. Hierbei muss der Betroffene nicht nur über die Zwecke der Datenverarbeitung aufgeklärt werden, sondern auch über die Risiken der Verarbeitung in einem sog. unsicheren Drittland. Dabei wird vertreten, dass Betroffene nicht nur umfassend über das fehlende Schutzniveau informiert werden müssen, sondern auch, im Falle der USA, über staatliche Zugriffsbefugnisse, fehlende Rechtsschutzmöglichkeiten bzw. Betroffenenrechte, fehlende staatliche Kontrollmechanismen, Weiterverarbeitung der Daten ohne Zweckbindung, etc.
In der Praxis ist das Einholen einer solchen Einwilligung jedoch nicht immer umsetzbar.
Datenübermittlungen werden von dem Betroffenen selbst veranlasst
Gem. § 4c Abs. 1 Nr. 2 BDSG ist eine Übermittlung der Daten erlaubt, wenn sie für die Erfüllung eines Vertrages zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist,
oder
gem. Nr. 3 die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrages erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll.
Die Regelungen zu Nr. 2 und Nr. 3 finden ihren Anwendungsbereich vor allem bei Angelegenheiten wie Reise- und Flugbuchungen, sind jedoch keine Übermittlungsgrundlagen für z. B. Arbeitnehmerdaten.
Eine umfassend informierte Einwilligung Betroffener iSd. Nr. 1 kann hingegen eine zulässige Übermittlungsgrundlage darstellen.
EU Standardvertragsklauseln
Eine weitere Möglichkeit wäre die Anwendung der EU-Standardvertragsklauseln. Diese können grundsätzlich für Datentransfers in Drittländer als Übermittlungsgrundlage geschlossen werden und für ein angemessenes Datenschutzniveau bei der Datenverarbeitung sorgen. Für den Fall eines Transfers in die USA jedoch sind jedoch auch diese möglicherweise nicht anwendbar.
Dies deshalb, da der Datenverarbeiter in den USA mit Unterzeichnung der Klauseln garantiert, dass er seines Wissens nach keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs (z. B. Ihr Unternehmen) und die Einhaltung seiner vertraglichen Pflichten unmöglich machen (vgl. Klausel 5 Buchstabe b).
Genau diese Garantie kann der Datenverarbeiter in den USA im Hinblick auf die dortige Rechtslage und dem umfassenden Zugriff auf die Daten durch Geheimdienstbehörden aber gerade nicht einhalten.
Binding Corporate Rules
Eine letzte Möglichkeit wäre die Verabschiedung von sog. Binding Corporate Rules (BCR). Diese ermöglichen es internationalen Konzernen oder Firmengruppen, intern personenbezogene Daten in einen Drittstaat mit nicht angemessenem Datenschutzniveau zu transferieren.
Problematisch sind hierbei jedoch zwei Dinge:
- Diese BCR sind, bevor ein Datentransfer stattfinden darf, von der Datenschutzbehörde des Landes, aus dem Daten übertragen werden sollen, zu verifizieren, was, auch wenn inzwischen multinationale Gremien zur Beschleunigung des Verifikationsverfahrens eingerichtet worden sind, einige Zeit in Anspruch nimmt und somit keine kurzfristig umzusetzende Maßnahme zur Legitimation transatlantischer Datentransfers darstellt.
- Selbst wenn genehmigte bzw. verifizierte BCR für einen Datentransfer in die USA vorhanden sein sollten, könnten diese nach dem Urteil des EuGH ebenfalls hinfällig sein, da die BCR lediglich privatrechtliche, innerkonzernliche Verträge darstellen, die einen Zugriff amerikanischer Behörden auf personenbezogene Daten ebenfalls nicht verhindern können, was vom EuGH ausdrücklich mit als Entscheidungsgrundlage für sein Urteil mit einbezogen worden ist.
Was bedeutet das Ende des “Safe Harbor”-Abkommens nun konkret für Sie?
Juristentypische Antwort:
Es kommt darauf an.
