Unternehmen nach dem Ende von Safe Harbor: "Erst Alternativen zur Kunden-Einwilligung prüfen"
Bild: © efks - fotolia.com
Nachdem der EuGH die Safe-Harbor-Grundsätze für unwirksam erklärte, übermitteln viele Unternehmen Daten ohne Rechtsgrundlage in die USA. Julia Dönch erklärt im Interview, wann das gefährlich wird und was Unternehmen nun tun sollten.
LTO: Nach der Entscheidung des EuGH, die Safe-Harbor-Grundsätze für unwirksam zu erklären, fragen sich alle, was genau das für Unternehmen mit Sitz in Europa bedeutet. Die Antworten bleiben bislang recht inkonkret. Versuchen wir es langsam: Welche Unternehmen sind eigentlich betroffen?
Dönch: Betroffen sind alle Unternehmen, die personenbezogene Daten in der EU erheben und diese in die USA übermitteln. Diese Art der Übermittlung kann dabei in vielfältiger Weise erfolgen: In Betracht kommen z.B. die Übermittlung der Daten an oder die Abrufbarkeit durch konzernverbundene Unternehmen in den USA. Aber auch bei der Nutzung von Cloud-Computing-Dienstleistungen aus den USA werden regelmäßig personenbezogene Daten übermittelt.
LTO: Auch Juristen geben nach der Entscheidung des EuGH die Auskunft, dass das Fehlen einer Rechtsgrundlage nichts daran ändert, dass täglich vielfach Daten über den Atlantik transferiert werden – ein Zustand also, den man jetzt zunächst einmal hinnehmen muss?
Dönch: Soweit sich Unternehmen im transatlantischen Rechtsverkehr bislang auf die Safe Harbour-Grundsätze berufen haben, ist das ab sofort nicht mehr zulässig. Unternehmen mit Sitz in der EU müssen die Übermittlung personenbezogener Daten in die USA daher nun auf eine andere Grundlage stellen, um nicht gegen geltendes Datenschutzrecht zu verstoßen.
Auch nach der Entscheidung des EuGH werden aber ohne Frage personenbezogene Daten in die USA transferiert werden - schon alleine des internationalen Handels wegen. Letztlich bleibt abzuwarten, wie die Datenschutzbehörden mit dieser Situation umgehen. Es liegt auf der Hand, dass die meisten Unternehmen nach dem EuGH-Urteil hier nicht einfach einen "Hebel umlegen" können. Das wissen natürlich auch die Aufsichtsbehörden.
Nur wer mit Safe Harbor arbeitete, muss nun handeln
LTO: Gibt es denn Fälle, in denen für Unternehmen, die Daten in die USA übermitteln, das Entfallen der Safe-Harbor-Grundsätze unschädlich ist?
Dönch: Ja, denn auch schon vor der Entscheidung des EuGH haben nicht alle Unternehmen, die personenbezogene Daten übermitteln, dies auf Basis von Safe Harbor getan. Wenn Unternehmen schon bislang die Übermittlung der Daten in die USA beispielsweise auf die sog. EU-Standardvertragsklauseln gestützt haben, resultiert aus dem Aus für Safe Harbor derzeit kein Handlungsbedarf.
So bleibt zum Beispiel im Rahmen von Online-Shopping die zur Vertragserfüllung erforderliche Übermittlung personenbezogener Daten von Deutschland in die USA nach § 28 Bundesdatenschutzgesetz (BDSG) zulässig.
LTO: Worum handelt es sich bei den EU-Standardvertragsklauseln?
Dönch: Die EU-Kommission hat entschieden, dass für eine Datenübermittlung aus EU-Mitgliedstaaten in die USA von einem ausreichenden Datenschutzniveau auszugehen, also die Datenübermittlung erlaubt ist, wenn zwischen den beteiligten Unternehmen die Geltung der sog. EU-Standardvertragsklauseln vereinbart wird.
Diese beinhalten eine Vielzahl datenschutzrechtlicher Bestimmungen. Vereinbaren ein Datenexporteur wie zum Beispiel ein Unternehmen mit Sitz in Deutschland und ein Datenimporteur in den USA für die Übermittlung personenbezogener Daten die Geltung dieser Klauseln, ist nach der bisherigen Auffassung der EU-Kommission ein ausreichendes Datenschutzniveau hergestellt.
