Am 06.10.2015 hat der EuGH die Safe Harbour Entscheidung der EU-Kommission für ungültig erklärt. Folge davon ist, dass der Übermittlung personenbezogener Daten aus Europa in die USA eine rechtliche Grundlage entzogen wurde. Betroffene müssen sich Alternativen suchen. Am 02.02.2016 hat die EU-Kommission eine Einigung mit der US-Regierung verkündet, die künftig wieder einen sicheren Datenaustausch ermöglichen soll.
Update 04.02.2016
EU-US-Privacy-Shield angekündigt – Fristverlängerung bis März
Bekanntermaßen hat der EuGH am 06.10.2015 das Safe-Harbor-Abkommen, das den Datentransfer in die USA vereinfachen sollte, gekippt. Ebenso bekannt sind die Schwierigkeiten, die mit dieser Entscheidung verbunden waren. Unternehmen, die entweder selbst personenbezogene Daten (etwa ihrer Kunden oder Mitarbeiter) in die Vereinigen Staaten übermittelt haben, oder Dienstleister – wie Webtools – nutzten, die Daten in den USA speichern, mussten sich Alternativen suchen.
Diese Alternativen, namentlich die EU-Standardvertragsklauseln oder verbindliche Unternehmensregelungen (Binding Corporate Rules – BCR), begegnen ebenfalls massiven rechtlichen Bedenken, wurden von den europäischen Datenschützern jedoch als weiterhin zulässige Grundlage für den Datentransfer eingestuft.
Die EU und die US-Regierung waren aufgerufen, die bereits laufenden Verhandlungen über ein Nachfolgeabkommen zu Safe Harbor zügig abzuschließen. Die EU-Datenschutzbehörden hatten dafür eine Frist bis Ende Januar 2016 gesetzt. Nach Ablauf sollten „alle geeigneten und erforderlichen Maßnahmen“ ergriffen werden, um die Entscheidung des EuGH umzusetzen. Unternehmen mussten also ab dem 01.02.2016 Untersagungsverfügungen und/oder Ordnungsgelder fürchten.
Am 02.02.2016 hat die EU-Kommission verkündet, eine Einigung mit der US-Regierung erreicht zu haben, die deutlich besser sein soll als das Safe-Harbor-Abkommen. Eine schriftliche Vereinbarung gibt es allerdings noch nicht. Diese muss in den nächsten Wochen erst erarbeitet werden. Die Artikel-29-Gruppe, ein Zusammenschluss der Datenschutzbehörden der einzelnen EU-Mitgliedstaaten und dem europäischen Datenschutzbeauftragen, hat die EU-Kommission aufgefordert, bis Ende Februar die schriftliche Vereinbarung vorzulegen, um prüfen zu können, ob sie den Vorgabe des EuGH genügt.
Bis dahin soll die Verwendung der EU-Standardvertragsklauseln und verbindlicher Unternehmensregelungen weiterhin zulässig bleiben. Die „Schonfrist“ für die betroffenen Unternehmen wird folglich ein weiteres Mal verlängert.
Hintergrund – Einfacher Datenaustausch zwischen Europa und den USA
Nach europäischem Datenschutzrecht dürfen personenbezogene Daten nur in Länder außerhalb der EU übermittelt werden, in denen ein vergleichbares Datenschutzniveau herrscht. Zur Erleichterung des Datentransfers zwischen der EU und den USA wurde das sog. Safe-Harbour-Abkommen geschaffen. Sofern sich US-Unternehmen den dort genannten Vorgaben unterwerfen, konnten sie sich in eine Liste eintragen lassen. Für die gelisteten Firmen erklärte die EU-Kommission das Datenschutzniveau als mit dem europäischen vergleichbar. Der Datenübermittlung stand folglich nichts mehr im Wege.
EuGH erklärt Safe-Harbour-Entscheidung für ungültig
Durch die Enthüllungen u.a. von Edward Snowden wurde bekannt, dass in den USA uneingeschränkt und massenhaft auf personenbezogene Daten zugegriffen wird, vor allem von US-Behörden und –Geheimdiensten. Ein vergleichbares Schutzniveau ist folglich mitnichten gegeben und kann auch nicht durch die Teilnahme an Safe Harbour hergestellt werden. Aus diesen Erkenntnissen hat der Europäische Gerichtshof (EuGH) mit seinem Urteil vom 06.10.2015 (Rechtssache C-362/14) nun Konsequenzen gezogen.
Betroffen sind auch Online-Händler
Auch wenn das Urteil durch ein Verfahren gegen Facebook ausgelöst wurde, wirkt es sich nicht nur auf das soziale Netzwerk aus. Betroffen sind alle Unternehmen, die personenbezogene Daten aus Europa – entweder selbst oder durch Nutzung externer Dienstleister – in die USA übermitteln. Auf Grund der Entscheidung des EuGH muss der Datentransfer auf andere rechtliche Grundlagen gestellt werden, damit keine datenschutzrechtlichen Sanktionen drohen. Für deutsche Unternehmer sind aktuell 4 Alternativen theoretisch denkbar:
- die Datenübermittlung auf Grund gesetzlicher Erlaubnistatbestände,
- eine entsprechende Einwilligung desjenigen, dessen Daten übermittelt werden sollen,
- die Vereinbarung der EU-Standardvertragsklauseln
- die Verwendung verbindlicher Unternehmensregeln (Binding Corporate Rules).
