Rechtsanwältin Denise Himburg
Datenübermittlung in die USA nach dem Ende von Safe-Harbor

Bekanntlich hat der EuGH mit Urteil vom 06.10.2015 das zwischen den USA und der EU-Kommission geschlossene Safe-Harbor-Abkommen für unwirksam erklärt. Zahlreiche deutsche Unternehmen fragen sich, ob und welche praktischen Konsequenzen sich aus dieser Entscheidung für Ihr Unternehmen ergeben. Diese Frage stellt sich vor allem vor dem Hintergrund, dass nicht nur Social Media Dienste, sondern auch zahlreiche Anbieter von Internet-Tools ihren Standort in den USA haben.

Grundsätze

Die Weitergabe von personenbezogenen Daten an Länder außerhalb der EU ist nur zulässig, sofern in diesen Ländern ein mit dem europäischen Datenschutzschutzsystem vergleichbares, also ein angemessenes Datenschutzniveau gewährleistet ist.

Das Safe-Harbor-Prinzip und sein Ende

Da das in den USA geltende Datenschutzsystem unstreitig erhebliche Systemunterschiede im Vergleich zum EU-Datenschutzsystem aufweist, wurde, um einen Datentransfer zwischen der EU und den USA dennoch zu ermöglichen, im Jahr 2000 das sog. Safe-Harbor-Abkommen zwischen den USA und der EU-Kommission geschlossen. Danach konnten sich Unternehmen aus den USA den Safe-Harbor-Vereinbarungen unterwerfen und sich öffentlich verpflichten, die darin aufgestellten Prinzipien einzuhalten. Dazu mussten sie sich in eine entsprechende Liste des US-Handelsministeriums eintragen lassen. In dieser Liste sind derzeit ca. 5.500 Unternehmen eingetragen. Sollte eine in der Liste eingetragene USA-Firma gegen Safe-Harbor-Regeln verstoßen, hätte das Handelsministerium z.B. die Datenverarbeitung durch dieses Unternehmen stoppen oder andere Sanktionen verhängen können.

Nicht erst seit den Snowden-Enthüllungen wurde an der Gültigkeit der Safe-Harbor-Regeln gezweifelt. So hatten deutsche Datenschutzbehörden bereits 2010 erklärt, dass sich die Übertragung von Daten nicht allein auf eine Safe-Harbor-Zertifizierung von US-Unternehmen stützen dürfe. Dieser Ansicht schloss sich nunmehr der EuGH und läutete damit das Ende von Safe-Harbor ein.

Da der EuGH die Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärt hat, ist die darin geregelte Selbstzertifizierung US-amerikanischer Unternehmen, die bisher als Grundlage für Datenübermittlungen in die USA herangezogen wurde, nun nicht mehr zulässig.

Alternativen zu Safe-Harbor

Unternehmen, die auf eine Zusammenarbeit mit US-Firmen nicht verzichten können und/oder wollen, müssen sich daher um Alternativmöglichkeiten zu Safe-Harbor kümmern. Grundsätzlich stehen drei Alternativen zur Verfügung: Die Einwilligung des Betroffenen, EU-Standardvertragsklauseln oder Binding Corporate Rules. Alle drei Alternativen sind jedoch alles andere als praxistauglich bzw. dürften ebenfalls nicht sicher sein.

Einwilligung des Betroffenen

Nach dem Bundesdatenschutzgesetz ist eine Weitergabe von Daten an Dritte u.a. dann zulässig, wenn der Betroffene vorab hierin eingewilligt hat. Dies hört sich einfach an, ist in der Praxis jedoch - wenn überhaupt - schwer umsetzbar, da § 4 a BDSG hohe Anforderungen an die Wirksamkeit einer solchen Einwilligung stellt. Danach reicht es nicht, eine Einwilligung irgendwo auf der Webseite, ggf. versteckt vorzuhalten, etwa in AGB oder Nutzungsbedingungen. Vielmehr muss der Nutzer vor der Speicherung seiner Daten über Art, Umfang und Zweck der geplanten Verwendung seiner personenbezogenen Daten informiert werden. Erschwerend kommt hinzu, dass eine einmal erteilte Einwilligung von dem Betroffenen jederzeit, ohne Angabe von Gründen widerrufen werden kann. 

