logo_online_und_it_recht

Das „Safe Harbor“-Abkommen und dessen Aufhebung durch den EuGH

Am 06.10.2015 hat der europäische Gerichtshof (EuGH) das Safe Harbor-Abkommen aus dem Jahre 2000 für ungültig erklärt. Hieraus folgt nun, dass ab sofort jeglicher Transfer von personenbezogenen Daten in Drittstaaten ohne angemessenes Datenschutzniveau unzulässig ist und gemäß EuGH somit der Datentransfer in die Vereinigten Staaten ebenfalls nicht mehr vorgenommen werden darf.

Problematisch ist an dieser Stelle für Unternehmen, dass das Abkommen mit sofortiger Wirkung aufgehoben wurde und somit keinerlei Fristen für eine entsprechende Umstellung auf die neue Situation eingeräumt wurden. Für viele Unternehmen, die personenbezogene Daten in die Vereinigten Staaten transferieren, stellt sich somit die Frage: Darf ich personenbezogene Daten überhaupt noch in die Vereinigten Staaten übermitteln, oder müssen wir bei Fortsetzung der Übermittlung Konsequenzen fürchten?

Zur Klärung dieser und anderer Fragen hat die „Unabhängige Datenschutzbehörde des Bundes und der Länder“ ein entsprechendes Positionspapier vorgelegt. Aus Sicht der Datenschutzbehörde

  • sind jegliche Übermittlungen von personenbezogenen Daten in die Vereinigten Staaten unzulässig
  • ist die Zulässigkeit eines Datentransfers auf Grundlage von Standartvertragsklauseln oder verbindlichen Unternehmensklauseln („Binding Corporate Rules“; BCR) fraglich und noch zu prüfen
  • sollen Unternehmen den Transfer von personenbezogenen Daten unverzüglich datenschutzgerecht gemäß des EuGH-Urteils gestalten
  • sollen sich Unternehmen, die dennoch Daten transferieren wollen, an die „DSK-Entschließung über die „Gewährleistung der Menschenrechte bei der elektronischen Kommunikation“ der Datenschutzkommission (DSK) vom 27.03.2014, sowie an deren Orientierungshilfe „Cloud Computing“ vom 09.10.2014 orientieren
  • darf ein Datentransfer auf Grundlage der Einwilligung der betroffenen Person nur in einem strengen, begrenzten Rahmen erfolgen und außerdem nicht, Zitat: „wiederholt, massenhaft und routinemäßig“ durchgeführt werden
  • kann in Bezug auf die Daten von Beschäftigen und/oder Dritten eine Einwilligung wie vorgenannt nur in Ausnahmefällen ausreichend sein

Die Datenschutzbehörde weist darauf hin, dass jeglicher festgestellter Transfer von personenbezogenen Daten in die Vereinigten Staaten, der ausschließlich auf Grundlage des Safe Harbor- Abkommens vollzogen wird, unverzüglich von den zuständigen Behörden untersagt werden wird und zum jetzigen Zeitpunkt von Seiten der Behörden keinerlei neue Genehmigungen für den Datentransfer auf Grundlage von BCR oder Datenexportverträgen erteilt werden.

An dieser Stelle erklärt die Datenschutzbehörde aber ebenfalls, dass von der sogenannten „Artikel 29-Gruppe“ bis zum 31.01.2016 die Standardvertragsklauseln an das EuGH-Urteil angepasst werden sollen.

Die Aktuelle Rechtslage

Da zum jetzigem Zeitpunkt keine offizielle verbindliche Stellungnahme erfolgt ist, wie Verstöße gegen das Urteil des EuGHs zukünftig zu ahnden sind, oder ob diese momentan überhaupt weiter verfolgt werden, wird hier nun ein Einblick in die entsprechenden Rechtsvorschriften des Bundesdatenschutzgesetzes (BDSG) und mögliche Bußgelder gegeben:

§43 III BDSG:

  • „Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden.
  • Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen.
  • Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden.“

Zu beachten ist hier, dass der Absatz 2 deswegen Anwendung findet, weil sich dieser, im Gegensatz zum Absatz 1, mit den unbefugten vorsätzlichen oder fahrlässigen Handlungen in Bezug auf personenbezogene Daten beschäftigt. Durch das Urteil des EuGH sind somit sämtliche Handlungen in Bezug auf den Transfer von personenbezogenen Daten in die Vereinigten Staaten unbefugt.