Gesetzliche Erlaubnis – nur vereinzelt anwendbar
Rechtssicher dürfte lediglich der erstgenannte Weg sein. Auf gesetzliche Ausnametatbestände können Datentransfers jedoch nur in wenigen Fällen gestützt werden. Nämlich dann, wenn die Übermittlung personenbezogener Daten zur Erfüllung eines Vertrages erforderlich ist. Das trifft beispielsweise auf Reisebuchungen zu, kann aber auch beim Warenverkauf über das Internet relevant werden. Unternehmen, die Daten aus anderen Gründen in die USA übermitteln, etwa weil sie Webtools nutzen, deren Anbieter ihren Sitz und ihre Server in Amerika haben, müssen auf andere rechtliche Alternativen zurückgreifen.
Einwilligung des Betroffenen – voraussichtlich unwirksam
In Betracht kommt z.B. die Einwilligung des Betroffenen. Damit dieser dem Datentransfer wirksam zustimmen kann, muss er jedoch umfassend darüber informiert werden, was mit seinen Daten geschieht. Das ist unmöglich, wenn nicht klar ist, in welchem Umfang US-Behörden und –Geheimdienste auf sie zugreifen. Zudem wird der Betroffene nicht über den Zugriff informiert und hat auch keine rechtliche Handhabe dagegen (etwa entsprechende Klagen vor Gericht). Auf sein Recht auf informationelle Selbstbestimmung und effektiven Rechtsschutz kann er jedoch durch eine Einwilligung nicht verzichten. Sie wäre daher auch aus diesem Grund unwirksam.
Noch zulässig – EU-Standardvertragsklauseln und Corporate Binding Rules
Es verbleiben folglich nur die Vereinbarung der EU-Standardvertragsklauseln oder die Einführung verbindlicher Unternehmensregelungen. Beides ist aktuell rechtlich noch möglich, begegnet jedoch den gleichen Bedenken, die der EuGH bereits bzgl. des Safe-Harbour-Abkommens geäußert hat. Solange es in den USA Gesetze (wie den Patriot Act) gibt, die es den Behörden und Geheimdiensten erlauben, uneingeschränkt auf personenbezogene Daten zuzugreifen, kann auch über Vertragsklausen oder Corporate Binding Rules kein Datenschutzniveau hergestellt werden, das mit dem in der EU vergleichbar ist. Beide Vorgehensweisen sind gerichtlich jedoch – noch – nicht als unzulässig eingestuft worden.
EU-Kommission vs. deutsche Datenschutzbehörden
Aktuell geht die EU-Kommission noch davon aus, dass ein Datentransfer in die USA, der auf die EU-Standardvertragsklauseln oder Binding Corporate Rules (BCR) gestützt wird, zulässig ist. Das sieht die Konferenz der Datenschutzbehörden von Bund und Ländern jedoch anders. In ihrem Positionspapier hat sie mitgeteilt, dass keine Genehmigungen für die Übermittlung personenbezogener Daten nach Amerika mehr erteilt werden, die auf verbindlichen Unternehmensregelungen oder Datenexportverträgen beruht. Mangels rechtlicher Grundlage dürfen personenbezogene Daten aus Deutschland dann nicht mehr in die USA übermittelt werden.
Es besteht Handlungsbedarf!
Da sich die EuGH-Entscheidung auch auf Shop-Betreiber auswirkt, sollten dringend die internen datenschutzrelevanten Prozesse und entsprechenden Vereinbarungen mit Dienstleistern überprüft werden. Übermitteln Sie selbst Daten in die USA? Nutzen Sie Anbieter, die Daten in die USA übermitteln? Wenn ja, auf welcher rechtlichen Grundlage erfolgt der Transfer (eine Antwort auf diese Frage findet sich üblicherweise in den AGB oder den Datenschutzbestimmungen)? Wird die Datenweitergabe auf Safe Harbour gestützt, müssen entsprechende Verträge gekündigt oder abgeändert werden.
Ausweg technische Lösungen?
Einen Ausweg bieten möglicherweise technische Lösungen. Über Ende-zu-Ende-Verschlüsselungen kann der Zugriff auf den Klartext verhindert werden. Auch die Anonymisierung personenbezogener Daten vor der Übermittlung in die USA ist denkbar. Problematisch ist dahingehend jedoch die Praxis der US-Behörden, auch Zugriff auf Daten zu verlangen, die auf Servern außerhalb der USA liegen, solange diese von einem Unternehmen mit Sitz in Amerika betrieben werden. Entsprechende gerichtliche Verfahren werden aktuell von Microsoft geführt.
Fazit
Wer weiterhin personenbezogene Daten aus Europa in die USA übermittelt, riskiert behördliche Maßnahmen wie Unterlassungsverfügungen und Bußgelder.
Solange es keine Möglichkeit gibt, ein Datenschutzniveau in den USA herzustellen, das dem in Europa entspricht, dürfte der Datenfluss bald zum Erliegen kommen. Damit einhergehen werden wohl gravierende wirtschaftliche Folgen. Gefragt ist deshalb die Regierung der Vereinigten Staaten, die die Zugriffsrechte vor allem ihrer Geheimdienste beschränken muss. Mit Blick auf die weiterhin bestehende Angst vor Terroranschlägen dürfte das jedoch unwahrscheinlich sein.
Aktuell verhandeln die EU und die USA über ein Nachfolgeabkommen zu Safe Harbour. Erste Ergebnisse werden Ende Januar erwartet. Die europäischen Datenschutzbehörden haben angekündigt, nach Ablauf der Frist (Ende Januar) „alle nötigen und angebrachten Schritte“ zur Umsetzung des Urteils des EuGH zu ergreifen.
Shop-Betreiber müssen sich mit der Problematik deshalb dringend auseinandersetzen.