Safe Harbour: Frist läuft ab – Shop-Betreiber müssen handeln

Von: | 27. Januar 2016
VN:F [1.9.22_1171]
Bewertung: 0.0 (0 Bewertungen )

protectedshops-logoNach dem Urteil des EuGH, mit dem er das sog. Safe-Harbour-Abkommen für ungültig erklärt hat, besteht einige Rechtsunsicherheit bzgl. der Datenübermittlung nach Amerika. Europäische Datenschutzbehörden wollen ab Februar rechtliche Maßnahmen gegen Unternehmen ergreifen, die rechtswidrig Daten in die USA übermitteln.

Nach Verkündung des Urteils des Europäischen Gerichtshofes, mit dem das Safe-Harbour-Abkommen für ungültig erklärt wurde, hat die sog. „Artikel 29 Datenschutzgruppe“, die aus den Vertretern der nationalen Datenschutzbehörden aller Mitgliedstaaten, dem Europäischen Datenschutzbeauftragten und einem Vertreter der Europäischen Kommission besteht, die einzelnen Mitgliedstaaten und die Europäischen Institutionen aufgefordert, zusammen mit der US-Regierung Lösungen zu entwickeln, damit Daten aus Europa wieder zulässigerweise in die USA übermittelt werden können. Die dafür gesetzte Frist läuft Ende Januar aus.

Datenschutzrechtliche Maßnahmen ab Februar angekündigt

Ab Februar werden die EU-Datenschutzbehörden „alle erforderlichen und geeigneten Maßnahmen ergreifen“, um das Urteil des EuGH durchzusetzen. Für Unternehmen läuft die Schonfrist also bald ab. Wer immer noch Datentransfers in die USA auf das Safe-Harbour-Abkommen stützt, muss mit Unterlassungsverfügungen und Bußgeldern rechnen. Alternative rechtliche Grundlagen bestehen noch in Form der EU-Standardvertragsklauseln und verbindlicher Unternehmensregelungen (Binding Corporate Rules – BCR). Beide werden von der Artikel-29-Gruppe noch als zulässig eingestuft. Jedoch stehen auch sie auf dem Prüfstand.

Standardvertragsklauseln und BCR unzulässig?

Deutsche Datenschutzbehörden haben diese Alternativen zu Safe Harbour bereits als unzulässig eingestuft und wollen keine Genehmigungen mehr für Datenübermittlungen erteilen, die darauf beruhen. Denn keine von beiden rechtlichen Grundlagen kann in Amerika ein Datenschutzniveau herstellen, das mit dem in der EU vergleichbar ist. Zumindest nicht, solange in den USA Gesetze gelten, die es Behörden und Geheimdiensten gestatten, massenhaft und uneingeschränkt auf Daten zuzugreifen.

EuGH-Urteil betrifft auch den E-Commerce

Von der EuGH-Entscheidung sind alle Unternehmen betroffen, die entweder selbst personenbezogene Daten in die USA übermitteln oder Drittanbieter, etwa Dienstleister nutzen, die das tun. Das kann auch auf Shop-Betreiber zutreffen, z.B. wenn sie Webtools für den Newsletter-Versand oder E-Mail-Programme nutzen, deren Anbieter ihren Sitz und/oder ihre Server in Amerika haben. Wer ab Februar keine Sanktionen von Datenschutzbehörden riskieren will, muss also handeln.

Eigenanzeige
Machen Sie mehr aus Ihrem Umsatz!

Erfahren Sie jetzt, wie Sie zum kennzahlengesteuerten Unternehmen werden. Bei renditemacher.de bekommen Sie kostenlose Informationen und praxisorientierte Handlungsempfehlungen zum E-Commerce Controlling.

Jetzt kostenlos erfolgreicher werden

Folgen der EuGH-Entscheidung – Was ist zu tun?

Vor allem müssen Verträge, die einen Datentransfer in die USA immer noch auf Safe Harbour stützen, gekündigt oder geändert werden. Stattdessen die Standardvertragsklauseln oder BCR zu nutzen, birgt jedoch auch ein gewisses Risiko – zumindest ab Februar. Für eine Übermittlung von Daten bleiben als Rechtsgrundlage dann nur noch die Einwilligung des Betroffenen, also desjenigen, um dessen personenbezogene Daten es geht, oder gesetzliche Ausnahmetatbestände.

Letztere bestehen nur für die Fälle, in denen die Datenübermittlung zur Erfüllung eines Vertrages (entweder zwischen dem Datenexporteur und dem Betroffenen oder zugunsten des Betroffenen mit einem Dritten) erforderlich ist. Das kann beispielsweise Online-Bestellungen oder Reisebuchungen betreffen.

Wirksame Einwilligung in den Datentransfer wohl kaum möglich!

Eine rechtswirksame Einwilligung des Betroffenen einzuholen dürfte hingegen nahezu unmöglich sein. Dazu wäre zunächst ein Verzicht auf grundlegende Rechte erforderlich: Zum einen darauf, überhaupt Kenntnis davon zu erlangen, was mit den eigenen Daten passiert (darüber werden die US-Geheimdienste nämlich nicht informieren), und zum anderen auf einen effektiven Rechtsschutz. Es gibt in den USA keine Möglichkeit, sich gegen den Datenzugriff gerichtlich zu wehren. Auf beide Rechte darf der Betroffene aber nach europäischen Vorgaben nicht verzichten, eine entsprechende Einwilligung wäre deshalb wohl schon aus diesem Grund unwirksam.

