[UPDATE 03.02.2016] EuGH: Safe Harbor Abkommen mit den USA keine ausreichende Rechtsgrundlage für Datenexport in die USA! - inkl. Musteranschreiben zur Kundeninformation

Datenschutzrecht-Blog 06. Oktober 2015

grosser tisch im konferenzraum robert kneschke fotolia.com [UPDATE 19.10.2015]

Die Artikel 29 Datenschutzgruppe, eine Zusammenkunft der nationalen Datenschutzbehörden aller EU-Staaten und unabhängiges Beratungsgremium der Europäischen Kommission zu Fragen des Datenschutzes, hat nun - vor dem Hintergrund des Safe-Harbor Urteils des EuGH vom 06.10.2015, eine Frist bis Ende Januar 2016 gesetzt, um eine angemessene Lösung zur Umsetzung der datenschutzrechtlichen Vorgaben des EuGH-Urteils zur Safe-Harbor-Regelung zu finden.

Ab Februar 2016 seien die Datenschutzbehörden der EU-Staaten verpflichtet, alle nötigen und angebrachten Schritte zu ergreifen, um einen Datenexport in die USA und andere unsichere Drittstaaten zu verhindern.

Das beinhalte abgestimmte Schritte, um das Urteil durchzusetzen, sprich: Vollstreckungsmaßnahmen und Bußgelder gegen Unternehmen, die weiterhin Daten in unsicheren Drittstaaten speichern.

Die Erklärung können Sie hier abrufen!

[ENDE UPDATE 19.10.2015]

[UPDATE 03.02.2016: - Mit einem Tag Verspätung hat die EU-Kommission nun doch noch ein Nachfolgeabkommen mit den USA, das sog. EU-USA Privacy Shield-Abkommen "aus dem Hut gezaubert". Es bleibt abzuwarten, ob die EU-Staaten diesem Abkommen zustimmen werden und ob nicht auch dieses Abkommen letztlich von dem EuGH kassiert werden wird. Lesen Sie hier mehr.

Bildquelle: grosser tisch im konferenzraum robert kneschke fotolia.com

Hintergrund:

Am 06.10.2015 hat der Europäische Gerichtshof (EuGH) in der Rechtssache C-362/14 Maximilian Schrems/Data Protection Commissioner entschieden, dass das Safe Harbor Abkommen mit den USA, das den Export personenbezogener Daten aus Europa in die USA geregelt hat, unwirksam ist.

Bereits am 23.9. 2015 wurden die Schlussanträge des Generalanwalts in der Rechtssache C-362/14 Maximilian Schrems/Data Protection Commissioner veröffentlicht. Der Generalanwalt hatte im Schlussantrag die Ansicht vertreten, dass die nationalen Datenschutzbehörden trotz des bestehenden Safe Harbor Abkommens mit den USA befugt sind, die Datenübermittlung in die USA zu untersagen.

Die entgegenstehende Entscheidung der EU-Kommission, die den nationalen Datenschutzbehörden - unter Berufung auf das Safe Harbor Abkommen - das Recht absprach, entsprechende Untersagungsverfügungen zu erlassen, hielt der Generalanwalt für ungültig.

Dieser Ansicht ist nun der EuGH gefolgt.

In dem seit Jahren andauernden Rechtsstreit zwischen dem Kläger Max Schrems, einem österreichischen Juristen und der irischen Datenschutzbehörde gab das oberste europäische Gericht damit dem Österreicher recht.

Dieser hatte den mangelnden Datenschutz bei Facebook kritisiert. dessen europäische Tochtergesellschaft in Irland angesiedelt ist.

Der EuGH scheint also auch der Ansicht zu sein, dass unabhängige europäische Datenschutzbehörden nicht in der Lage sind, in den Vereinigten Staaten zu kontrollieren, ob staatliche Akteure wie die amerikanischen Sicherheitsdienste gegenüber Unionsbürgern gegen die europäischen Grundsätze des Schutzes personenbezogener Daten verstoßen!

Mit der Entscheidung dürfte nun das Ende des Safe Harbor Abkommens mit den USA besiegelt sein.

Urteilsgründe sind noch nicht veröffentlicht. Die Pressemitteilung des EuGH können Sie hier abrufen.

Was bedeutet das für die Nutzung von Cloud-Services oder anderen Diensten, bei denen personenbezogene Daten in die USA fließen?

Wenn ihr Unternehmen Cloud-Services oder andere Dienste nutzt, bei denen personenbezogene Daten in USA fließen, verstoßen Sie zukünftig gegen europäisches Datenschutzrecht und damit auch gegen deutsches Recht. Datenschutzaufsichtsbehörden können also Bußgelder gegen Sie verhängen und Wettbewerber können Sie wegen eines wettbewerbsrechtlich relevanten Verstoßes gegen Datenschutzvorschriften abmahnen.

Wie kann man jetzt noch rechtmäßig Daten in die USA übermitteln?

