Die Folgen des Safe Harbor Urteils des EuGH – Aktuelles Positionspapier der Datenschutzbehörden und Handlungsempfehlungen

Nachdem das Urteil des Europäischen Gerichtshofes (Rs. C-362/14) vom 6.10.2015 (Volltext in deutscher Sprache)  in Sachen „Safe Harbor“ Abkommen nicht nur in der „Datenschutzwelt“, sondern auch in den Medien und bei zahlreichen betroffenen Unternehmen einigen Aufruhr ausgelöst hat, sortieren sich die Betroffenen langsam und suchen nach Lösungen und eigenen Positionen, um mit dem Urteil und den daraus resultierenden Folgen umzugehen.

Nach teilweise bedenklichen und zu Recht kritisierten Stellungnahmen einzelner Datenschutzbehörden hat die Datenschutzkonferenz, also die Konferenz der Datenschutzbeauftragten des Bundes und der Länder, gesterm ein gemeinsames Positionspapier zum Safe Harbor Urteil veröffentlicht.

Damit konkretisieren sich zunehmends die datenschutzrechtlichen Anforderungen, die Unternehmen im Hinblick auf den Transfer von personenbezogenen Daten (d.h. vor allem Kunden und Mitarbeiterdaten) in die USA oder an US-amerikanische Unternehmen (vor allem Cloud und SaaS Anbieter) beachten sollten.

Der nachfolgende Beitrag fasst das Safe-Harbor Urteil deshalb noch einmal kurz zusammen, erläutert das Positionspapier der Datenschutzkonferenz und fasst konkrete Empfehlungen im Rahmen einer Checkliste zusammen, wie betroffene Unternehmer und Unternehmen mit dem Datentransfer in die USA zukünftig umgehen sollten.

A. Das Safe Harbor Urteil und dessen Folgen

Aufgrund einer Klage des Datenschutzaktivisten Max Schrems gegen die irische Datenschutzbehörde, hatte der EuGH festgestellt, dass das Safe Harbor System, das zuvor in vielen Fällen Rechtsgrundlage für eine Datenübertragung in die USA gedient hatte, nicht mehr ausreiche.

Bei US-Unternehmen, die sich den Safe Harbor Grundsätze unterworfen hatten, durften Unternehmen bisher davon ausgehen, dass ein hinreichendes Datenschutzniveau im Sinne von § 4 b Abs.2 BDSG gewährleistet ist.

Wegen des massenhaften und undifferenzierten Zugriffs amerikanischer Behörden auf personenbezogene Daten sieht der EuGH den Grundsatz der Verhältnismäßigkeit nicht mehr gewahrt bzw. unzulässige Eingriffe in verfassungsmäßige Grundwerte europäischer Bürger. Folglich hat der EuGH in seinem Urteil die Entscheidung der europäischen Kommission vom 26.Juli 2000 (2000/520/EG) über die Angemessenheit der Grundsätze des „sicheren Hafens“ für ungültig erklärt.

Das Vorliegen einer Safe Harbor Zertifizierung eines US Unternehmens genügt bei einem Datentransfer in die USA also nicht mehr, um von einem hinreichenden Datenschutzniveau auszugehen.

Will ein Unternehmen also nun personenbezogene Daten an ein anderes Unternehmen übertragen, welches seine Daten auf US-amerikanischen Servern speichert, so bedarf es datenschutzrechtlich einer neuen Legitimation für diese Datenübertragung in ein „unsicheres Drittland“.

Damit sind alle Vertragsbeziehungen betroffen, bei denen personenbezogene Daten direkt oder indirekt in die USA übermittelt werden, wie etwa

  • Speicherung bei US Cloud Anbietern (z.B. Salesforce, Dropbox, Google Apps, Mailchimp u.a.)
  • Hostinganbieter (z.B. Amazon AWS, Microsoft 365)
  • Webseitenanalyse (z.B. Google Analytics)
  • Werbenetzwerke (z.B. Google Adwords, Facebook Retargeting)

Ohne alternative Legitimation ist eine entsprechende Datenübertragung in die USA auch an Safe Harbor Zertifizierte Unternehmen illegal. Die Datenschutzbehörden haben nach dem Gesetz nun theoretisch die Möglichkeit die Untersagungsverfügungen oder Bußgelder bis zu 300.000 € auszusprechen. Betroffen sind gegebenenfalls sowohl der deutsche „Datenexporteur“ als auch der amerikanische „Datenimporteur“.

