Risikobehaftet: Datentransfers in die USA nach dem Wegfall des Safe Harbor Abkommens
Der Europäische Gerichtshof (EuGH) erklärt das Safe Harbor Abkommen für unwirksam. Wer als Unternehmen eine Übermittlung personenbezogener Daten in die USA allein auf diese Grundlage gestützt hat, sieht sich nun vor Probleme gestellt. Was ist zu tun?
Viele Unternehmen in Deutschland sind für ihren Geschäftsbetrieb auf einen Datentransfer ins außereuropäische Ausland angewiesen, teils als Austausch zwischen Konzerngesellschaften oder durch die Nutzung von Dienstleistungen, etwa im Rahmen der Verwendung von Analyse-Tools auf der Unternehmenswebsite, des Outsourcings von Geschäftsprozessen oder beim Einsatz von Cloud Services. Das deutsche und europäische Datenschutzrecht erlaubt eine Übermittlung personenbezogener Daten in ein anderes Land jedoch nur, wenn dort ein angemessenes Schutzniveau besteht. Innerhalb der Europäischen Union wird dabei von Gesetzes wegen ein gleiches Datenschutzniveau unterstellt. Für die USA hingegen gilt das nicht, weswegen im Jahr 2000 das Safe Harbor Modell entwickelt wurde. Für US-Unternehmen, die sich nach bestimmten in einer Entscheidung der Kommission festgelegten Grundsätzen gegenüber dem US-Handelsministerium selbst zertifizierten und so zur Teilnahme an dem Modell verpflichteten, wurde ein angemessenes Datenschutzniveau angenommen.
Diese Möglichkeit gibt es nach der Entscheidung des EuGH vom 6.10.2015 (Europäischer Gerichtshof, Urteil vom 6. Oktober 2015, Rechtssache C 362/14 – Schrems) nicht mehr. Ein Transfer von personenbezogenen Daten in die USA ist somit, sofern er nur auf den Safe Harbor Mechanismus gestützt wird, nicht mehr konform mit den europäischen und deutschen Datenschutzvorschriften und müsste folglich eingestellt oder auf eine neue rechtssichere Grundlage gestellt werden.
Alternative Rechtsgrundlagen für die Datenübermittlung in die USA
Eine Rechtsgrundlage, für die nicht auf Safe Harbor oder andere Vereinbarungen zurückgegriffen werden muss, bieten gesetzliche Tatbestände. Diese gestatten, als Ausnahme vom Grundsatz der erforderlichen Einwilligung des Betroffenen, eine Übermittlung personenbezogener Daten an Dritte und ins Ausland für bestimmte Zwecke. Sie reichen jedoch regelmäßig nicht so weit, als es für die Aufrechterhaltung bisheriger Geschäftspraktiken nötig wäre. So müsste ein Datentransfer u.a. zur Erfüllung eines Vertrags mit dem Betroffenen erforderlich sein, dieser einen Auslandsbezug aufweisen und es dürfen keine überschießenden Informationen übermittelt werden. Auch die Einholung von Einwilligungen der Betroffenen bietet meist keine rechtssichere Ausweichmöglichkeit, da an deren Wirksamkeit sehr hohe Anforderungen gestellt werden. Pauschale und allgemein gehaltene Einwilligungserklärungen für eine Vielzahl von Datenverarbeitungen sind unwirksam. Aufsichtsbehörden und Verbraucherschutzorganisationen werden mittlerweile verstärkt auf den Plan gerufen und klagen derzeit z.B. gegen Facebook, gerade auch wegen deren Datenweitergabe in die USA. Deutsche Gerichte haben mehrfach Datenschutzbestimmungen von Apple, Google und Facebook für unwirksam erachtet.
Als Lösung drängt sich der Abschluss von Verträgen zum Datentransfer zwischen Datenexporteur und -importeur auf Grundlage der so genannten EU-Standardvertragsklauseln auf. In diesen von der EU Kommission vorgelegten Vertragsmustern garantiert der ausländische Datenimporteur gegenüber dem europäischen Datenexporteur die Einhaltung des Schutzniveaus. Obgleich die Standardvertragsklauseln im Vergleich zu Safe Harbor wesentlich höhere Anforderungen und bessere Kontrollmöglichkeiten bieten, fußen sie doch auf demselben rechtlichen Mechanismus, einer Vereinbarung zwischen Unternehmen und der Selbstverpflichtung. Sie waren nicht Gegenstand des EuGH Urteils, viele der darin genannten Kritikpunkte am Safe Harbor müssten aber, stringent zu Ende gedacht, gleichermaßen für die Standardvertragsklauseln gelten. Insbesondere muss der Datenimporteur garantieren, dass er keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs unmöglich machen.
Gerade dies ist nach dem Urteil problematisch und wird in ersten Stimmen aus den Aufsichtsbehörden aufgrund der Zugriffsrechte der staatlichen Stellen (NSA) bezweifelt.
Auch sind die EU Standard-Vertragsklauseln zwischen Unternehmensteilen großer Konzerne einfacher zu bewerkstelligen, als für deutsche Mittelständler oder Kleinunternehmen. Für diese wird es schwierig sein, einem US-amerikanischen Service Provider die Verpflichtung zur Unterwerfung unter europäische Klauseln abzuringen. Ein weiteres Instrument zum legalen Datentransfer, jedoch ebenfalls nur für internationale Konzerne, sind Binding Corporate Rules. Diese bieten zwar die Möglichkeit verbindliche Regeln zu einem konzernweit vereinheitlichten angemessenen Datenschutz zu schaffen, sie müssen aber von den Aufsichtsbehörden genehmigt werden und stoßen nach dem Urteil ebenfalls auf Bedenken hinsichtlich deren Zulässigkeit.
Ein einfacher und völlig rechtssicherer Ersatz für Safe Harbor ist also momentan nicht zur Hand. Den Datentransfer in die USA rechtssicher zu gestalten hängt von vielen Faktoren des konkreten Sachverhalts ab. Die weiterhin vorhandenen Möglichkeiten müssen also passgenau gestaltet werden, eine rechtliche Begleitung bei diesem Prozess ist entscheidend.
Gesteigerte Prüftätigkeit der Behörden und drohende Sanktionen
Trotz des damit verbundenen Aufwands sollten Unternehmen die Übermittlung personenbezogener Daten an Stellen im außereuropäischen Ausland mit Sorgfalt angehen. Jede Übermittlung ohne Rechtsgrundlage stellt eine Ordnungswidrigkeit dar und kann mit einem Bußgeld in Höhe von bis zu 300.000 EUR geahndet werden. Die Aufsichtsbehörden haben bereits deutlich gemacht, dass sie nun die Datenübermittlungen verstärkt überprüfen wollen. In naher Zukunft wird sich das Problem noch weiter verschärfen, da das Datenschutzrecht auf europäischer Ebene vereinheitlicht wird. Im Rahmen dieses Gesetzgebungsprozesses werden Sanktionen diskutiert, die sich am weltweiten Jahresumsatz orientieren, das Europäische Parlament fordert daneben auch eine Ausweitung der Höhe maximaler Geldbußen auf bis zu 100 Mio. Euro. Somit dürfte das Thema Datenschutzcompliance in Unternehmen jeder Größenordnung einen neuen Stellenwert einnehmen.
(EuGH, Urteil vom 6. Oktober 2015, Rechtssache C 362/14)
Rechtsanwälte Dr. Daniel Michel, LL.M. und Dr. Stefan Drackert
München und Frankfurt