header icetemplate

[UPDATE 03.02.2016] - Safe Harbor und der Datenschutz: Umstrittene Datenübermittlung in die USA

Datenschutz Safe Harbor MailChimp BDSG BundesdatenschutzgesetzNicht erst seit dem NSA-Skandal und den dabei bekannt gewordenen Überwachungsprogrammen wie Prism ist umstritten, inwiefern und unter welchen Umständen personenbezogene Daten in Staaten außerhalb der europäischen Union, insbesondere in die USA, übertragen werden dürfen. Diese Frage stellt sich häufig dann, wenn Webseitenbetreiber Dienste von Drittanbietern nutzen, die die Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes speichern. Das trifft beispielsweise auf die Nutzung diverser Webanalysetools wie Google Analytics oder Werbenetzwerke wie Google AdSense oder auf Newsletter-Dienste wie zum Beispiel MailChimp zu.

[UPDATE 03.02.2016: - Mit einem Tag Verspätung hat die EU-Kommission nun doch noch ein Nachfolgeabkommen mit den USA, das sog. EU-USA Privacy Shield-Abkommen "aus dem Hut gezaubert". Es bleibt abzuwarten, ob die EU-Staaten diesem Abkommen zustimmen werden und ob nicht auch dieses Abkommen letztlich von dem EuGH kassiert werden wird. Lesen Sie hier mehr.

Bildquellennachweis: © sichere e-mail  save e-mail - arahan fotolia.com

Keine privilegierte Auftragsdatenverarbeitung im Sinne des Bundesdatenschutzgesetzes

Dabei ist zu berücksichtigen, dass es sich bei der Übermittlung von Daten an Anbieter außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes rechtlich nicht um eine im Sinne des § 11 des Bundesdatenschutzgesetzes (BDSG) privilegierte Auftragsdatenverarbeitung handelt. Das bedeutet: Eine am Katalog des § 11 Absatz 2 BDSG orientierte Auftragsdatenverarbeitung reicht alleine noch nicht aus, um eine .

Der technischen Abwicklung nach handelt es sich bei der Auftragsdatenverarbeitung um die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister (den Auftragnehmer) im Auftrag einer verantwortlichen Stelle (dem Auftraggeber). Dies trifft auf Webseitenbetreiber, die sich für bestimmte Funktionen ihrer Webseite externer Dienste bedienen, zwar technisch gesehen zu – der Webseitenbetreiber ist hierbei Auftraggeber und verantwortliche Stelle im Sinne des § 3 Absatz 7 BDSG, der externe Dienstleister ist Auftragnehmer. Allerdings ist ein Auftragnehmer, der die Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes speichert, als Dritter gemäß § 3 Absatz 8 Satz 2 BDSG zu behandeln. Auf diesen findet daher nicht die Privilegierung im Rahmen der Auftragsdatenverarbeitung des § 11 BDSG unter den dortigen Bedingungen Anwendung.

Die USA sind ein nicht sicherer Drittstaat

Daher muss sich die Zulässigkeit der Übermittlung von Daten an externe Dienstleister in den USA nach dem allgemeinen Verbot mit Erlaubnisvorbehalt des § 4 Absatz 1 BDSG richten. Damit sind auch die Regelungen der §§ 4b, 4c BDSG zu beachten. Es muss also grundsätzlich entweder ein angemessenes Datenschutzniveau gewährleistet werden oder der Betroffene muss darüber informiert werden und einwilligen, dass ein solches Datenschutzniveau nicht vorliegt. Neben den Grundvoraussetzungen des § 28 Absatz 1 BDSG, unter denen eine Erhebung beziehungsweise Übermittlung von Daten zur Erfüllung eigener Geschäftszwecke überhaupt zulässig ist, muss daher auch konkret die Zulässigkeit der Übermittlung an US-Anbieter geprüft werden.