B. Alternative Legitimationsmöglichkeiten

Unternehmen sollten sich also zeitnah Gedanken über alternative Legitimationsmöglichkeiten machen.

1. Einwilligung

Eine Datenübermittlung in die USA  oder ein anderes unsicheres Drittland ist gemäß § 4c Abs.1 Nr.1 BDSG gerechtfertigt, wenn der Betroffene nach einer transparenten Information und Belehrung über die Risiken der Datenverarbeitung in den USA (u.a. Verzicht auf angemessenes Datenschutzniveau) einwilligt.

Auch wenn die Anforderungen hoch sind, dürfte eine Einwilligung auch zukünftig eine zwar oft unpraktikable, aber denkbare Legitimationsgrundlage darstellen.

2. EU-Standardvertragsklauseln (sog. Model Clauses)

Alternativ könnten die sogenannten EU-Standardvertragsklauseln mit dem US-Unternehmen vereinbart werden. Die europäische Kommission hat ausdrücklich entschieden, dass bei außer-europäischen Unternehmen, mit denen die EU-Standardvertragsklauseln vereinbart werden. Von einem angemessenen Datenschutzniveaus ausgegangen werden kann.

Auch wenn die Entscheidungsgründe des Safe-Harbor Urteils des EuGH teilweise auch die Geltung der EU-Standardvertagsklauseln in Frage stellen, so sind die die Klauseln – auch nach Aussage der europäischen Art.29 Datenschutzgruppe – weiterhin eine denkbare Legitimationsgrundlage, so lange sie nicht ebenfalls vom EuGH für ungültig erklärt werden.

Die EU-Standardvertragsklauseln sollten in der passenden der drei Versionen verwendet und möglichst unverändert übernommen werden, da jede Anpassung/Änderung die Genehmigungspflicht wiederaufleben lässt.

Europäischen Unternehmen ist insoweit zu raten, gegebenenfalls US-Anbieter zu bevorzugen, die den Abschluss von EU-Standardvertragsklauseln anbieten, die den datenschutzrechtlichen Anforderungen genügen.

3. Binding Corporate Rules (BCR)

Bisher war davon auszugehen, dass sich Konzernunternehmen selbst verbindliche Konzernregeln zum Daten (sog. Binding Corporate Rules) auferlegen konnten. Solche Binding Corporate Rules erfordern jedoch entsprechende Genehmigungen der jeweiligen Datenschutzbehörden.

Da die rechtlichen Einwände des EuGH gegen Safe Harbor für Binding Corporate Rules oder andere vertragliche Lösungsansätze grundsätzlich genauso gelten, sind diese Gestaltung wohl nicht geeignet die Datenübertragung in die USA zu legimitieren.

4. Nutzung zu Anbietern aus der Europäischen Union

Werden die Daten an europäische Unternehmen übertragen, die ihre Server im Europäischen Wirtschaftsraum (EWR) betreiben, ist per Gesetz von einem angemessenen Datenschutzniveau auszugehen. Bei einer Übertragung personenbezogener Daten an ein anderes Unternehmen (z.B. SaaS Anbieter) innerhalb der EU sind dann also „nur“ die Anforderungen an eine Datenübermittlung im Inland (z.B. Auftragsdatenverarbeitung) zu erfüllen.

Einige US-Unternehmen, die die Konformität der Datenverarbeitung für ihre deutschen Kunden sicherstellen wollen, betreiben deshalb Gesellschaften in Europa (z.B. eine deutsche GmbH), die dann auch eine Datenverarbeitung in Europa gewährleisten. Entsprechende Anbieter scheinen derzeit vorzugswürdig.

