Nach dem Urteil des EuGH zu den Safe-Harbor Leitlinien, überprüfen nun deutsche Aufsichtsbehörden verstärkt den Datentransfer von Unternehmen in die USA. In Rheinland-Pfalz wurden bereits letztes Jahr einige Unternehmen angeschrieben und darüber befragt, ob und auf welcher Grundlage personenbezogene Daten in die USA übermittelt werden. Auch in Hamburg ist die Aufsichtsbehörde aktiv und überprüft den transatlantischen Datenverkehr, wie Golem berichtet.

Aber was bedeutet Safe Harbor überhaupt, was hat der EuGH entschieden und wie können Unternehmen das Problem nun lösen, sofern dies überhaupt möglich ist?

 

Hintergrund zu Safe Harbor

Die Federal Trade Commission (FTC) in den USA hat die sogenannten Safe Harbor Principles aufgestellt, denen sich amerikanische Unternehmen unterwerfen konnten. Die EU Kommission hatte im Jahre 2000 entschieden, dass die Safe Harbor Leitlinien ein angemessenes Datenschutzniveau gewährleisten. Unternehmen, die diese Leitlinien umsetzen, konnten demnach ein angemessenes Datenschutzniveau vorweisen mit der Folge, dass eine Weitergabe an diese Unternehmen im Rahmen einer Auftragsdatenverarbeitung möglich war. Eine ausdrückliche Einwilligung der Betroffenen oder eine besondere Ermächtigungsgrundlage waren also nicht erforderlich. Der Abschluss eines Vertrags nach § 11 BDSG (ADV-Vertrag) war ausreichend.

Nun hat aber der EuGH (EuGH, 6.10.2015, C-362/14) entschieden, dass die Entscheidung der Kommission zu Safe Harbor ungültig ist. Begründet wurde dies unter anderem damit, dass allein die Unterwerfung unter die Safe Harbor Regelungen noch nicht dazu führt, dass Unternehmen in den USA ein dem europäischen Datenschutzrecht gleichwertiges Datenschutzniveau gewährleisten können. Denn staatliche Einrichtungen waren nicht an die Leitlinien gebunden und ein wirksamer gerichtlicher Rechtsschutz für Betroffene war ebenfalls nicht gegeben, was nach der begrüßenswerten Ansicht des EuGH ein wesentliches Element eines Rechtsstaates ist.

Zusätzlich ist das Gericht der Ansicht, dass in jedem Fall eine nationale Behörde aufgrund der Beschwerde eines Betroffenen unabhängig von einer Kommissionsentscheidung prüfen muss, ob die Regelungen zum Datenschutz in dem Drittland, in das die Daten weitergeleitet werden, angemessen gewahrt werden und ein entsprechendes Datenschutzniveau bieten.

 

 

Betrifft mich Safe Harbor überhaupt?

Schicke ich denn überhaupt personenbezogene Daten in die USA? Nutzen Sie Microsoft Office 365 oder Google Apps (for work)? Kommunizieren Sie per WhatsApp mit Ihren Kunden? Nutzen Sie einen amerikanischen Dienstleister für die Versendung Ihrer Newsletter? Oder haben Sie vielleicht auch einen CRM Dienstleister, der zur Gewährleistung der 24/7-Erreichbarkeit auch Server in den USA stehen hat oder Personal, das von dort aus auf die Daten zugreift? In all diesen Fällen führen die Wege der Daten mindestens zum Teil über Server in den USA. Bisher konnte es ausreichen, wenn die entsprechenden Unternehmen sich den Safe Harbor Leitlinien unterworfen hatten. Es gibt im Übrigen in den USA auch Zertifizierungsdienstleister, die die Vereinbarkeit mit Safe Harbor unabhängig zertifiziert haben. Es musste also nicht zwangsläufig die viel kritisierte Selbstzertifizierung sein.

