Nach dem Urteil des EuGH, mit dem er das sog. Safe-Harbour-Abkommen für ungültig erklärt hat, besteht einige Rechtsunsicherheit bzgl. der Datenübermittlung nach Amerika. Europäische Datenschutzbehörden wollen ab Februar rechtliche Maßnahmen gegen Unternehmen ergreifen, die rechtswidrig Daten in die USA übermitteln.
Nach Verkündung des Urteils des Europäischen Gerichtshofes, mit dem das Safe-Harbour-Abkommen für ungültig erklärt wurde, hat die sog. „Artikel 29 Datenschutzgruppe“, die aus den Vertretern der nationalen Datenschutzbehörden aller Mitgliedstaaten, dem Europäischen Datenschutzbeauftragten und einem Vertreter der Europäischen Kommission besteht, die einzelnen Mitgliedstaaten und die Europäischen Institutionen aufgefordert, zusammen mit der US-Regierung Lösungen zu entwickeln, damit Daten aus Europa wieder zulässigerweise in die USA übermittelt werden können. Die dafür gesetzte Frist läuft Ende Januar aus.
Datenschutzrechtliche Maßnahmen ab Februar angekündigt
Ab Februar werden die EU-Datenschutzbehörden „alle erforderlichen und geeigneten Maßnahmen ergreifen“, um das Urteil des EuGH durchzusetzen. Für Unternehmen läuft die Schonfrist also bald ab. Wer immer noch Datentransfers in die USA auf das Safe-Harbour-Abkommen stützt, muss mit Unterlassungsverfügungen und Bußgeldern rechnen. Alternative rechtliche Grundlagen bestehen noch in Form der EU-Standardvertragsklauseln und verbindlicher Unternehmensregelungen (Binding Corporate Rules – BCR). Beide werden von der Artikel-29-Gruppe noch als zulässig eingestuft. Jedoch stehen auch sie auf dem Prüfstand.
Standardvertragsklauseln und BCR unzulässig?
Deutsche Datenschutzbehörden haben diese Alternativen zu Safe Harbour bereits als unzulässig eingestuft und wollen keine Genehmigungen mehr für Datenübermittlungen erteilen, die darauf beruhen. Denn keine von beiden rechtlichen Grundlagen kann in Amerika ein Datenschutzniveau herstellen, das mit dem in der EU vergleichbar ist. Zumindest nicht, solange in den USA Gesetze gelten, die es Behörden und Geheimdiensten gestatten, massenhaft und uneingeschränkt auf Daten zuzugreifen.
EuGH-Urteil betrifft auch den E-Commerce
Von der EuGH-Entscheidung sind alle Unternehmen betroffen, die entweder selbst personenbezogene Daten in die USA übermitteln oder Drittanbieter, etwa Dienstleister nutzen, die das tun. Das kann auch auf Shop-Betreiber zutreffen, z.B. wenn sie Webtools für den Newsletter-Versand oder E-Mail-Programme nutzen, deren Anbieter ihren Sitz und/oder ihre Server in Amerika haben. Wer ab Februar keine Sanktionen von Datenschutzbehörden riskieren will, muss also handeln.
Folgen der EuGH-Entscheidung – Was ist zu tun?
Vor allem müssen Verträge, die einen Datentransfer in die USA immer noch auf Safe Harbour stützen, gekündigt oder geändert werden. Stattdessen die Standardvertragsklauseln oder BCR zu nutzen, birgt jedoch auch ein gewisses Risiko – zumindest ab Februar. Für eine Übermittlung von Daten bleiben als Rechtsgrundlage dann nur noch die Einwilligung des Betroffenen, also desjenigen, um dessen personenbezogene Daten es geht, oder gesetzliche Ausnahmetatbestände.
Letztere bestehen nur für die Fälle, in denen die Datenübermittlung zur Erfüllung eines Vertrages (entweder zwischen dem Datenexporteur und dem Betroffenen oder zugunsten des Betroffenen mit einem Dritten) erforderlich ist. Das kann beispielsweise Online-Bestellungen oder Reisebuchungen betreffen.
Wirksame Einwilligung in den Datentransfer wohl kaum möglich!