Gleichzeitig bedeutet das Safe-Harbor Urteil eine große Chance für europäische Unternehmen. Die Einhaltung europäischer Datenschutzstandards kann damit doch noch zu einem Wettbewerbsvorteil werden. Exemplarisch sei hier das Analysewerkzeug von Piwik erwähnt, dass nach dem Safe Harbor Urteil gegenüber US-amerikanischen Diensten wie z.B. Google Analytics, die wohl weiter personenbezogene Daten auch in die USA übertragen, aus datenschutzrechtlicher Sicht eindeutig vorzuziehen. Startups aus entsprechenden Bereich ist deshlab zu empfehlen, diesen Wettbewerbsvorteil durch die Gestaltung datenschutzkonformer Angebote auch bewußt auszunutzen.

C. Das Positionspapier der Datenschutzkonferenz

Heute haben die Datenschutzbehörden das Positionspapier der Datenschutzkonferenz veröffentlicht.

Die Ausführungen aus dem Positionspapier sind von besonderer Bedeutung, da die Datenschutzbehörden des Bundes und der Länder hier erstmals gemeinsam Stellung zu dem Safe Harbor Urteil und den hieraus erwachsenden konkreten Anforderungen in Deutschland nehmen.

  • Bei entsprechender Kenntnis von Datenübermittlungen in die USA, die ausschließlich auf Safe Harbor gestützt werden, werden die Datenschutzbehörden diese entsprechend untersagen (Nr.5).
  • Desweiteren werden die Datenschutzbehörden bei der Prüfung etwaiger EU-Standardvertragsklauseln die Grundsätze des Safe Harbor Urteils zugrunde legen (Nr.6).
  • Neue Genehmigungen für Binding Corporate Rules bzw. Datenexportverträge für eine Datenübetragung in die USA werden vorerst nicht erteilt werden (Nr.7).
  • Eine Einwilligung soll – wenn auch unter engen Bedingungen – grundsätzlich auch weiterhin eine tragfähige Grundlage für einen Transfer personenbezogener Daten in die USA sein (Nr.9).
  • Das Positionspapier ruft deutsche Unternehmen ausdrücklich auf, etwaige Verfahren zum Datentransfer in die USA unverzüglich zu überprüfen und nötigenfalls neu zu legitimieren (Nr.8).
  • Schließlich wird der EU Kommission aufgefordert, der mißlichen Situation durch neue Lösungen mit den USA Abhilfe zu schaffen (Nr. 12)

Aus mündlichen Aussagen folgt zudem, dass die Datenschutzbehörden den Unternehmen wohl einen „Vertrauensschutz“ bis 31.12.2015 einräumen wollen.

Damit ist davon auszugehen, dass die Datenschutzbehörden spätestens ab 1.1.2016 entsprechende Maßnahmen besonderem Fokus in die Wege leiten. Neben anlaßlosen Kontrollen lösen erfahrungsgemäß vor allem Meldungen von Kunden oder Mitarbeitern immer wieder zu behördlichen Nachforschungen aus.

Unternehmen sind also gut beraten, etwaige Datenübertragungen in die USA, die bisher auf Safe Harbor basierten, anderweitig zu legtimieren.

D. Handlungsempfehlungen und Checkliste

Auf Grundlage der oben stehenden Ausführungen sollten Unternehmen:

1. Die eigene Datenverarbeitung prüfen, ob personenbezogene Daten (insbesondere Kunden- oder Mitarbeiterdaten) direkt oder indirekt in die USA übermittelt werden

Dabei sollten gerade auch Cloud- oder SaaS Angebote (wie z.B. Salesforce, Mailchimp u.a.)     oder Analysewerkzeige oder Werbenetzwerke mitbedacht werden.

2. Wenn und soweit die US-Anbieter aufgrund von Safe Harbor neuer Datentransfverträge (z.B. Dat Processing Addendum bei Salesforce) anbieten, so sollten diese geprüft werden, ob diese den datenschutzrechtlichen Standards genügen und gegebenenfalls abgeschlossen werden.