Um derzeit wenigstens einigermaßen auf der sicheren Seite zu sein, ist momentan die Einholung von Einwilligungen der Betroffenen in die Datenübertragung die wohl einzige Möglichkeit, obwohl bezweifelt werden darf, dass diese, wie vom BDSG gefordert, eine informierte Einwilligung in die Datenverarbeitung geben können, da sie schlicht nicht wissen, wer genau was mit den Daten anstellt. Hier genannt sei wieder der fast hürdenlose Zugriff der US-Geheimdienste auf die Daten genannt, der bei einer Belehrung des Einwilligenden ebenso Erwähnung finden müsste wie andere mögliche Zugriffe, die der Transferierende allerdings wohl selbst nicht in Gänze überblicken kann.
Im Übrigen sind, bei konsequenter Beachtung des nun geltenden Rechts, alle Transfers personenbezogener Daten, die aufgrund des “Safe Harbor”-Abkommens bis zum 06.10.2015 noch legitim gewesen sind sofort zu stoppen, da diese von jetzt auf gleich unzulässig geworden sind und – wie gesagt, rein rechtlich – sogar ein Bußgeld von bis zu 300.000 EUR aufgrund dessen verhängt werden kann, auch wenn eine solche Strafe in dieser Höhe in der Realität wohl nicht verhängt werden dürfte.
“Glücklicherweise” ist übrigens in der näheren Zukunft sowieso nicht zu erwarten, dass die Landesdatenschutzbehörden Datentransfers, die durch die Ungültigkeit des “Safe Harbor”-Abkommens nunmehr eine Ordnungswidrigkeit darstellen können, irgendwelche Bußgelder verhängen, da diese mit ihrer Arbeit aufgrund der momentanen Aufregung schlicht nicht mehr hinterherkommen dürften.
Schon vor dem EuGH-Urteil haben einige Behörden immer wieder die ungenügende Ausstattung mit Personal und finanziellen Mitteln beklagt, die sich auch nach dem Urteil nicht verändert hat und so die Behörde nunmehr aufgrund der momentanen Aufregung für einige Zeit praktisch lahmgeleg sein dürfte.
Darüber hinaus habe ich im Rahmen meiner praktischen Tätigkeit die Erfahrung gemacht, dass die Datenschutzbehörden bei solch kurzfristigen Entwicklungen durchaus Nachsicht walten lassen.
Praktisch dürfte sich für viele jedenfalls erst einmal nichts ändern, da die Meisten Software bzw. Dienste wie Office 365, Dropbox, Mailchimp oder andere Cloud-Dienste mit sensiblen Daten füttern, ohne sich überhaupt jemals Gedanken über die Zulässigkeit gemacht zu haben.
Im Übrigen ist abzuwarten, wie sich die Datenschutzbehörden positionieren bzw. ob die USA und die EU ein, wie auch immer aussehendes, “Safe Harbor 2” verabschieden werden.
Eine erste Positionierung zur Rechtslage nach dem 06.10.2015 hat indes das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein in seinem Positionspapier vom 14.10.2015 abgegeben und erklärt jedweden transatlantischen Datentransfer, der bisher auf der Grundlage von “Safe Harbor” erfolgt ist, für unzulässig. Einwilligungen sowie Standardklauseln sollen solche Transfers ebenfalls nicht rechtfertigen können. Leider enthält das Positionspapier ausschließlich Äußerungen dazu, was nicht geht. BCR werden in dem Papier hingegen nicht einmal erwähnt.
Zugleich deutet es an, entsprechende Kontrollen durchzuführen und erklärt für die Fälle solcher Datentransfers den § 42 Abs. 2 Nr. 1 BDSG für anwendbar, was bedeutet, dass, zumindest theoretisch, ein Bußgeld in Höhe von bis zu 300.000 EUR verhängt werden kann.
Darüber hinaus äußerte sich am 15.10.2015 ebenfalls erstmals das Bayerische Landesamt für den Datenschutz zum EuGH Urteil und bejaht zumindest die potenzielle Möglichkeit eines Datentransfers aufgrund Standardvertragsklauseln bzw. BCR.
Konkrete Handlungsempfehlungen für Unternehmen werden jedoch auch dort nicht erwähnt.
