LTO.de - Legal Tribune Online - Aktuelles aus Recht und Justiz
 

Unternehmen nach dem Ende von Safe Harbor: "Erst Alter­na­tiven zur Kunden-Einwil­li­gung prüfen"

von Pia Lorenz

07.10.2015

2/2: Alternative: EU-Standardvertragsklauseln

LTO: Das klingt ganz ähnlich wie Safe Harbor. Warum haben dann, da die Zulässigkeit der Grundsätze ja schon länger umstritten war, nicht bereits mehr Unternehmen umgesattelt?

Dönch: Das liegt unter anderem daran, dass man sich zum Beispiel beim Hosting personenbezogener Daten auf US-Servern mit den EU-Standardvertragsklauseln schwer tut: Denn hierfür müssen US-Unternehmen große Zugeständnisse in Richtung Geltung des EU-Datenschutzrechts machen - dieser Schritt fällt vielen US-Unternehmen erfahrungsgemäß nicht gerade leicht.

Auch die Erlaubnistatbestände des BDSG helfen in dieser Konstellation regelmäßig nicht weiter. Deshalb haben trotz dieser Alternativen in der Vergangenheit viele Unternehmen mit Safe Harbor operiert.

LTO: Müssen all diese Unternehmen nun mit jedem einzelnen Kunden vereinbaren, dass dieser dem Datentransfer in die USA zustimmt?

Dönch: Mit der wirksamen Einwilligung des Betroffenen können Unternehmen immer personenbezogene Daten von EU-Mitgliedstaaten in die USA - oder auch in andere Staaten- übermitteln. Allerdings ist es nicht in jeder Konstellation ganz einfach, eine wirksame Einwilligung von den Kunden einzuholen. Daher sollten Unternehmen in einem ersten Schritt prüfen, ob noch andere Möglichkeiten zur Verfügung stehen.  

Alternative: Binding Corporate Rules

LTO: Welche kämen noch in Betracht?

Dönch: Vor allem internationale Konzerne können mit den Binding Corporate Rules konzernintern verbindliche Regelungen zum Datenschutz aufstellen und sich diesen verbindlich unterwerfen. Auch dies dient dazu, ein angemessenes Datenschutzniveau herzustellen.

LTO: Was hilft denn die konzerninterne Vereinbarung im Außenverhältnis gegenüber dem Kunden?

Dönch: Allein die konzerninterne Vereinbarung reicht hierfür in der Tat noch nicht aus. Denn die Binding Corporate Rules müssen von der Datenschutzbehörde des EU-Mitgliedstaates genehmigt werden, in dem das die personenbezogenen Daten übermittelnde Unternehmen seinen Sitz hat. Dieser Prozess kann einige Zeit in Anspruch nehmen.

Wie viel Zeit wird den Unternehmen bleiben?

LTO: Und dennoch halten Sie das für effizienter, als die Einwilligung vom Kunden einzuholen?  Könnte man denn nicht relativ einfach die AGB anpassen?

Dönch: Die Anforderungen des BDSG an eine wirksame Einwilligung in die Weitergabe personenbezogener Daten sind hoch. So muss im Vorfeld der Einwilligung z.B. auf den vorgesehenen Zweck der Datennutzung hingewiesen werden. Diesen Zweck ausreichend präzise zu fassen, ist nicht immer ganz leicht - muss doch den Umständen des konkreten Einzelfalles Rechnung getragen werden. Und AGB einerseits und Einzelfall andererseits stehen ja bekanntlich in einem Spannungsverhältnis.

LTO: Und wenn für ein Unternehmen nun keine der Alternativen gangbar ist?

Dönch: Dann wäre  die Datenübermittlung tatsächlich auszusetzen, da sie anderenfalls ohne ausreichende Rechtsgrundlage erfolgen würde.

Ich habe auch keine Zweifel daran, dass die Datenschutzbehörden in der EU die EuGH-Entscheidung umsetzen und hierauf zum Beispiel mit Bußgeldern reagieren werden. Spannend ist allenfalls die Frage, wie viel Zeit die Datenschutzbehörden den Unternehmen lassen werden, um nach dem Aus für Safe Harbor Alternativen zu implementieren.

LTO: Frau Dönch, wir danken Ihnen für das Gespräch.

Julia Dönch ist als Rechtsanwältin bei BDO Legal im Bereich IP/IT tätig. BDO Legal ist der deutsche rechtliche Kooperationspartner der BDO AG Wirtschaftsprüfungsgesellschaft. Julia Dönch berät und vertritt Unternehmen bei datenschutzrechtlichen Projekten und entwickelt Datenschutzkonzepte.

Die Fragen stellte Pia Lorenz.