3. Bieten die Datenimporteure keine hinreichende vertragliche Grundlage ist zu prüfen, ob die jeweilige Datenübertragung in die USA kurzfristig mit Einwilligungen oder über den Abschluss vom Unternehmen initiierter EU-Standardvertragsklauseln legitimiert werden kann

Eine Einwilligungserklärung wird aufgrund des Positionspapier entsprechend individuell zu formulieren sein.

Beim Abschluss von EU-Standardvertragsklauseln sollte das geeignete „Set“ gewählt werden. In Konstellationen einer Auftragsdatenverarbeitung des US-Importeurs, die gerade bei SaaS Angeboten häufig einschlägig sein dürften, sollten zudem die entsprechenden Handlungsempfehlungen des Düsseldorfer Kreise zur internationalen Auftragsdatenverarbeitung, die Orientierungshilfe „Cloud Computing“ und die Entschließung „Gewährleistung der Menschenrechte bei der elektronischen Kommunikation“ beachtet werden.

4. Alternativ bleibt dann nur noch der Wechsel zu Anbietern in Europa, die ein angemessenes Datenschutzniveau gewährleisten oder den Abschluss hinreichender Verträge anbieten.

5. Im Falle eines Wechsels sollte geprüft werden, ob die Verträge mit US-Anbietern nicht aus wichtigem Grund gekündigt werden sollen. Soweit die Verträge Dauerschuldverhältnisse sind und konkrete Vertragsklauseln nicht entgegenstehen, wird das Fehlen eines hinreichenden Datenschutzniveaus – gerade bei einer Weigerung des US-Anbieters zum Abschluss neuer Datenschutzverträge – in vielen Fällen als wichtiger Grund angesehen werden können, der zur fristlosen Kündigung des Vertrages berechtigt.

E. Zusammenfassung

Schlussendlich erzeugt das Safe Harbor Urteil auch erheblichen Druck auf die USA, sich mit der Europäischen Union auf ein Safe Harbor 2.0 zu einigen. Dabei wird man sehen, inwieweit die USA bereit ist, bezüglich der bisherigen Massenüberwachung Abstriche zu machen.

Bis dahin sollten sich Unternehmen als rechtlich verantwortliche Stelle im Hinblick auf eine etwaige direkte oder indirekte Übertragung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraum die Gewährleistung eines hinreichenden Datenschutzniveaus gekümmert haben.

Das Urteil des EuGH wird aus meiner Sicht auch dazu führen, dass noch mehr US-Unternehmen zur Vermeidung datenschutzrechtlicher Unwägbarkeiten Töchterfirmen in Europa gründen oder betreiben, die dann die Verträge mit deutschen Unternehmen schließen. Vetraglich wird dann wohl ide Speicherung und Verarbeitung in europäischen Datensilos zugesichert werden.

Gerne stehen wir bei weitergehenden Fragen oder Interesse an einem entsprechenden Inhouse Workshop telefonisch unter +49 (0) 711 860 40 025 oder via E-Mail carsten.ulbricht@menoldbezler.de zur Verfügung.

Comments

  1. Vielen Dank für den sehr ausführlichen Artikel – wir hatten dazu auf unserem Blog auch kurz berichtet vor wenigen Tagen. Wir bieten eine Lösung für Messenger-basierte Kundendialoge und haben das Thema so umgesetzt, dass unsere Kunden vom EuGH-Urteil unberührt bleiben. Alle Daten warten nach geltendem Recht und Datenschutzvorgaben verarbeitet. Wer sich für das Thema interessiert, findet weitere Infos in diesem Artikel: https://smoope.com/de/auswirkungen-des-eugh-urteils-zum-safe-harbor-abkommen-und-unsere-kunden-und-nutzer-darueber-wissen-sollten/

Trackbacks

  1. […] ist nun davon betroffen, dass die USA kein „sicherer Datenhafen“ mehr sind? Laut Dr. Carsten Ulbricht von der Kanzlei Bartsch Rechtsanwälte in Stuttgart alle „Vertragsbeziehungen, bei denen […]

  2. […] For full discussion of the consequences of Safe Harbor, please follow this link and read the feature… (full text in German). […]

Speak Your Mind

*

Sicherheitsfrage *