Neben "Safe Harbor" bietet das Deutsche und Europäische Datenschutzrecht noch weitere Möglichkeiten für eine legale Datenübermittlung in die USA:

- Einwilligung der Betroffenen

- Verträgen nach den EU-Standardvertragsklauseln

- Selbstverpflichtung gem. sog. "Binding Corporate Rules" (BCR)

Einwilligung der Betroffenen

Eine Datenübermittlung in unsichere Drittstaaten - wie die USA - ist zulässig, wenn alle von der Datenerhebung Betroffenen (d.h. alle Personen, deren Daten übermittelt werden ) ausdrücklich ihre Einwilligung erklärt haben. In der Praxis dürfte es nicht möglich und praktikabel sein, von allen Betroffenen wirksame Einwilligungserklärungen einzuholen. Es ist nicht zulässig, Einwilligungserklärungen in AGB oder Datenschutzerklärungen zu "verstecken". Die Einwilligung muss "informiert" erfolgen, d.h. es müssen alle datenverarbeitenden Stellen in dem "unsicheren Drittland" namentlich mit ihrer Adresse genannt werden und es muss umfassend über die mit der Übermittlung verbundenen Risiken aufgeklärt werden.

Arbeitnehmer können übrigens nicht wirksam in die Datenübermittlung in die USA einwilligen, da deren Einwilligungserklärungen nach Auffassung der Aufsichtsbehörden i.d.R. nicht freiwillig abgegeben werden.

Nutzung von Standardvertragsklauseln für die Übermittlung von Daten an Empfänger in unsicheren Drittstaaten

Die EU-Kommission hat Standardvertragsklauseln für die Übermittlung von Daten an Empfänger in unsicheren Drittstaaten veröffentlicht.

Problematisch an diesen Standardvertragsklauseln ist, dass diese unverändert (!) verwendet werden müssen, ansonsten ersetzen sie nicht die Einwilligung der Betroffenen in den Datenexport in ein unsicheres Drittland.

In der Praxis werden Service-Anbieter aus den USA auch keine Verträge auf Basis der EU-Standardvertragsklauseln abschließen – da sie sich dann Deutschem Datenschutzrecht und damit der Deutschen Datenschutzaufsicht (bzw. des jeweiligen EU-Staates des Vertragspartners) unterwerfen würden. Es ist daher nicht davon auszugehen, dass die Nutzung von EU-Standardvertragsklauseln eine Lösung für das Dilemma ist, das durch das Urteil des EuGH in der Rechtssache C-362/14 Maximilian Schrems/Data Protection Commissioner eingetreten ist.

Implementierung von Binding Corporate Rules (BCR)

Der letzte Ausweg ist eine verbindliche unternehmensweite Regelung zum Datenschutz auf Basis des europäischen Datenschutzrechts (sog. Binding Corporate Rules oder auch BCR). Durch BCR innerhalb einer Unternehmensstruktur für alle Konzernunternehmen ein „angemessenes Datenschutzniveau“ hergestellt werden. Eine Datenweitergabe an Dritte, die nicht in die Unternehmensstruktur eingebunden sind, ist durch BCR nicht möglich.

Für kleinere und mittlere Unternehmen scheidet die Einführung von BCR auf Grund des hohen administrativen Aufwandes und der damit verbundenen Bürokratie regelmäßig aus, selbst wenn der Empfänger der Daten in einer eigenen Konzernstruktur eingebunden ist.

BCR müssen durch die Datenschutzbehörden aller EU- Länder, in denen die Konzernunternehmen ihren Sitz haben, abgesegnet werden. Die Einholung der erforderlichen Genehmigungen bedingt eine lange Vorlaufzeit.

Was sollten Sie tun, wenn Ihre eigenen Kunden einen Service im Einsatz haben, der personenbezogene Daten in die USA exportiert?

Wenn Ihre Kunden trotz der bestehenden rechtlichen Unsicherheit den Einsatz von Services wünschen, bei denen personenbezogene Daten in die USA oder sonstige unsichere Drittstaaten übermittelt werden, sollten Sie Ihre Kunden explizit auf die damit verbundenen Risiken hinweisen. Dieser Hinweis sollte jeweils entsprechend dokumentiert werden und eine diesbezügliche Haftungsfreistellung vereinbart werden. Zusätzlich dazu sollten – in Kenntnis der bestehenden Probleme - die von den jeweiligen Anbietern angebotenen Datenschutz-Vertragsbedingungen („Additional Terms for Data Processing“) durch Ihre Kunden abgeschlossen werden. Eine Haftungsfreistellungserklärung der Kunden gegenüber Ihnen haben wir als Muster zur Freistellung von Dienstleistern (z.B. Werbeagenturen) für Tools, die gegen Europäische Datenschutzvorschriften verstoßen beigefügt. Das Muster bezieht sich auf den Service "Mailchimp", einem weit verbreiteten Newsletter-Tool.

Sie sollten Ihre Kunden zudem auf die neuen Entwicklungen durch das "Safe-Harbor EuGH Urteil" und die damit auftretenden datenschutzrechtlichen Probleme hinweisen.

Ein entsprechendes Beispiela nschreiben in Bezug auf das Newslettertool Mailchimp haben wir hier verlinkt. Bitte beachten Sie, dass Sie dieses Anschreiben noch auf Ihre Bedürfnisse individuell anpassen müssen und dass wir keine Gewähr dafür übernehmen, dass nicht doch Ansprüche Ihrer Kunden gegen Sie in Stellung gebracht werden könnten.

Vor dem Hintergrund des EuGH-Urteils in der Rechtssache C-362/14 Maximilian Schrems/Data Protection Commissioner vom 06.10.2015 raten wir ausschließlich zur Nutzung europäischer Cloud-Services / Tools, falls personenbezogene Daten erhoben, gespeichert und verarbeitet werden. Im Idealfall, sollten Sie Ihre Kunden auf rein europäische Services umstellen.