Hinzu kommt, dass der Betroffene vor Abgabe seiner Zustimmung umfassend über die Weiterverarbeitung seiner Daten informiert werden muss, also u.a. darüber, wer sie zu welchen Zwecken nutzt. Da die Unternehmen, die die Daten erheben und in die USA übermitteln, jedoch selbst keine Kenntnis vom Umfang der Datennutzung durch die US-Behörden haben werden, können sie darüber auch nicht informieren. Ein weiterer Punkt an dem die Wirksamkeit einer Einwilligungserklärung scheitern wird.

Ausweg technische Lösungen?

Es bleiben dann wohl nur technische Lösungen, um personenbezogene Daten dem Zugriff von NSA und Co. zu entziehen. Etwa die Speicherung auf Servern, die nicht in den USA stehen. Diesbezüglich bestehen allerdings ebenfalls Risiken, da US-Behörden auch die Herausgabe von Daten verlangen, die sich außerhalb ihres Hoheitsgebietes befinden, solange die Server von Firmen mit Sitz in Amerika betrieben werden. Entsprechende Gerichtsverfahren laufen aktuell mit Microsoft.

Um dem zu entgehen, müsste die Datenverwaltung aus dem Mutterkonzern ausgegliedert und an Subunternehmen mit Sitz beispielsweise in Europa übergeben werden. Auch eine Anonymisierung der personenbezogenen Daten vor dem Transfer in die USA ist möglich, begegnet jedoch denselben Schwierigkeiten. Telekommunikationsunternehmen bieten aktuell „Treuhändersysteme“ an, bei denen die Daten in Europa gespeichert werden.

Fazit

Der Datentransfer in die USA ist seit der Entscheidung des EuGH vom 06.10.2015 (AZ: C-362/14) schwierig bis unmöglich geworden. Deshalb ist es umso wichtiger, dass neue rechtliche Grundlagen geschaffen werden. Dazu dürfte allerdings erforderlich sein, dass die amerikanische Regierung die Zugriffsrechte ihrer Behörden und Geheimdienste beschränkt. In Anbetracht der jüngsten Anschläge und Terrorwarnungen – auch in Europa – dürfte das wohl unwahrscheinlich sein. Für den Datenaustausch zwischen Amerika und Europa ist eine schnelle Einigung vor allem aus wirtschaftlicher Sicht jedoch unabdingbar.

Autorenfoto studierte Rechtswissenschaften an der Leibniz-Universität Hannover. Rechtsreferendariat und Staatsexamina in Hannover. Schwerpunktsetzung auf das Urheber- und IT-Recht. Seit 2013 ist sie juristische Redakteurin bei der Protected Shops GmbH in München und dort verantwortlich für die Erstellung allgemein verständlicher Texte zu juristischen Themen.
Newsletter abonnieren
Ähnliche Artikel zum Thema

Jetzt unseren kostenlosen Newsletter abonnieren und frei Haus wöchentlich alle neuen Artikel, Tipps und Links für Ihr Onlinegeschäft erhalten. Gleichzeitig erhalten Sie Zugang zu unserem Download-Bereich mit wertvollen Ratgebern, Praxisleitfäden und Fachartikeln!

Keine Datenweitergabe!

Thematisch passende Anbieter und Dienstleister

2 Comments

  1. Wenn ich das richtig verstehe, können dann z.B. US Dienste wie Mailchimp (Newsletter) so nicht mehr verwendet werden?

    Kommentar by Michael Bröske — 2. Februar 2016 @ 08:04

  2. Danke für die Nachfrage, Herr Bröske.

    Werden Daten in die USA übermittelt, darf der Transfer – zumindest – nicht mehr auf das vom EuGH für ungültig erklärte Safe-Harbor-Abkommen gestützt werden. Von dem Urteil sind nicht nur Unternehmen betroffen, die selbst Daten in die USA übermitteln, sondern auch solche, die Dienstleister nutzen, die ihre Server in Amerika haben (z.B. Mailchimp). Verträge mit solchen Anbietern müssen – um behördliche Maßnahmen wie Ordnungsgelder oder Unterlassungsverfügungen zu vermeiden – gekündigt oder zumindest abgeändert werden.

    Mailchimp beruft sich in seiner Privacy Policy weiterhin auf Safe Harbor (siehe „COMPLIANCE – 12. Safe Harbor Certifikation“), bietet seinen Kunden jedoch die Möglichkeit, stattdessen die EU-Standardvertragsklauseln zu vereinbaren (diese sind vom EuGH-Urteil nicht unmittelbar betroffen und damit theoretisch noch eine zulässige Alternative zum Safe-Harbor-Abkommen). Diesbezüglich ist jedoch eine Anfrage an Mailchimp erforderlich. Mailchimp-Nutzer müssen also aktiv werden, was sie mit Ablauf der von den europäischen Datenschutzbehörden gesetzten Frist Ende Januar auch dringend tun sollten!

    Kommentar by Katrin Trautzold — 2. Februar 2016 @ 15:04

RSS-Feed für Kommentare zu diesem Artikel.


Die Kommentarfunktion ist zur Zeit leider deaktiviert.