Das Urteil des Europäischen Gerichtshofs gegen Facebook erklärte das Safe-Harbor-Abkommen für ungültig. Den Firmen, die auf Basis des obsoleten Abkommens personenbezogene Daten in die USA übertragen, drohen ab April Geldstrafen. Die Politik zaubert nun den Nachfolger Privacy Shield aus dem Hut.
Mit dem Urteil des EuGH [1] vom 6. Oktober 2015 wurde die Safe-Harbor-Regelung der Europäischen Kommission für ungültig erklärt. Die in der Entscheidung der Kommission geregelte Selbstzertifizierung US-amerikanischer Unternehmen, die als Grundlage für Datenübermittlungen in die USA diente, ist mit Verkündung des Urteils nicht mehr zulässig.
Unternehmen, die personenbezogene Daten in die USA übermitteln, müssen sich mit den Folgen auseinandersetzen. Spätestens mit Ablauf der Schonfrist im April 2016 müssen sich die betroffenen Firmen umstellen. Es ist damit zu rechnen, dass Tausende von Verträgen, die sich auf das Safe-Harbor-Abkommen beziehen, dann ungültig sind.
Historisches
Der Beginn des massenhaften Datenaustauschs in den 90ern erzeugte das Bedürfnis, personenbezogene Daten, die ins Ausland wandern, entsprechend den in Deutschland oder Europa geltenden Gesetzen zu schützen. Die Europäische Datenschutzrichtlinie untersagte daher eine Übermittlung der Daten von EU-Bürgern in einen Drittstaat (nicht der EU angehörig), wenn dieser keinen dem EU-Niveau entsprechenden Datenschutz vorweisen kann.
Allerdings hielt die Europäische Datenschutzrichtlinie ein Schlupfloch für die USA als bedeutenden Handelspartner der EU bereit. In Artikel 25 Absatz 6 der Europäischen Datenschutzrichtlinie war die Möglichkeit verankert, dass die EU den Datenschutz eines Drittstaates als angemessen klassifizieren kann, wenn er bestimmte Anforderungen einhält [2].Für die USA wurden diese Anforderungen in den Safe-Harbor-Regeln im Jahr 2000 festgelegt.
Kritische Stimmen dagegen gab es schon länger. Schon die Konferenz der Datenschutz-Aufsichtsbehörden des Bundes und der Länder kritisierte im Juli 2013 das Safe-Harbor-Abkommen und drohte, das Abkommen auszusetzen und keine weiteren Genehmigungen für die Datenübertragung in die USA zu erteilen.
Reaktionszeit
Weil durch die Gerichtsentscheidung ein Datentransfer in die USA, der lediglich auf Safe Harbor beruht, sich nicht mehr mit dem EU-Datenschutz vereinbaren lässt, ist Eile geboten, um neue Regelungen oder Übergangsbestimmungen festzulegen, die die entstandene Rechtsunsicherheit beseitigen. So setzte die Artikel-29-Gruppe – bestehend aus den Datenschutzbehörden der EU-Staaten sowie Islands, Norwegens und Liechtensteins – der EU und den USA eine Frist bis Ende Januar, um eine angemessene und geeignete Lösung für den Datentransfer in die USA zu finden.
Ebenfalls durch dieses Urteil in Frage gestellt sieht die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) weitere rechtliche Instrumente der bislang zulässigen Datenübermittlung. Dazu zählen beispielsweise die verbindlichen Unternehmensregelungen, so genannte Binding Corporate Rules (BCR), und auch die Standardvertragsklauseln. In einem Positionspapier kündigt die Datenschutzkonferenz an, dass sie jedenfalls den Datentransfer, der ausschließlich auf Safe Harbor gestützt ist, untersagen will [3].
Privacy Shield
Die USA und die EU, konkret die EU-Kommission und das US-Handelsministerium, haben sich Anfang Februar 2016 auf eine Art Nachfolgevereinbarung der Safe-Harbor-Regeln verständigt: das so genannte EU-/US-Privatsphäre-Schild, also das Privacy Shield.