Dabei stellt sich das Problem, dass die USA mit ihrem nahezu nicht vorhandenen Datenschutzrecht einen nicht sicheren Drittstaat darstellen, dessen Datenschutzniveau nicht den europäischen Anforderungen entspricht. Da gemäß § 4b Absatz 2 Satz 2 BDSG bei der Übermittlung dennoch ein angemessenes Datenschutzniveau gewährleistet sein muss, ist dieses auf andere Art und Weise sicherzustellen. Dazu bieten sich im Großen und Ganzen drei Möglichkeiten an. Wichtigster und praxisrelevantester Punkt bei der Nutzung von US-Anbietern ist dabei der Rückgriff auf Dienste, die sich zur Einhaltung bestimmter Standards im Rahmen des sogenannten Safe Harbor-Programms der EU-Kommission und des US-amerikanischen Handelsministeriums verpflichtet haben. Eine weitere Möglichkeit stellt die Einwilligung der Betroffenen zur Verwendung ihrer personenbezogenen Daten dar. Zuletzt ist noch die Verwendung der von der EU-Kommission zur Verfügung gestellten Standardvertragsklauseln denkbar, die einen angemessenen Umgang mit den übermittelten Daten sicherstellen sollen. Allerdings müssen diese sehr umfangreichen Klauseln unverändert übernommen werden sowie Angaben zur konkreten Verarbeitung der Daten gemacht werden. Diese bieten sich daher nur bei größeren Projekten an, bei denen die Beteiligten tatsächlich Einfluss auf die Verwendung entsprechender Klauseln haben. Für das Massengeschäft großer Anbieter wird diese Möglichkeit regelmäßig bereits an der fehlenden Bereitschaft des US-Anbieters zur Unterzeichnung dieser Standardvertragsklauseln scheitern.

Safe Harbor: Die umstrittene Universallösung

Zur Lösung dieses Datenschutzproblems hat die EU-Kommission bereits im Jahr 2000 in einer Entscheidung (2000/520/EG) festgestellt, dass ein den europäischen Standards entsprechendes Datenschutzniveau auch durch US-Unternehmen gewährleistet werden kann, wenn diese sich zur Einhaltung der Safe-Harbor-Grundsätze verpflichtet haben. Dabei führt das US-Handelsministerium eine Liste dieser Unternehmen, zu denen unter anderem auch Google, Apple, Amazon.com, Microsoft, Facebook oder Dropbox gehören.

Dabei sind die europäischen Datenschutzbehörden lange Zeit regelmäßig davon ausgegangen, dass Safe Harbor ein angemessenes Datenschutzniveau gewährleistet, solange der Auftraggeber sich über die Einhaltung der Safe Harbor-Standards vergewissert. Dies konnte beispielsweise durch Zertifizierungen unabhängiger Institutionen wie TRUSTe erfolgen, die den US-Unternehmen die Einhaltung der entsprechenden Datenschutzbestimmungen bescheinigten.

Diese Möglichkeit der legalen Datenübertragung an US-Anbieter ist jedoch spätestens seit Bekanntwerden der umfassenden Internetüberwachung amerikanischer Geheimdienste alles andere als unumstritten. Auch wenn die Entscheidung der EU-Kommission aus dem Jahr 2000 grundsätzlich fortbesteht, hat die Kommission bereits in einer Stellungnahme Ende 2013 Bedarf zur Überarbeitung von Safe Harbor gesehen und konkrete Empfehlungen an die betroffenen US-Unternehmen sowie das US-Handelsministerium gerichtet. Dabei steht inbesondere im Hinblick auf die amerikanischen Geheimdienstaktivitäten die Forderung im Raum, behördliche Zugriffe auf die gespeicherten Daten offenzulegen beziehungsweise zu beschränken. Eine gute Zusammenfassung der diesbezüglichen Entwicklungen findet sich im Tätigkeitsbericht des Landesdatenschutzbeauftragten Baden-Württemberg. Bislang hat sich hier jedoch sowohl seitens der US-Behörden als auch der EU-Kommission nur wenig getan. Das Europäische Parlament hat allerdings ebenfalls in einer Abstimmung im März 2014 die Europäische Kommission aufgefordert, das Safe Harbor-Programm aufzugeben. Auch die deutschen Datenschutzbeauftragten vertreten derzeit die Auffassung, dass Safe Harbor alleine keinen ausreichenden Datenschutzstandard gewährleistet. Einen darüber hinausgehenden Datenschutzstandard zu gewährleisten, dürfte in der Praxis des Massengeschäfts vieler großer US-amerikanischer Dienste jedoch derzeit in vielen Fällen schwierig zu bewerkstelligen sein.