Der Absatz 2 des §43 BDSG definiert die Ordnungswidrigkeitstatbestände wie folgt:

„Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

  1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet,
  2. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält,
  3. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft,
  4. die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschleicht,
  5. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit § 29 Abs. 4, § 39 Abs. 1 Satz 1 oder § 40 Abs. 1, die übermittelten Daten für andere Zwecke nutzt,
    5a. entgegen § 28 Absatz 3b den Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig macht,
    5b. entgegen § 28 Absatz 4 Satz 1 Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung verarbeitet oder nutzt,
  6. entgegen § 30 Absatz 1 Satz 2, § 30a Absatz 3 Satz 3 oder § 40 Absatz 2 Satz 3 ein dort genanntes Merkmal mit einer Einzelangabe zusammenführt oder
  7. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht.“

Empfehlung für Unternehmen

Ob in der Zukunft Bußgelder entsprechend dieser Rechtsvorschriften verhängt werden, ist derzeit noch ungewiss und bleibt abzuwarten, für Unternehmen ist es aber in jedem Fall sinnvoll, die Stellungnahme der „Unabhängigen Datenschutzbehörde des Bundes und der Länder“ ernst zu nehmen und umzusetzen und sich dabei an die innerstaatlichen Vorschriften des Bundesdatenschutzgesetzes zu halten.

Für den Fall, dass Unternehmen Serviceleistungen von US-Firmen benutzten, wie z. B. Google Analytics, Dropbox, Microsoft OneDrive oder als Cloud-Dienst nutzbare CRM-Systeme, müsste umgehend geklärt werden, ob der Anbieter/Betreiber des entsprechenden Dienstes seine Daten in der EU verarbeitet, oder in einem Drittstaat, wie den USA.

Verarbeitet ein solcher Dienstanbieter personenbezogene Daten in den Vereinigten Staaten, so ist dies aufgrund des EuGH-Urteils vom 06.10.2015 unzulässig und der betroffene Unternehmer sollte die Nutzung der entsprechenden Serviceleistungen einstellen, falls eine Nutzung ohne Übersendung von personenbezogenen Daten nicht möglich ist, wie beispielsweise bei Google Analytics.

Um zu erfahren, ob durch eine Serviceleistung Daten in die Vereinigten Staaten transferiert werden, sollten sich Unternehmen zwingend mit den Allgemeinen Geschäftsbedingungen und den Datenschutzrichtlinien des jeweiligen Betreibers der Serviceleistungen auseinandersetzen, bzw. vom Dienstbetreiber eine entsprechende Erklärung anfordern.

Wenn ein Betreiber, wie es z. B. bei Dropbox der Fall ist, sich in ihren Geschäftsbedingungen in Bezug auf die Datenverarbeitung sogar darauf berufen, „Safe Harbor-konform“ zu handeln, so ist aufgrund der momentanen Gesetzeslage die Nutzung dieses Dienstes unzulässig, bzw. die Aussage auch rechtlich veraltet.

Grundsätzlich sollte zur Gewährleistung einer EU-konforme Datenverarbeitung versucht werden, die oben beispielhaft genannten Serviceleistungen an Unternehmen auszulagern die, entweder a) ihren Sitz in der EU haben, bzw. europäisch sind, oder b) personenbezogene Daten in Europa und nicht in Drittstaaten, wie den Vereinigten Staaten, verarbeiten.

Unabhängig davon, sollte bei der Nutzung solcher Dienste von Unternehmen stets bedacht werden, dass beispielsweise in Clouds gespeichertes Unternehmenswissen ein Kapital darstellt, welches in solchen Drittstaaten ggf. auch den Weg in die dortige Wirtschaft finden kann.

Folge Mark Schomaker:

Rechtsanwalt

Rechtsanwalt Mark Schomaker, 33824 Werther, Tel.: 05203-977 89 63, www.onlineunditrecht.de, ist spezialisiert auf das IT-Recht und Internetrecht, sowie auf nationales und internationales Vertragsrecht.

  1. Reinhold Clausjürgens
    |

    In der Zwischenzeit haben EU-Kommission und US-Regierung eine Vereinbarung über ein „EU-US-Privacy-Shield“ ausgehandelt. Die konkrete Umsetzung in Gesetze und Vorschriften fehlt allerding noch – und sie wird auch noch etliche Wochen, wahrscheinlich sogar Monate auf sich warten lassen, zumal noch nicht einmal der genaue Wortlaut der Vereinbarung vorliegt. Vom Branchenverband BITKOM wird die neue Vereinbarung allerding jetzt schon begrüßt.[1] In der Presse wird die Vereinbarung jedoch weitgehend skeptisch betrachtet. Insbesondere der ehemalige Bundesbeauftragte für Datenschutz und Informationsfreiheit, Peter Schaar, äußert sich auf Heise-Online nagativ über das Privacy-Shield.[2]

    [1] „Nachfolgeregelung zu Safe-Harbor: US-EU-Privacy Shield“, 02-Feb-2016. [Online]. Verfügbar unter: https://www.bitkom.org/Presse/Presseinformation/Bitkom-begruesst-Einigung-auf-Nachfolgeregelung-fuer-Safe-Harbor.html. [Zugegriffen: 03-Feb-2016].
    [2] P. Schaar, „Peter Schaar: Ist das ‚Privacy Shield‘ endlich ein sicherer Hafen?“, 02-Feb-2016. [Online]. Verfügbar unter: http://www.heise.de/newsticker/meldung/Peter-Schaar-Ist-das-Privacy-Shield-endlich-ein-sicherer-Hafen-3091735.html. [Zugegriffen: 03-Feb-2016].