2/2: Alternative: EU-Standardvertragsklauseln
LTO: Das klingt ganz ähnlich wie Safe Harbor. Warum haben dann, da die Zulässigkeit der Grundsätze ja schon länger umstritten war, nicht bereits mehr Unternehmen umgesattelt?
Dönch: Das liegt unter anderem daran, dass man sich zum Beispiel beim Hosting personenbezogener Daten auf US-Servern mit den EU-Standardvertragsklauseln schwer tut: Denn hierfür müssen US-Unternehmen große Zugeständnisse in Richtung Geltung des EU-Datenschutzrechts machen - dieser Schritt fällt vielen US-Unternehmen erfahrungsgemäß nicht gerade leicht.
Auch die Erlaubnistatbestände des BDSG helfen in dieser Konstellation regelmäßig nicht weiter. Deshalb haben trotz dieser Alternativen in der Vergangenheit viele Unternehmen mit Safe Harbor operiert.
LTO: Müssen all diese Unternehmen nun mit jedem einzelnen Kunden vereinbaren, dass dieser dem Datentransfer in die USA zustimmt?
Dönch: Mit der wirksamen Einwilligung des Betroffenen können Unternehmen immer personenbezogene Daten von EU-Mitgliedstaaten in die USA - oder auch in andere Staaten- übermitteln. Allerdings ist es nicht in jeder Konstellation ganz einfach, eine wirksame Einwilligung von den Kunden einzuholen. Daher sollten Unternehmen in einem ersten Schritt prüfen, ob noch andere Möglichkeiten zur Verfügung stehen.
Alternative: Binding Corporate Rules
LTO: Welche kämen noch in Betracht?
Dönch: Vor allem internationale Konzerne können mit den Binding Corporate Rules konzernintern verbindliche Regelungen zum Datenschutz aufstellen und sich diesen verbindlich unterwerfen. Auch dies dient dazu, ein angemessenes Datenschutzniveau herzustellen.
LTO: Was hilft denn die konzerninterne Vereinbarung im Außenverhältnis gegenüber dem Kunden?
Dönch: Allein die konzerninterne Vereinbarung reicht hierfür in der Tat noch nicht aus. Denn die Binding Corporate Rules müssen von der Datenschutzbehörde des EU-Mitgliedstaates genehmigt werden, in dem das die personenbezogenen Daten übermittelnde Unternehmen seinen Sitz hat. Dieser Prozess kann einige Zeit in Anspruch nehmen.
Wie viel Zeit wird den Unternehmen bleiben?
LTO: Und dennoch halten Sie das für effizienter, als die Einwilligung vom Kunden einzuholen? Könnte man denn nicht relativ einfach die AGB anpassen?
Dönch: Die Anforderungen des BDSG an eine wirksame Einwilligung in die Weitergabe personenbezogener Daten sind hoch. So muss im Vorfeld der Einwilligung z.B. auf den vorgesehenen Zweck der Datennutzung hingewiesen werden. Diesen Zweck ausreichend präzise zu fassen, ist nicht immer ganz leicht - muss doch den Umständen des konkreten Einzelfalles Rechnung getragen werden. Und AGB einerseits und Einzelfall andererseits stehen ja bekanntlich in einem Spannungsverhältnis.
LTO: Und wenn für ein Unternehmen nun keine der Alternativen gangbar ist?
Dönch: Dann wäre die Datenübermittlung tatsächlich auszusetzen, da sie anderenfalls ohne ausreichende Rechtsgrundlage erfolgen würde.
Ich habe auch keine Zweifel daran, dass die Datenschutzbehörden in der EU die EuGH-Entscheidung umsetzen und hierauf zum Beispiel mit Bußgeldern reagieren werden. Spannend ist allenfalls die Frage, wie viel Zeit die Datenschutzbehörden den Unternehmen lassen werden, um nach dem Aus für Safe Harbor Alternativen zu implementieren.
LTO: Frau Dönch, wir danken Ihnen für das Gespräch.
Julia Dönch ist als Rechtsanwältin bei BDO Legal im Bereich IP/IT tätig. BDO Legal ist der deutsche rechtliche Kooperationspartner der BDO AG Wirtschaftsprüfungsgesellschaft. Julia Dönch berät und vertritt Unternehmen bei datenschutzrechtlichen Projekten und entwickelt Datenschutzkonzepte.
Die Fragen stellte Pia Lorenz.