Die Art. 29 Gruppe hat am 16.10.2015 einen Bericht veröffentlicht, wonach sie sich in Verhandlungen mit den USA befindet, um Lösungswege zu erarbeiten. Gleichzeitig wird darin erwähnt, dass die nationalen Datenschutzbehörden, sofern bis Ende Januar 2016 keine Lösung gefunden wurde, bei Verstößen Maßnahmen zur Durchsetzung geltenden Rechts ergreifen sollen. Das stellt einerseits ein Ultimatum dar, andererseits auch eine gewisse “Karenzzeit” für Unternehmen.
Handlungsempfehlungen für Unternehmen nach dem Ende von “Safe Harbor”:
Um das Risiko einer Bußgeldverhängung trotz unsicherer Rechtslage bzgl. “Safe Harbor” dennoch so weit wie möglich zu minimieren, sollten Sie folgende Handlungsempfehlungen beachten:
- Viele Dienstleister in den USA haben nach dem Urteil des EuGH recht fix reagiert und ihren Kunden Vereinbarungen nach den EU-Standardvertragsklauseln zur Unterzeichnung zukommen lassen. Diese sollten Sie auch zeitnah unterzeichnen, allerdings natürlich nicht, ohne sie vorher von Ihrem Hausadvokaten prüfen zu lassen. Die meisten Landesdatenschutzbehörden dürften solche Verträge als zulässige Legitimationsgrundlage ansehen, es sei denn, Ihr Unternehmen hat seinen Sitz in Schleswig-Holstein.
- Holen Sie bei Datentransfers in die USA, sofern möglich, die Einwilligung der Betroffenen in die jeweilige Datenverarbeitung ein und halten Sie diese vor.
- Wählen Sie nach Möglichkeit Dienstleister, die Daten in der EU verarbeiten und Vereinbarungen zur Auftragsdatenverarbeitung gem. § 11 BDSG anbieten. Dies können nicht nur europäische Anbieter sein, sondern auch amerikanische, die den Abschluss solcher Vereinbarungen anbieten und die Daten in dem Gebiet der EU verarbeiten.
Im Übrigen sollten Sie die ohnehin geforderten Grundsätze des Datenschutzrechts einhalten.
Hierzu gehören:
- Schließen Sie mit Dienstleistern, die in Ihrem Auftrag personenbezogene Daten wie Kunden-/Nutzer-/Mitarbeiterdaten verarbeiten, Zusatzvereinbarungen gem. § 11 BDSG (Zusatzvereinbarung zur Auftragsdatenverarbeitung).
- Bieten Sie eine Datenschutzerklärung an, die wirklich nützlich ist und der Betroffene Informationen über die Verarbeitung ihrer Daten entnehmen können.
- Sorgen Sie für rechtssichere Onlinepräsenzen. Dies gilt nicht nur für Ihre Webseite, sondern auch für Social-Media-Auftritte.
- Halten Sie datenschutzrechtlich geforderte Dokumentationen vor, die sich eine Behörde bei einer Überprüfung gern zeigen lässt.
(Exemplarisch seien hier aufgeführt: Interne Verarbeitungsübersicht, Verfahrensverzeichnis für Jedermann, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten, etc.) - Verpflichten Sie Ihre Mitarbeiter auf das Datengeheimnis gem. § 5 BDSG.
Fazit
Das Urteil des EuGH ist vor dem Hintergrund der unzulässigen Datenschutzpraktiken in den USA, wenn auch nicht aus praktischer, so doch zumindest aus datenschutzrechtlicher Sicht zu begrüßen.
Im Übrigen ist abzuwarten, wie die weiteren Verhandlungen der EU mit den USA fortlaufen.
Für Unternehmen, die personenbezogene Daten aufgrund vertraglicher Vereinbarungen in die USA transferieren, besteht eigentlich nun Handlungsbedarf, auch wenn momentan noch niemand so genau weiß, wie dieser aussieht. Je nach zuständiger Landesdatenschutzbehörde ist derzeit das Schließen von Verträgen gemäß den Standardvertragsklauseln oder das Auferlegen von BCR zur Legitimation von Datentransfers in die USA unzulässig oder legitim, durch die Empfehlung der Art. 29 Gruppe ist den Unternehmen inzwischen zudem eine gewisse Karenzzeit bis Ende Januar 2016 eingeräumt worden.