Eine rechtswirksame Einwilligung des Betroffenen einzuholen dürfte hingegen nahezu unmöglich sein. Dazu wäre zunächst ein Verzicht auf grundlegende Rechte erforderlich: Zum einen darauf, überhaupt Kenntnis davon zu erlangen, was mit den eigenen Daten passiert (darüber werden die US-Geheimdienste nämlich nicht informieren), und zum anderen auf einen effektiven Rechtsschutz. Es gibt in den USA keine Möglichkeit, sich gegen den Datenzugriff gerichtlich zu wehren. Auf beide Rechte darf der Betroffene aber nach europäischen Vorgaben nicht verzichten, eine entsprechende Einwilligung wäre deshalb wohl schon aus diesem Grund unwirksam.
Hinzu kommt, dass der Betroffene vor Abgabe seiner Zustimmung umfassend über die Weiterverarbeitung seiner Daten informiert werden muss, also u.a. darüber, wer sie zu welchen Zwecken nutzt. Da die Unternehmen, die die Daten erheben und in die USA übermitteln, jedoch selbst keine Kenntnis vom Umfang der Datennutzung durch die US-Behörden haben werden, können sie darüber auch nicht informieren. Ein weiterer Punkt an dem die Wirksamkeit einer Einwilligungserklärung scheitern wird.
Ausweg technische Lösungen?
Es bleiben dann wohl nur technische Lösungen, um personenbezogene Daten dem Zugriff von NSA und Co. zu entziehen. Etwa die Speicherung auf Servern, die nicht in den USA stehen. Diesbezüglich bestehen allerdings ebenfalls Risiken, da US-Behörden auch die Herausgabe von Daten verlangen, die sich außerhalb ihres Hoheitsgebietes befinden, solange die Server von Firmen mit Sitz in Amerika betrieben werden. Entsprechende Gerichtsverfahren laufen aktuell mit Microsoft.
Um dem zu entgehen, müsste die Datenverwaltung aus dem Mutterkonzern ausgegliedert und an Subunternehmen mit Sitz beispielsweise in Europa übergeben werden. Auch eine Anonymisierung der personenbezogenen Daten vor dem Transfer in die USA ist möglich, begegnet jedoch denselben Schwierigkeiten. Telekommunikationsunternehmen bieten aktuell „Treuhändersysteme“ an, bei denen die Daten in Europa gespeichert werden.
Fazit
Der Datentransfer in die USA ist seit der Entscheidung des EuGH vom 06.10.2015 (AZ: C-362/14) schwierig bis unmöglich geworden. Deshalb ist es umso wichtiger, dass neue rechtliche Grundlagen geschaffen werden. Dazu dürfte allerdings erforderlich sein, dass die amerikanische Regierung die Zugriffsrechte ihrer Behörden und Geheimdienste beschränkt. In Anbetracht der jüngsten Anschläge und Terrorwarnungen – auch in Europa – dürfte das wohl unwahrscheinlich sein. Für den Datenaustausch zwischen Amerika und Europa ist eine schnelle Einigung vor allem aus wirtschaftlicher Sicht jedoch unabdingbar.
Michael Bröske meint
Wenn ich das richtig verstehe, können dann z.B. US Dienste wie Mailchimp (Newsletter) so nicht mehr verwendet werden?
Katrin Trautzold meint
Danke für die Nachfrage, Herr Bröske.
Werden Daten in die USA übermittelt, darf der Transfer – zumindest – nicht mehr auf das vom EuGH für ungültig erklärte Safe-Harbor-Abkommen gestützt werden. Von dem Urteil sind nicht nur Unternehmen betroffen, die selbst Daten in die USA übermitteln, sondern auch solche, die Dienstleister nutzen, die ihre Server in Amerika haben (z.B. Mailchimp). Verträge mit solchen Anbietern müssen – um behördliche Maßnahmen wie Ordnungsgelder oder Unterlassungsverfügungen zu vermeiden – gekündigt oder zumindest abgeändert werden.
Mailchimp beruft sich in seiner Privacy Policy weiterhin auf Safe Harbor (siehe „COMPLIANCE – 12. Safe Harbor Certifikation“), bietet seinen Kunden jedoch die Möglichkeit, stattdessen die EU-Standardvertragsklauseln zu vereinbaren (diese sind vom EuGH-Urteil nicht unmittelbar betroffen und damit theoretisch noch eine zulässige Alternative zum Safe-Harbor-Abkommen). Diesbezüglich ist jedoch eine Anfrage an Mailchimp erforderlich. Mailchimp-Nutzer müssen also aktiv werden, was sie mit Ablauf der von den europäischen Datenschutzbehörden gesetzten Frist Ende Januar auch dringend tun sollten!