In diesem Zusammenhang haben die USA zugesichert, den Zugriff ihrer Behörden auf Daten von Europäern zu begrenzen und keine massenhaften oder willkürlichen Datenabfragen vorzunehmen. Darüber hinaus sollen EU-Bürger die Möglichkeit eingeräumt bekommen, vor US-Gerichten ihren Datenschutz einzuklagen. Geplant ist außerdem, einen Ombudsmann einzusetzen, der Ansprechpartner für Beschwerden ist. Unternehmen sollen verpflichtet werden, auf diese Beschwerden innerhalb einer bestimmten Frist zu reagieren.
Merkblatt für Unternehmen
Unternehmen, die sich betroffen fühlen, müssen sich jetzt die folgenden Fragen stellen.
Gehen personenbezogene Daten in die USA?
Von dem Urteil betroffen sind lediglich personenbezogene Daten, die in die USA übermittelt und/oder dort verarbeitet werden. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.
Unternehmen sollten daher zunächst prüfen, ob personenbezogene Daten in die USA übermittelt und/oder dort selber oder durch Dritte verarbeitet werden und auf welcher rechtlichen Grundlage diese Übermittlung und/oder Verarbeitung beruht.
Die Übermittlung personenbezogener Daten in die USA ohne Rechtsgrundlage erfüllt einen Bußgeldtatbestand im Sinne des Bundesdatenschutzgesetzes (BDSG) und kann mit einem Bußgeld in Höhe von bis zu 300000 Euro geahndet werden.
Eine Übermittlung personenbezogener Daten in die USA und/oder eine Verarbeitung solcher Daten liegt vor, wenn eine EU-Firma beispielsweise US-amerikanische Cloudangebote oder Software-as-a-Service-Produkte amerikanischer Unternehmen nutzt. Hierzu gehören zum Beispiel Microsoft-Produkte, Google Analytics und Facebook. Es spielt dabei keine Rolle, ob es sich um Open Source oder proprietäre Software handelt: Entscheidend ist, ob es sich um personenbezogene Daten handelt, die übermittelt werden.
Wer ist betroffen?
Ausnahmsweise nicht betroffen von dem Urteil und deshalb nach wie vor möglich ist eine Datenübermittlung in die USA, die für die Erfüllung eines Vertrags notwendig ist. Zu diesen Vertragsdaten zählen etwa die Buchung eines Hotels oder eines Mietwagens.
Betroffen dagegen sind Unternehmen, die personenbezogene Daten in die USA übermitteln und diese Übertragung bislang auf Safe Harbor oder auf Standardvertragsklauseln oder Bindig Corporate Rules (BCR) gestützt haben. Sie sollten beachten, dass sie diese Daten nicht mehr auf Basis des Safe-Harbor-Abkommens in die USA übermitteln dürfen.
Dies ist seit dem Oktober 2015 rechtswidrig. Im Falle des rechtswidrigen Umgangs mit personenbezogenen Daten drohen mit Ablauf der von den EU-Datenschützern bereits einmal verlängerten Frist ab April Bußgelder. Unternehmen sollten mit Vertragspartnern in den USA, die personenbezogene Daten im Auftrag verarbeiten, Auftragsdatenverarbeitungs-Verträge abschließen.
Unternehmen, die eine Übermittlung personenbezogener Daten bislang ausschließlich auf Safe Harbor gestützt haben, sollten nunmehr – zumindest vorübergehend – EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR) verwenden, derzeit kann noch von der Zulässigkeit von Standardvertragsklauseln und BCR ausgegangen werden.
Alles in der Schwebe
Allerdings hat die Artikel-29-Datenschutzgruppe bereits angekündigt, zu prüfen, wie sich das Urteil des EuGH zu Safe Harbor auch auf die EU-Standardvertragsklauseln und die Binding Corporate Rules auswirken könnte. Damit stehen auch diese vertraglichen Alternativen derzeit unter Vorbehalt.
