Nach dem EuGH-Urteil: Alternativen zu Safe Harbor

Inhaltsverzeichnis

Cloud-Angebote, Social Media oder Internet-Werbung: Viele auch hierzulande relevante Online-Angebote haben Ihren Standort in den USA. Doch die Weitergabe von datenschutzrechtlich relevanten personenbezogenen Daten an die meisten Länder außerhalb der EU ist nur eingeschränkt zulässig. Dies gilt insbesondere für solche Länder, in denen ein angemessenes Datenschutzniveau nicht gewährleistet ist, wie etwa die USA.

Das Safe-Harbor-Prinzip

Um einen Datentransfer zwischen Europa und Amerika zu ermöglichen, wurde zur Überbrückung der im Bereich des Datenschutzes bestehenden erheblichen Systemunterschiede im Jahr 2000 das Safe-Harbor-Modell entwickelt. Danach können sich Unternehmen aus den USA diesen Vereinbarungen unterwerfen und sich öffentlich verpflichten, die dort aufgestellten Prinzipien einzuhalten und die die dazu gehörenden verbindlichen "häufig gestellten Fragen" zu beachten. Dazu müssen sie sich in eine entsprechende Liste des US-Handelsministeriums FTC eintragen lassen. Derzeit befinden sich rund 5.500 Unternehmen in diesem Verzeichnis. Verstößt eine der Firmen gegen die Safe-Harbor-Vorgaben, so kann die FTC Sanktionen veranlassen wie etwa die Datenverarbeitung stoppen oder Sanktionen verhängen. Dies kam in der Vergangenheit aber eher selten vor.

Nicht nur Datenschützer haben das Prinzip des Sicheren Hafens bereits vor Jahren angezweifelt. Die hiesigen Datenschutzbehörden hatten etwa schon im Jahr 2010 erklärt, dass sich die Übertragung von Daten nicht allein auf eine Safe-Harbor-Zertifizierung von US-Unternehmen stützen dürfe. Diese Kritik verstärkte sich nach der Veröffentlichung der Snowden-Dokumente und gipfelte in der Forderung von Datenschützern, bis auf weiteres keinen Datenexport in die USA unter dem Safe-Harbor-System zulassen.

Das Ende von Safe Harbor

Nachdem der Europäische Gerichtshof in seiner Entscheidung vom heutigen Dienstag für das vorläufige Ende des Datenexports unter Safe Harbor gesorgt hat, stellt sich die Frage, welche Alternativen für eine legale Übermittlung von Daten in die Vereinigten Staaten bestehen. Zwar arbeiten EU-Kommission und US-Regierung bereits an einer neuen Vereinbarung. Bis zu deren Verabschiedung kann jedoch noch einige Zeit vergehen.

Wer nicht auf die Zusammenarbeit mit US-Unternehmen verzichten will oder kann, für den gibt es bis dahin es im wesentlichen drei Alternativen um rechtmäßig personenbezogene Informationen über den Atlantik zu übermitteln: Einwilligung, Standardvertragsklausel oder Binding Corporate Rules. Zudem kennt das Bundesdatenschutzgesetz (BDSG) zwei wichtige Ausnahmen, die einen Datentransfer ermöglichen.

1. Gesetzliche Ausnahmen

Das BDSG erlaubt als Ausnahme eine Datenübermittlung unter anderem dann, wenn diese "zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen" erforderlich ist. Hierunter fallen solche Fälle, bei denen ein Vertrag zwischen der die Daten exportierenden Stelle und dem Betroffenen vorhanden ist und Übertragung in das Drittland nicht nur hilfreich, sondern zwingend erforderlich ist. Diese Ausnahme gilt beispielsweise für einen Online-Einkauf im Ausland oder die Buchung eines Hotelzimmers.

Eine ähnliche Sonderregelung gilt in den Fällen, in denen eine Übertragung zur Erfüllung eines Vertrages im Interesse des Betroffenen dient. Als Beispiel wird hier von den Datenschutzbehörden der Fall genannt, in dem ein Arbeitgeber Daten eines Arbeitnehmers an eine Versicherungsgesellschaft im Ausland weitergibt, bei der er zugunsten des Arbeitnehmers eine Versicherung abgeschlossen hat.