Hinzu kommt, dass eine wirksame Einwilligungserklärung nicht nur eine Aufklärung über die Zwecke, sondern - nach Ansicht deutscher Datenschutzbehörden - sofern eine Übermittlung in ein Land mit nicht angemessenen Datenschutzniveau in Rede steht - auch über die Risiken der Datenverarbeitung bzw. den damit verbundenen Verzicht auf ein gleichwertiges bzw. angemessenes Schutzniveau erfordert. Der Betroffene müsste daher auch umfassend über das fehlende Schutzniveau, vor allem über US-staatliche Zugriffsbefugnisse, fehlende Rechtsschutzmöglichkeiten/Betroffenenrechte, Weiterverarbeitung der Daten ohne Zweckgebundenheit, die Nichtgeltung des Erforderlichkeitsgrundsatzes sowie über fehlende staatliche Kontrollmechanismen in den USA aufgeklärt werden. Erfolgt eine solche Aufklärung, wird sicher keine Einwilligung erteilt.

EU-Standardvertragsklauseln

Hierbei handelt es sich um von der EU-Kommission als Alternative zu Safe-Harbor geschaffene Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten in Länder außerhalb der EU. Diese Klauseln sollen die Einhaltung eines angemessenen Datenschutzniveaus sicherstellen.

Zwar lassen sich solche Standardvertragsklauseln vergleichsweise leicht zwischen zwei Unternehmen vereinbaren und umsetzen. Jedoch haben diese Klauseln (den aus US-Sicht) wohl unüberwindbaren Nachteil, dass sich das die Daten im Ausland nutzende Unternehmen dem Recht und der Datenschutzaufsicht des Landes, aus dem die Daten stammen, unterwerfen muss.

Ungeachtet dessen dürften für die EU-Standardvertragsklauseln die Ausführungen des EuGH zum Safe-Harbor-Abkommen entsprechend gelten. Maßgeblich sind nicht Klauseln auf dem Papier, sondern das tatsächlich in den USA gewährte Datenschutzniveau (Stichwort: Zugriff US Geheimdienste). Demzufolge haben die deutschen Datenschutzbehörden bereits 2013 in einer gemeinsamen Presseerklärung erklärt, dass ihnen die EU-Standardvertragsklauseln nicht (mehr) ausreichen, solange nicht die genauen Zugriffsmöglichkeiten der amerikanischen Geheimdienste geklärt sind.

Binding Corporate Rules

Insbesondere für internationale Konzerne besteht die Möglichkeit, verbindliche Konzernregeln zum Datenschutz zu schaffen. Hiermit bindet sich jedoch der gesamte Konzern an das europäische Datenschutzniveau. Zudem bedürfen solche Konzernregeln der Zustimmung der Datenschutzbehörden der EU-Staaten, in denen die Konzernunternehmen ihren Sitz haben. Von dieser Möglichkeit dürfte daher von weltweit agierenden Konzernen eher selten Gebrauch gemacht werden.

Fazit

Unternehmen stehen nach dem Kippen von Safe-Harbor (bis auf weiteres) keine praxistauglichen bzw. sicheren Alternativen für eine Übermittlung von Daten in die USA (entweder selbst oder durch Dritte, z.B. Toolanbieter) zur Verfügung.

Die Übermittlung personenbezogener Daten in die USA ohne Rechtsgrundlage erfüllt den Bußgeldtatbestand nach § 43 Abs. 2 Nr. 1 BDSG und kann mit einem Bußgeld bis zu 300.000 EUR geahndet werden

Stellungnahmen deutscher Datenschutzbehörden

Mittlerweile haben auch deutsche Landesdatenschutzbehörden erste Stellungnahmen zum Safe-Harbor-Urteil des EuGH veröffentlicht, so u.a. Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD). Das ULD vertritt in seinem Positionspapier vom 14.10.2015 im Ergebnis die Ansicht, dass jede Übertragung personenbezogener Daten (mit Ausnahme bestimmter Einzelfälle) rechtswidrig ist. Die Datenschutzaufsicht in den Bundesländern Berlin und Bremen hat sich dieser Auffassung bereits angeschlossen ("More German regulators oppose model clauses for EU-US data Transfers", Outlaw.com v. 15.10.2015).

Das ULD kündigt in diesem Papier an zu prüfen, ob Unternehmen rechtswidrig Daten in die USA übermitteln und ggf. entsprechende Ordnungswidrigkeitsverfahren einzuleiten.