LTO.de - Legal Tribune Online - Aktuelles aus Recht und Justiz
 

Unternehmen nach dem Ende von Safe Harbor: "Erst Alter­na­tiven zur Kunden-Einwil­li­gung prüfen"

von Pia Lorenz

07.10.2015

Nachdem der EuGH die Safe-Harbor-Grundsätze  für unwirksam erklärte, übermitteln viele Unternehmen Daten ohne Rechtsgrundlage in die USA. Julia Dönch erklärt im Interview, wann das gefährlich wird und was Unternehmen nun tun sollten.

LTO: Nach der Entscheidung des EuGH, die Safe-Harbor-Grundsätze für unwirksam zu erklären, fragen sich alle, was genau das für Unternehmen mit Sitz in Europa bedeutet. Die Antworten bleiben bislang recht inkonkret. Versuchen wir es langsam: Welche Unternehmen sind eigentlich betroffen?

Dönch: Betroffen sind alle Unternehmen, die personenbezogene Daten in der EU erheben und diese in die USA übermitteln. Diese Art der Übermittlung kann dabei in vielfältiger Weise erfolgen: In Betracht kommen z.B. die Übermittlung der Daten an oder die Abrufbarkeit durch konzernverbundene Unternehmen in den USA.  Aber auch bei der Nutzung von Cloud-Computing-Dienstleistungen aus den USA werden regelmäßig personenbezogene Daten übermittelt.

LTO: Auch Juristen geben nach der Entscheidung des EuGH die Auskunft, dass das Fehlen einer Rechtsgrundlage nichts daran ändert, dass täglich vielfach Daten über den Atlantik transferiert werden – ein Zustand also, den man jetzt zunächst einmal hinnehmen muss?

Julia DönchDönch: Soweit sich Unternehmen im transatlantischen Rechtsverkehr bislang auf die Safe Harbour-Grundsätze berufen haben, ist das ab sofort nicht mehr zulässig. Unternehmen mit Sitz in der EU müssen die Übermittlung personenbezogener Daten in die USA daher nun auf eine andere Grundlage stellen, um nicht gegen geltendes Datenschutzrecht zu verstoßen.

Auch nach der Entscheidung des EuGH werden aber ohne Frage personenbezogene Daten in die USA transferiert werden - schon alleine des internationalen Handels wegen. Letztlich bleibt abzuwarten, wie die Datenschutzbehörden mit dieser Situation umgehen. Es liegt auf der Hand, dass die meisten Unternehmen nach dem EuGH-Urteil hier nicht einfach einen "Hebel umlegen" können. Das wissen natürlich auch die Aufsichtsbehörden.

Nur wer mit Safe Harbor arbeitete, muss nun handeln

LTO: Gibt es denn Fälle, in denen für Unternehmen, die Daten in die USA übermitteln, das Entfallen der Safe-Harbor-Grundsätze unschädlich ist?

Dönch: Ja, denn auch schon vor der Entscheidung des EuGH haben nicht alle Unternehmen, die personenbezogene Daten übermitteln, dies auf Basis von Safe Harbor getan. Wenn Unternehmen schon bislang die Übermittlung der Daten in die USA beispielsweise auf die sog. EU-Standardvertragsklauseln gestützt haben, resultiert aus dem Aus für Safe Harbor derzeit kein Handlungsbedarf.

So bleibt zum Beispiel im Rahmen von Online-Shopping die zur Vertragserfüllung erforderliche Übermittlung personenbezogener Daten von Deutschland in die USA nach § 28 Bundesdatenschutzgesetz (BDSG) zulässig.

LTO: Worum handelt es sich bei den EU-Standardvertragsklauseln?  

Dönch: Die EU-Kommission hat entschieden, dass für eine Datenübermittlung aus EU-Mitgliedstaaten in die USA von einem ausreichenden Datenschutzniveau auszugehen, also die Datenübermittlung erlaubt ist, wenn zwischen den beteiligten Unternehmen die Geltung der sog. EU-Standardvertragsklauseln vereinbart wird.

Diese beinhalten eine Vielzahl datenschutzrechtlicher Bestimmungen. Vereinbaren ein Datenexporteur wie zum Beispiel ein Unternehmen mit Sitz in Deutschland und ein Datenimporteur in den USA für die Übermittlung personenbezogener Daten die Geltung dieser Klauseln, ist nach der bisherigen Auffassung der EU-Kommission ein ausreichendes Datenschutzniveau hergestellt.