2. Die Einwilligung

Die vermeintlich einfachste Lösung für eine rechtmäßige Datenübermittlung in die USA liegt dann vor, wenn die betroffenen Personen hierzu individuell ihre Einwilligung erklärt haben. Hierzu reicht es allerdings nicht, entsprechende Klauseln irgendwo in Allgemeinen Geschäftsbedingungen zu verstecken. Die Anforderungen an eine wirksame Einwilligung definiert Paragraf 4 a BDSG: Transparenz, Freiwilligkeit und Widerruflichkeit.

In der Praxis bedeutet dies, dass der User vor der Abfrage seiner Einwilligung über die geplante Verwendung seiner personenbezogenen Daten informiert werden muss. Allein die Formulierung einer solchen wirksamen Nutzerinformation ist alles andere als trivial. Hinzu kommt, dass der Betroffene frei von Zwang entscheidet und er die Einwilligung jederzeit widerrufen kann. Um dies zu gewährleisten, sollte die Zustimmung idealerweise durch das Aktivieren eines Kästchens als Zeichen manifestiert werden. Zudem müssen entsprechende Kontaktdaten angegeben werden, über welche die Einwilligung widerrufen werden kann. Aufgrund dieses relativ komplizierten Prozesses ist die Einholung einer Erlaubnis durch die einzelnen User wenig verbreitet.

3. EU-Standardvertragsklausel

Als Alternative zu Safe Harbor hat die EU-Kommission Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten in Drittländer festgelegt, welche die Einhaltung eines angemessenen Datenschutzniveaus sicherstellen sollen. Werden diese Klauseln im Rahmen eines Vertrags zwischen Datenexporteur und -importeur unverändert verwendet, so ist ein darauf basierender Datentransfer auch in die USA erlaubt. Einer Genehmigung durch die Aufsichtsbehörde für den Datenschutz bedarf es bei einer Verwendung der Original-Vorgaben in Deutschland im Gegensatz zu anderen EU-Ländern nicht. In dem Fall allerdings, in denen Unternehmen lieber eigene Vertragsvorgaben verwenden wollen, muss die Behörde diese Vereinbarung überprüfen und abnicken.

Standardvertragsklauseln haben in der Praxis den großen Vorteil, dass sie sich vergleichsweise leicht zwischen zwei Vertragspartnern umsetzen lassen. Der vor allem für US-Unternehmen nur schwer akzeptable Nachteil liegt aber darin, dass sich der Datenimporteur im Ausland dem Recht und der Datenschutzaufsicht des Partnerlandes unterwerfen muss

4. Binding Corporate Rules

Vor allem für internationale Konzerne besteht schließlich die Möglichkeit, verbindliche Konzernregeln zum Datenschutz zu schaffen. In deren Rahmen legt sich eine Gruppe von verbundenen Unternehmen rechtsverbindliche Regeln auf, die den internen Umgang mit personenbezogenen Daten auf Basis von EU-Vorgaben definiert (PDF). Unterwirft sich ein Unternehmensverbund diesen Regelungen, so kann dadurch das Datenschutzniveau im Konzern weltweit vereinheitlicht und ein angemessenes Datenschutzniveau hergestellt werden. Allerdings hat das für die Betroffenen den Nachteil, dass sich der gesamte Konzern weitgehend dem EU-Datenschutz unterwerfen muss. Schließlich ist die Zustimmung der Datenschutzbehörden in allen EU-Länder nötig, in denen Konzernunternehmen ihren Sitz haben.

Fazit

Wer Geschäftspartner in den USA hat, an die er personenbezogene Daten weiterleitet, sollte nach der Entscheidung des EuGH in Sachen Safe Harbor schnell handeln. Denn durch den Wegfall dieser Regelung ist auch die Rechtsgrundlage entfallen, die eine derartige Übermittlung von persönlichen Informationen zuließ. Wer nicht die Möglichkeit hat, die individuelle Einwilligung jedes betroffenen Kunden oder Mitarbeiter zum Datentransfer einzuholen, sollte zeitnah den Abschluss der EU-Standardverträge mit den amerikanischen Partnern ins Auge fassen. Innerhalb eines Konzerns ist zudem die Verwendung der Binding Corporate Rules möglich. Die veränderten Rechtsgrundlagen zu ignorieren oder auszusitzen, ist über einen längeren Zeitraum wohl keine sinnvolle Alternative, da die EuGH-Entscheidung mit Sicherheit auch die Aufsichtsbehörden auf den Plan gerufen hat und entsprechende Prüfungen wahrscheinlicher werden. (jo)