Im Zweifel sollten Firmen um eine Einwilligung ihrer Kunden, Nutzer und Vertragspartner in die Verarbeitung der Daten bitten und ihnen eine Datenschutzerklärung anbieten, die über die Datenverarbeitung informiert.
Datenverarbeitende Unternehmen müssen umfassende Zusagen zu einem strengeren Datenschutz machen, deren Umsetzung das US-Handelsministerium überwacht. Zudem sollen EU-Kommission und US-Regierung zusammen mit Spionageexperten und den EU-Datenschutzbehörden die Regeln jährlich auf ihre Tauglichkeit überprüfen.
Die genauere schriftliche Formulierung der bislang lediglich umrissenen Privacy-Shield-Regelungen soll aufgrund des Drucks der europäischen Datenschutzbehörden noch bis Ende Februar ausgearbeitet sein. Erst dann lässt sich sagen, ob das Privacy Shield den aus dem Urteil des EuGH abzuleitenden Vorgaben genügt. Datenschützer legen ihr Augenmerk auf die Einhaltung folgender Punkte:
- Die Verarbeitung von Daten muss durch eindeutige und klare Regeln transparent und für den betroffenen Nutzer nachvollziehbar sein.
- Der Zugriff von Behörden darf nur in notwendiger und verhältnismäßiger Form erfolgen.
- Es muss eine unabhängige Kontrolle über die Einhaltung der Regeln geben.
- EU-Bürger sollen die Möglichkeit bekommen, gegen das Ausspähen ihrer Daten vorzugehen.
Bis dahin dürften die bestehenden alternativen rechtliche Möglichkeiten des Datentransfers, etwa durch Standardvertragsklauseln, zur Grundlage der Datenübermittlung zumindest akzeptiert werden. Unternehmen, die nur auf Safe Harbor setzen, müssen ab April 2016 mit Sanktionen rechnen.
Anfang Februar 2016 bereits rügte die französische Datenschutzbehörde Facebook. Das Amt setzte dem Unternehmen eine Frist, um sich französischen Regeln anzupassen [4].
Mangelhaft
Dass es sich bei den Privacy-Shield-Regelungen erneut um schlichte Zusicherungen seitens der USA handele und der Datenschutz damit faktisch ebenso wenig gewährleistet sei, wie das im Rahmen von Safe Harbor der Fall war, kritisieren einige Datenschützer scharf. Die EU lasse sich erneut mit bloßen Absichtserklärungen der USA ruhig stellen, heißt es von deren Seite. Die sich aus dem Urteil des EU-Gerichtshofs ergebenden strengen Vorgaben sehen die Kritiker durch die vereinbarten Privacy-Shield-Regelungen kaum erfüllt.
Was tun?
Der Kasten “Merkblatt für Unternehmen” zeigt, was Unternehmen, die personenbezogene Daten in die USA übermitteln, bereits jetzt beachten sollten, auch wenn es noch keine handfesten Richtlinien gibt. Wie schon zu Zeiten von Safe Harbor besteht die sicherste Möglichkeit für Unternehmen eindeutig darin, für eine Übermittlung und Verarbeitung von Daten auf Anbieter in der EU auszuweichen – falls möglich.
Infos
- Maximillian Schrems / Data Protection Commissione, Urteil des Europäischen Gerichtshof vom 06.10.2015 in der Rechtssache C-362/14: http://curia.europa.eu/juris/documents.jsf?num=c-362/14
- Markus Feilner, Mirjam Ballhausen, “Bitte nicht gucken”, Linux-Magazin 03/16, S. 68
- Positionspapier der Datenschutzbehörden des Bundes und der Länder: https://www.datenschutz.rlp.de/de/grem_dsbkonferenz/sonstiges/20151021_Positionspapier_DSK_Safe_Harbor.pdf
- Frankreichs Datenschützer drohen Facebook: http://www.zeit.de/digital/datenschutz/2016-02/facebook-datenschutz-frankreich-safe-harbor








