Der Europäische Gerichtshof hat im Oktober 2015 den Safe Harbor Beschluss zum Datentransfer in die USA für unwirksam erklärt. Damit ist der Datentransfer in die USA zu großen Teilen rechtswidrig. Bis Ende Januar 2016 hatten Unternehmen Zeit, neue Grundlagen für rechtmäßigen Datenexport zu schaffen. Diese Schonfrist ist abgelaufen. Es gibt eine neue Vereinbarung zwischen der EU-Kommission und den USA von Februar 2016. Die nützt Unternehmen aber nichts. Deutsche Unternehmen müssen dringend handeln. Wer weiter Safe Harbor einsetzt, riskiert ein Bußgeld.

Datentransfer in die USA

Deutschland und die USA sind wichtige Handelspartner. US-Unternehmen haben Tochtergesellschaften in Deutschland, genauso wie deutsche Konzerne Niederlassungen in den USA haben. Dazu müssen zwischen den deutschen und den US-Niederlassungen Daten übermittelt werden. Allerdings ist der Datenschutz in Europa und in den USA sehr unterschiedlich geregelt. In Europa gilt das Verbotsprinzip. Jede Datenverarbeitung ist erst einmal verboten, es sei denn, der Betroffene stimmt ausdrücklich zu oder es gibt eine gesetzliche Erlaubnis. Das Recht in den USA folgt einem anderen Ansatz, hier gibt es spezielle Datenschutzgesetze für einzelne Sektoren.

Um die Unterschiede zu überbrücken, haben EU und USA sich im Jahr 2000 auf das Safe Harbor-Programm geeinigt. US-Unternehmen, die an dem Programm teilnehmen und sich beim Handelsministerium registrieren ließen, durften Daten aus Europa empfangen.

Datenübermittlung illegal

Seit den Snowden-Enthüllungen im Jahr 2013 ist bekannt, dass amerikanische Geheimdienste umfangreichen Zugriff auf personenbezogene Daten von Ausländern, auch Ausländern aus der EU haben. Dieser Zugriff geht soweit, dass der Europäische Gerichtshof am 6.  Oktober  2015 das Safe Harbor-Programm für rechtswidrig erklärte. Datentransfer in die USA kann somit nicht mehr auf Safe Harbor gestützt werden.

Das Urteil hat für Unternehmen schwerwiegende Konsequenzen. Gerade mittelständische Unternehmensgruppen haben häufig auf Safe Harbor gesetzt, um Daten in die USA zu exportieren. Dafür reichte es, dass das US-Unternehmen am Safe Harbor-Programm teilnahm und beim Handelsministerium registriert war. Für deutsche Unternehmen war der Export sehr einfach.

Das geht seit Oktober 2015 nicht mehr. Datenübertragungen, die auf Safe Harbor gestützt werden, sind nun illegal. Das betrifft Arbeitnehmerdaten, die eine deutsche Gesellschaft an die US-Mutter übermittelt, genauso wie Kundendaten, die ein deutsches Unternehmen an seine US-Niederlassung senden will, und auch sonst alle Daten, die sich auf Personen beziehen. Das betrifft auch die Nutzung von Clouds von US-Anbietern. Die Cloud-Nutzung kann ebenfalls nicht mehr auf Safe Harbor gestützt werden.

Alternativen schaffen

Deutsche Unternehmen müssen dringend Alternativen schaffen. Der beste Weg ist es jetzt, sogenannte Standardvertragsklauseln zu vereinbaren. Darin verpflichtet sich das US-Unternehmen, wichtige europäische Datenschutzprinzipien einzuhalten. Wenn ein solcher Vertrag geschlossen wird, gilt das US-Unternehmen als sicherer Empfänger. Daten können dahin genauso übermittelt werden wie an ein Unternehmen mit Sitz in der EU.

