Safe Harbor: Unternehmen sollen in Schleswig-Holstein "schnellstmöglich" Alternativen suchen
Die Datenschutz-Aufsicht in Schleswig-Holstein macht klare Ansagen: Nach dem Safe-Harbor-Urteil sollten sich Behörden und Unternehmen, die personenbezogene Daten gen USA übermitteln, dringend Alternativen überlegen.
In einer ersten umfangreichen Stellungnahme weist die schleswig-holsteinische Datenschutz-Aufsicht die Auffassung der EU-Kommission zurück, das Urteil des Europäischen Gerichtshofs könne durch alternative rechtliche Instrumente repariert werden.
Nach Auffassung des Unabhängigen Landeszentrums für Datenschutz (ULD) müssen die freiwillige Einwilligung der Anwender, die EU-Standardverträge und die Corporate Binding Rules, die die EU-Kommission und unternehmensnahe Datenschutzberater derzeit als Lösung propagieren, neu bewertet werden. Dabei müsse man sich an den Grundsätzen orientieren, die das Gericht aufgestellt hat. Diese stellen auf ein vergleichbares rechtstaatliches Niveau im Empfängerland ab.
Eine „dauerhafte Lösung“ sieht die schleswig-holsteinische Landesdatenschutzbeauftragte Marit Hansen nur in „einer wesentlichen Änderung im US-amerikanischen Recht“. Ob sich auch andere Datenschutz-Aufsichtsbehörden dieser Ansicht anschließen werden, ist im Moment noch offen.
Datenübermittlungen nur noch für Vertragszwecke
Unternehmen und Behörden in Schleswig-Holstein, die personenbezogene Daten in die USA übermitteln, müssen nun ihre Verfahren „schnellstmöglich“ überprüfen und Alternativen überlegen. Dies gelte grundsätzlich für sämtliche Übermittlungen in die USA. Außerdem müssen Unternehmen die bestehenden Standardverträge mit dem US-Datenimporteur aufkündigen. Die Aufsichtsbehörde kann andauernde Datenübermittelungen per verwaltungsrechtlicher Anordnung aussetzen oder verbieten. Werden Daten in die USA ohne Rechtsgrundlage übermittelt, kann dies mit Bußgeldern in Höhe von bis zu 300.000 Euro geahndet werden.
Datenübertragungen in die USA sind nach Ansicht des ULD nur noch dann zulässig, wenn sie zum Abschluss, der Durchführung und der Erfüllung eines Vertrags notwendig sind, etwa bei Reise- und Flugbuchungen. Nicht gesetzlich gedeckt sei aber die Übermittlung von Beschäftigtendaten, die in den USA etwa zur Leistungs- oder Verhaltenskontrolle verarbeitet werden.
Standardvertragsklauseln ungültig
Das ULD hält Standvertragsklauseln „in konsequenter Anwendung“ der gerichtlichen Vorgaben für nicht mehr für anwendbar. Denn das US-Unternehmen garantiere damit, dass es keinen Gesetzen unterliege, die ihm die Einhaltung seiner vertraglichen Pflichten unmöglich machten. Genau das aber könnten die Unternehmen nicht garantieren. Der europäische Vertragspartner müsse daher die Datenübermittlung aussetzen und den Standardvertrag kündigen.
Unternehmensnahe Datenschutzberater wie Carlo Piltz sehen das anders: Piltz glaubt, dass die Aufsichtsbehörden die Standardvertragsklauseln der EU-Kommission nicht für ungültig erklären dürfen. Dies sei Sache der EU-Kommission oder des Europäischen Gerichtshofs. Unternehmen wie Microsoft und Facebook setzen im Moment darauf, dass sie auf die Standardvertragsklauseln zurückfallen können. Möglicherweise müssen die Aufsichtsbehörden deshalb ihre Auffassung über einen Gerichtsgang klären.
Freiwillige Einwilligung als Behelf?
Eine freiwillige Einwilligung des Betroffenen in die Datenübertragung ist für das ULD nur dann eine Lösung, wenn eine umfangreiche Aufklärung stattfindet. Das ULD stellt fest, dass "eine Generalerklärung für eine Vielzahl von nicht übersehbaren Datenverarbeitungen regelmäßig unzulässig“ sein wird. Auch könne man insbesondere in Beschäftigungsverhältnissen nicht davon ausgehen, dass die Betroffenen Wahlfreiheit hätten. Die Einwilligung wäre deshalb unwirksam. Dies scheitere aber auch an der "anlasslosen Massenüberwachung durch Geheimdienste“, auf die der Einzelnen keinerlei Einfluss nehmen kann. Würde man dies in die Allgemeinen Geschäftsbedingungen aufnehmen, wäre dies „mit größter Wahrscheinlichkeit sittenwidrig“. (axk)