Zitiervorschlag

Pia Lorenz, Unternehmen nach dem Ende von Safe Harbor: "Erst Alternativen zur Kunden-Einwilligung prüfen" . In: Legal Tribune Online, 07.10.2015 , https://www.lto.de/persistent/a_id/17129/ (abgerufen am: 15.12.2019 )

Infos zum Zitiervorschlag
Kommentare
  • 07.10.2015 18:11, Max

    Ich fürchte, dass Frau Dönch hier ein bisschen etwas durcheinander geraten ist. Selbst wenn man davon ausgehen wollte, dass die EU-Standardvertragsklauseln dieses Judiz unbeschädigt überstehen werden - woran schon deswegen Zweifel angebracht sind, weil sie ebenso wie das Safe Harbor-Abkommen die datenschutzrechtliche Diktion der Kommission tragen - ist die folgende Aussage nicht richtig:
    "Wenn Unternehmen schon bislang die Übermittlung der Daten in die USA beispielsweise auf die sog. EU-Standardvertragsklauseln gestützt haben, resultiert aus dem Aus für Safe Harbor derzeit kein Handlungsbedarf.

    So bleibt zum Beispiel im Rahmen von Online-Shopping die zur Vertragserfüllung erforderliche Übermittlung personenbezogener Daten von Deutschland in die USA nach § 28 Bundesdatenschutzgesetz (BDSG) zulässig."

    Die EU-Standardvertragsklauseln regeln Fälle die nicht als Auftragsdatenverarbeitung (§ 11 BDSG) organisiert werden können, da die Daten aus dem EWR hinaus übermittelt werden. Es geht hier somit um Dreipersonenverhältnisse, wobei die Standardvertragsklauseln zwischen dem Vertragspartner des Betroffenen (im EWR) und dem Datenverarbeiter (außerhalb des EWR) vereinbart werden.
    Der Schluss ("so bleibt") auf § 28 BDSG, der allein das Verhältnis zwischen dem Betroffenen und dem im Anwendungsbereich des BDSG belegenen Datenverarbeiters liegt ist verfehlt.

    "Die Anforderungen des BDSG an eine wirksame Einwilligung in die Weitergabe personenbezogener Daten sind hoch. So muss im Vorfeld der Einwilligung z.B. auf den vorgesehenen Zweck der Datennutzung hingewiesen werden. Diesen Zweck ausreichend präzise zu fassen, ist nicht immer ganz leicht - muss doch den Umständen des konkreten Einzelfalles Rechnung getragen werden."
    Wobei nicht verschwiegen werden sollte, dass hier eine Konstellation beschrieben wird, bei der das Kind geradezu im hohen Bogen in den Brunnen geworfen wurde: Wenn bereits vor Aufnahme der - im Tatsächlichen ja keiner Änderung unterworfenen! - Datenverarbeitung der Zweck der Datennutzung nicht klar benannt ist (dann, und nur dann, kann die von Frau Dönch hier monierte Einwilligungsproblematik überhaupt entstehen) dann war das Datenschutzkonzept, sofern es eines gab, höflich ausgedrückt Mist. Den Verzicht auf die rechtlich sicherste Form der Rechtfertigung der Datenverarbeitung, die nebenbei auch die meiste Transparenz für den Kunden schaft - die Einwilligung - mit einer Schlamperei des Datenverarbeiters zu begründen mutet eigentümlich an.

  • 07.10.2015 20:13, zweifler

    Dieses hirnrissige Urteil schafft Rechtsunsicherheit an allen Fronten. Darunter leiden werden vor allem mittelständische und kleine Marktakteure - und deren Kunden. Das Problem ist doch nicht die Datenübermittlung. Das Problem sind amoklaufende Nachrichtendienste, die alles von allen und jedem speichern wollen und aus jeder Richtung politische Unterstützung oder Gleichgültigkeit erhalten. Wir dürfen gespannt sein, was über die Irren, die das zulassen, in 200 Jahren in den Geschichtsbüchern stehen wird.

  • 08.10.2015 09:45, NXN

    Das Interview ist leider nicht sehr hilfreich, da es in wesentlichen Teilen schlicht falsche Informationen enthält.

    Die behauptete Zulässigkeit des Transfers auf Grundlage von 28 BDSG verkennt schon die grundlegende Systematik des BDSG.

    Und auf die EU Standardvertragsklauseln oder Binding Corporate Rules auszuweichen ist mit ganz erheblichen Risiken verbunden, die hier nicht deutlich werden.

    • 08.10.2015 16:58, Max

      Interessant, dass Sie gerade den Hinweis auf § 28 BDSG andeuten - denn der ist noch mit das Richtigste was in dem ansonsten - insoweit Zustimmung - sehr schwachen Interview steht.

      § 28 Abs. 1 Satz 1 Nr. 1 BDSG ist gerade die Erlaubnis der Übermittlung von pbD in unsichere Drittstaaten, die Art. 26 Abs. 1 lit. b) der DSRL vorsieht. Es ändert allerdings nichts daran, dass das mit Safe Harbor natürlich nichts zu tun hat. Die Aussage, ich vereinfache deutlich, "Äpfel darf man verkaufen, der Verkauf von Birnen ist verboten aber man darf ja Äpfel verkaufen" ist so richtig wie sie auch überflüssig war.