Einwilligung zur Datenübermittlung

Eine sicherere Methode, US-amerikanische Anbieter zu nutzen, kann daher eine Einwilligung der Betroffenen sein. Dabei ist allerdings zu beachten, dass das Einverständnis zur Datenerhebung an sich hierfür nicht ausreichend ist. Vielmehr ist eine informierte Einwilligung erforderlich, bei der der Betroffene neben der Einwilligung zur Datenerhebung als solcher auch die Einwilligung zur Übermittlung der Daten in einen Drittstaat ohne ausreichendes Datenschutzniveau erteilen muss. Dabei muss der Betroffene insbesondere über mögliche Auswertungen, Überwachungen oder sonstige Nutzungen informiert werden. Insofern ist auch bei dieser Methode genau zu prüfen, unter welchen Umständen sie praxistauglich ist. Gangbar kann sie beispielsweise bei Diensten sein, die ohnehin eine Interaktion des Nutzers erfordern. Darunter kann zum Beispiel der Versand eines Newsletters über Anbieter wie MailChimp fallen. Hierbei besteht die Möglichkeit, neben der Einwilligung zum Versand des Newsletters auch eine Einwilligung zur Übermittlung der Daten in einen unsicheren Drittstaat einzuholen.

Daher sollte bei der Nutzung US-amerikanischer Dienste stets genau geprüft werden, ob die Einholung einer Einwilligung möglich und nötig ist. Auch wenn wir die Abmahngefahr diesbezüglich beispielsweise durch Mitbewerber derzeit für eher gering halten, ist der Einsatz entsprechender Dienste ohne konkrete Einwilligung der betroffenen Nutzer zur Datenverarbeitung in einem unsicheren Drittstaat zumindest mit einigen Risiken verbunden und der drohenden Gefahr, dass die Entscheidung der EU-Kommission zur Gewährleistung eines angemessenen Datenschutzniveaus durch Safe Harbor ihre Geltung endgültig verliert. Damit würde für viele Anbieter ein Schwebezustand entstehen, der nur schwer zu überbrücken ist. Daher sollte beispielsweise auch in allen Fällen, in denen dies möglich ist (etwa bei Google Analytics) eine vorherige Anonymisierung der Daten vorgenommen werden. Wir raten darüber hinaus insbesondere bei noch unrealisierten Vorhaben dazu, eine Nutzung europäischer Dienste in Erwägung zu ziehen, bei denen die Einhaltung der Datenschutzstandards über die Auftragsdatenverarbeitung nach § 11 BDSG rechtssicherer gestaltet werden kann.

[UPDATE 03.02.2016: - Mit einem Tag Verspätung hat die EU-Kommission nun doch noch ein Nachfolgeabkommen mit den USA, das sog. EU-USA Privacy Shield-Abkommen "aus dem Hut gezaubert". Es bleibt abzuwarten, ob die EU-Staaten diesem Abkommen zustimmen werden und ob nicht auch dieses Abkommen letztlich von dem EuGH kassiert werden wird. Lesen Sie hier mehr.


Wenn Sie Fragen aus dem Bereich Datenschutzrecht haben, kontaktieren Sie uns unter der 0681 94005430 oder schreiben Sie uns eine E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!. Wir kümmern uns darum. DURY regelt das!

Autor: Rechtsanwalt Michael Pfeiffer
Über den Autor:

*Wichtiger Hinweis:

Alle Leistungen, außer der Bearbeitung von Filesharing-Fällen für Verbraucher i.S.d. § 13 BGB, richten sich ausschließlich an Unternehmer i.S.d. § 14 BGB, nicht an Verbraucher i.S.d. § 13 BGB! Alle Preisangaben außerhalb des Bereichs der Abwehr von urheberrechtlichen Abmahnung wegen Filesharings erfolgen daher als Netto-Preise.

© 2018 DURY Rechtsanwälte