 

Nachdem Urteil wollte die EU nun schnell ein neues Abkommen mit den USA verhandeln, welches die Übermittlungen legitimieren könnte. Der Nachfolger von Safe Harbor heißt nun Privacy Shield, was genau darin geregelt wird und ob es überhaupt geeignet sein wird, die Datenübertragung in die USA zu legalisieren, ist noch offen. Viel mehr als der Name ist bisher noch  nicht bekannt. Wann diese Regelungen gelten und ob sie das Problem tatsächlich lösen, ist ebenfalls noch nicht klar. Da die Aufsichtsbehörden aber nun erste Verfahren gegen Unternehmen eingeleitet haben, die die Datenweitergabe in die USA nicht ausgesetzt oder datenschutzkonform geregelt haben, ist Eile geboten. Datenschützer hatten Safe Harbor übrigens schon lange kritisiert. Einige deutsche Unternehmen weigern sich deswegen, Dienstleister zu beauftragen, die nur Safe Harbor bieten konnten. Soweit Sie keine Einwilligung jedes einzelnen Nutzers und Betroffenen einholen wollen oder können (und die Datenübermittlung nicht zwingend erforderlich ist zur Vertragserfüllung), handeln Sie also aktuell entgegen dem geltenden Datenschutzrecht und es drohen Bußgelder.

 

 

Was ist zu tun?

Safe Harbor war auch bisher nicht die einzige Möglichkeit, um die Weitergabe von personenbezogenen Daten in die USA datenschutzrechtlich zu legitimieren. Wenn Sie nicht auf die Übermittlung in die USA verzichten können und eine individuelle Einwilligung ebenfalls keine Alternative darstellt, dann gibt es z.B. die Möglichkeit, so genannte Standardverträge (model contracts) mit dem jeweiligen Dienstleister zu vereinbaren.

Diese Standardverträge wurden ebenfalls von der EU entwickelt und festgelegt und liegen in verschiedenen Varianten vor, je nachdem wo der Dienstleister sitzt, wo der Auftraggeber sitzt, und ob es noch weitere Beteiligte innerhalb oder außerhalb der EU gibt. Hier sollten Sie sorgfältig auswählen, welche Vorlage der Standardverträge in Ihrem Fall passt. Weitere Informationen zum Vorgehen sowie die verschiedenen Standardverträge finden Sie auf den Seiten der EU: http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm

 

Im Zusammenhang mit dem Datentransfer in die USA oder anderen  so genannten unsicheren Drittstaaten wird häufig auch von Binding Corporate Rules gesprochen. Das sind verbindliche interne bzw. konzernweite Regelungen zur Sicherung des Datenschutzniveaus. Diese müssen von der nationalen zuständigen Aufsichtsbehörde genehmigt werden. Dieser Weg kann für große Unternehmen oder Unternehmensgruppen mit zahlreichen internationalen Partnerunternehmen interessant sein. Unter anderem haben die Deutsche Telekom und die Deutsche Post DHL den Genehmigungsprozess erfolgreich hinter sich gebracht. Der Genehmigungsprozess braucht allerdings eine Weile. Weitere Informationen dazu gibt es hier: http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/index_en.htm

 

Jetzt sind allerdings kurzfristige Lösungen gefragt, sofern man den Datentransfer nicht aussetzen oder beenden will. Daher sind die Standardverträge die beste Möglichkeit zur Legitimation des Datentransfers. Die Behörden waren im Grunde noch nie wirklich zufrieden mit Safe Harbor. Aufgrund diverser Überwachungsgesetze in den USA (insbesondere dem Patriot Act) halten einige Aufsichtsbehörden eine Datenweitergabe an U.S. amerikanische Unternehmen ohnehin für datenschutzrechtlich unmöglich (so das ULD in Schleswig-Holstein sowie die Datenschutzaufsicht in Rheinland-Pfalz). Spätestens mit den Enthüllungen von Edward Snowden wurde deutlich, dass die Sicherheit vor fremder Kenntnisnahme zumindest durch Geheimdienste und Behörden in den USA nicht gewährleistet zu sein scheint. Dies wirkt sich nun in der Praxis auf die Handlungsfähigkeit deutscher Unternehmen aus. Denn zahlreiche innovative und begehrte Softwarelösungen kommen aus den USA. Die Suche nach europäischen Alternativen ist nicht immer erfolgreich.

 

Wie so oft, kann ich auch in diesem Fall nur empfehlen: Keine Panik, aber fangen Sie an, sich mit dem Thema zu beschäftigen. Die Aufsichtsbehörden sind grundsätzlich kooperativ, man sollte deren Geduld allerdings nicht zu sehr strapazieren.