Zitiervorschlag

Pia Lorenz, Unternehmen nach dem Ende von Safe Harbor: "Erst Alternativen zur Kunden-Einwilligung prüfen" . In: Legal Tribune Online, 07.10.2015 , https://www.lto.de/persistent/a_id/17129/ (abgerufen am: 16.07.2019 )

Infos zum Zitiervorschlag
Kommentare
  • 07.10.2015 18:11, Max

    Ich fürchte, dass Frau Dönch hier ein bisschen etwas durcheinander geraten ist. Selbst wenn man davon ausgehen wollte, dass die EU-Standardvertragsklauseln dieses Judiz unbeschädigt überstehen werden - woran schon deswegen Zweifel angebracht sind, weil sie ebenso wie das Safe Harbor-Abkommen die datenschutzrechtliche Diktion der Kommission tragen - ist die folgende Aussage nicht richtig:
    "Wenn Unternehmen schon bislang die Übermittlung der Daten in die USA beispielsweise auf die sog. EU-Standardvertragsklauseln gestützt haben, resultiert aus dem Aus für Safe Harbor derzeit kein Handlungsbedarf.

    So bleibt zum Beispiel im Rahmen von Online-Shopping die zur Vertragserfüllung erforderliche Übermittlung personenbezogener Daten von Deutschland in die USA nach § 28 Bundesdatenschutzgesetz (BDSG) zulässig."

    Die EU-Standardvertragsklauseln regeln Fälle die nicht als Auftragsdatenverarbeitung (§ 11 BDSG) organisiert werden können, da die Daten aus dem EWR hinaus übermittelt werden. Es geht hier somit um Dreipersonenverhältnisse, wobei die Standardvertragsklauseln zwischen dem Vertragspartner des Betroffenen (im EWR) und dem Datenverarbeiter (außerhalb des EWR) vereinbart werden.
    Der Schluss ("so bleibt") auf § 28 BDSG, der allein das Verhältnis zwischen dem Betroffenen und dem im Anwendungsbereich des BDSG belegenen Datenverarbeiters liegt ist verfehlt.

    "Die Anforderungen des BDSG an eine wirksame Einwilligung in die Weitergabe personenbezogener Daten sind hoch. So muss im Vorfeld der Einwilligung z.B. auf den vorgesehenen Zweck der Datennutzung hingewiesen werden. Diesen Zweck ausreichend präzise zu fassen, ist nicht immer ganz leicht - muss doch den Umständen des konkreten Einzelfalles Rechnung getragen werden."
    Wobei nicht verschwiegen werden sollte, dass hier eine Konstellation beschrieben wird, bei der das Kind geradezu im hohen Bogen in den Brunnen geworfen wurde: Wenn bereits vor Aufnahme der - im Tatsächlichen ja keiner Änderung unterworfenen! - Datenverarbeitung der Zweck der Datennutzung nicht klar benannt ist (dann, und nur dann, kann die von Frau Dönch hier monierte Einwilligungsproblematik überhaupt entstehen) dann war das Datenschutzkonzept, sofern es eines gab, höflich ausgedrückt Mist. Den Verzicht auf die rechtlich sicherste Form der Rechtfertigung der Datenverarbeitung, die nebenbei auch die meiste Transparenz für den Kunden schaft - die Einwilligung - mit einer Schlamperei des Datenverarbeiters zu begründen mutet eigentümlich an.

  • 07.10.2015 20:13, zweifler

    Dieses hirnrissige Urteil schafft Rechtsunsicherheit an allen Fronten. Darunter leiden werden vor allem mittelständische und kleine Marktakteure - und deren Kunden. Das Problem ist doch nicht die Datenübermittlung. Das Problem sind amoklaufende Nachrichtendienste, die alles von allen und jedem speichern wollen und aus jeder Richtung politische Unterstützung oder Gleichgültigkeit erhalten. Wir dürfen gespannt sein, was über die Irren, die das zulassen, in 200 Jahren in den Geschichtsbüchern stehen wird.

  • 08.10.2015 09:45, NXN

    Das Interview ist leider nicht sehr hilfreich, da es in wesentlichen Teilen schlicht falsche Informationen enthält.

    Die behauptete Zulässigkeit des Transfers auf Grundlage von 28 BDSG verkennt schon die grundlegende Systematik des BDSG.

    Und auf die EU Standardvertragsklauseln oder Binding Corporate Rules auszuweichen ist mit ganz erheblichen Risiken verbunden, die hier nicht deutlich werden.

    • 08.10.2015 16:58, Max

      Interessant, dass Sie gerade den Hinweis auf § 28 BDSG andeuten - denn der ist noch mit das Richtigste was in dem ansonsten - insoweit Zustimmung - sehr schwachen Interview steht.

      § 28 Abs. 1 Satz 1 Nr. 1 BDSG ist gerade die Erlaubnis der Übermittlung von pbD in unsichere Drittstaaten, die Art. 26 Abs. 1 lit. b) der DSRL vorsieht. Es ändert allerdings nichts daran, dass das mit Safe Harbor natürlich nichts zu tun hat. Die Aussage, ich vereinfache deutlich, "Äpfel darf man verkaufen, der Verkauf von Birnen ist verboten aber man darf ja Äpfel verkaufen" ist so richtig wie sie auch überflüssig war.