Auch die europäischen Datenschutzbehörden haben erkannt, dass das Urteil des Europäischen Gerichtshof am 6.  Oktober  2015 überraschend kam. Daher haben sie den Unternehmen eine Schonfrist eingeräumt. Die Schonfrist ist am 31.  Januar  2016 abgelaufen. Kurz vor Ablauf der Schonfrist haben sich die EU-Kommission und die US-Regierung auf ein neues Abkommen zum „Privacy Shield“ verständigt, das europäischen Unternehmen besseren Schutz in den USA gewähren soll.

Die europäischen Datenschutzbeauftragten haben sich am 2.  und 3.  Februar  2016 getroffen, um über künftige Maßnahmen zu beschließen. Dabei haben sie anerkannt, dass die USA Schritte zum besseren Datenschutz unternommen haben. Diese Schritte wollen sie bis Ende Februar 2016 überprüfen. Allerdings ändert dies nichts daran, dass Datenübermittlungen nicht mehr auf Safe Harbor gestützt werden können. Die Frist bis Ende Februar 2016 dient dazu, das neue Abkommen zu überprüfen. Übermittlungen auf der Basis von Safe Harbor sind rechtswidrig. Hierauf haben die europäischen Datenschutzbeauftragten in der Presseerklärung vom 3.  Februar  2016 noch einmal ausdrücklich hingewiesen.

Jedes Unternehmen, das weiterhin Safe Harbor anwendet, muss daher mit Bußgeldern rechnen. Diese Bußgelder können bis zu 300.000 € betragen. Es ist sicher, dass die deutsche Datenschutzbehörden ab Februar 2016 mit der Überprüfung beginnen und auch Bußgelder verhängen, wenn sie hierbei illegalen Datentransfer feststellen.

Schnelles Handeln erforderlich

Für Unternehmen sind im Moment zwei Dinge wichtig. Wenn sie Daten in die USA exportieren wollen, so müssen sie sogenannte Standardvertragsklauseln mit dem Empfänger schließen. Dabei halten sich das deutsche und das US-Unternehmen an das Vertragsmuster der EU-Kommission. Man muss hierbei sorgfältig vorgehen, um die individuellen Verhältnisse genau zu erfassen.

Außerdem muss man vorsorgen, weil es in Zukunft zu mehr Überprüfungen kommen wird. Die Datenschutzbehörden nehmen internationalen Datentransfer jetzt stärker unter die Lupe. Die Behörden fangen sogar an, Unternehmen anzuschreiben und Fragen zum Datenexport zu stellen.

Unternehmen bleibt keine Wahl, sie müssen mit Überprüfungen rechnen und daher schon jetzt den gesamten Datentransfer auf den Prüfstand stellen, damit es bei Prüfungen nicht zu Beanstandungen kommt und Bußgelder verhängt werden. Es kommt in der Praxis immer wieder vor, dass bestimmte gesetzliche Voraussetzungen nicht erfüllt worden sind, um Arbeitnehmerdaten in die USA zu transferieren, z. B. eine Vereinbarung mit dem Betriebsrat. Auch bei Kundendatenbanken wird manchmal nicht sorgfältig gearbeitet und es werden Daten übermittelt, die besser bei der Tochtergesellschaft in Deutschland geblieben wären. Auch Unternehmen, die Clouds von US-Anbieter nutzen, müssen jetzt handeln.

Ungerechtfertigte Belastung für Unternehmen

Datenschutzbehörden konfrontieren Unternehmen nach einer ganz kurzen Übergangsfrist mit strengen Anforderungen, die sie jetzt unter Hochdruck in der Praxis umsetzen müssen, um Bußgelder zu vermeiden. Dieser Umsetzungsdruck führt zu einer Belastung der deutschen Wirtschaft und des internationalen Handels, die die Behörden besser hätten vermeiden sollen. Es wäre sinnvoller gewesen, längere Übergangsfristen einzuräumen, damit Unternehmen sich auf die neue Praxis einstellen können. Leider bleibt Unternehmen aber keine Wahl. Wer jetzt nicht handelt, riskiert hohe Bußgelder.

Arnd Böken, Rechtsanwalt und Notar
Berlin