Das Safe Harbor-Urteil hat für erheblichen Wirbel gesorgt, denn quasi jedes Unternehmen übermittelt direkt oder indirekt Daten in die USA. Nun soll mit dem EU-US Privacy Shield eine rechtssichere Lösung gefunden werden. Doch die lässt auf sich warten.
Am 6. Oktober 2015 hatte der Europäische Gerichtshof (EuGH) die sogenannte Safe Harbor-Entscheidung der EU-Kommission für ungültig erklärt. Damit wurde die Möglichkeit europäischer Unternehmen, personenbezogene Daten auf Basis von „Safe Harbor“ in die USA zu übermitteln, obsolet. Datenübermittlungen auf Grundlage von Safe Harbor sind seither nicht mehr zulässig.
Um das so entstandene Rechtsvakuum zu schließen, hatte die Artikel 29-Datenschutzgruppe die EU-Mitgliedstaaten und europäischen Institutionen wenige Tage später aufgefordert, bis Ende Januar 2016 mit den zuständigen US-Institutionen eine politische, rechtliche und technische Lösung zu finden.
Die deutschen Datenschutzaufsichtsbehörden teilten daraufhin mit, keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (BCR) oder Datenexportverträgen zu erteilen. Zudem kündigten sie an, bei der Prüfung sogenannter EU-Standardvertragsklauseln die seitens des EuGH formulierten Grundsätze anzuwenden.
Am Nachmittag des 2. Februar 2016 hat nun die EU-Kommission verkündet, sich mit den USA über ein neues Rahmenwerk für transatlantische Datenflüsse geeinigt zu haben: Ergebnis ist der EU-US Privacy Shield.
Im Rahmen dieses Schutzschilds soll eine klare Beschränkung der Zugriffsmöglichkeiten von US-Behörden auf personenbezogene Daten erfolgen. Das US-Handelsministerium soll die Verarbeitung europäischer Daten durch US-Unternehmen überwachen. EU-Bürger, die den Schutz ihrer personenbezogenen Daten verletzt sehen, sollen sich an einen neu einzurichtenden Ombudsmann wenden können. US-Unternehmen sollen außerdem binnen einer zu bestimmenden Frist auf Beschwerden reagieren müssen. Die Funktionsweise des EU-US Privacy Shields soll jährlich durch die EU-Kommission und das US-Handelsministerium überprüft werden. In den nächsten Wochen soll eine „adequacy decision“ entworfen werden.
Die Art. 29-Datenschutzgruppe hat dieses Vorhaben am 3. Februar 2016 zwar grundsätzlich begrüßt, zugleich aber angemeldet, zunächst die relevanten Dokumente und Regelungen näher prüfen zu müssen, um sich ein Bild von Inhalt und rechtlicher Bindungswirkung des Privacy Shields machen zu können. Aus Sicht der Art. 29-Datenschutzgruppe gilt für alle transatlantischen Datentransfers, ebenso wie für Datenübermittlungen in andere Drittländer, dass
- die Datenverarbeitung klaren und verständlichen Grundsätzen folgt,
- der Grundsatz der Erforderlichkeit und Verhältnismäßigkeit gewahrt ist,
- eine unabhängige Überwachung der Datenverarbeitung existiert,
- effektive Rechtsschutzmöglichkeiten für die Betroffenen garantiert sind.
Die Art. 29-Datenschutzgruppe betont im Rahmen ihrer Stellungnahme noch einmal, dass Datenübermittlungen auf Basis von Safe Harbor nach wie vor unzulässig sind.
Des Weiteren fordert sie die EU-Kommission auf, ihr die Dokumentation zum EU-US Privacy Shield bis Ende Februar zu übermitteln, um dessen Inhalte und Rechtsverbindlichkeit zu prüfen. Im Anschluss will die Art. 29-Datenschutzgruppe sich auch zu der Frage äußern, ob EU-Standardvertragsklauseln und Binding Corporate Rules künftig noch eine zulässige Grundlage für Datenübermittlungen in die USA sein können. Eine Entscheidung wird nicht vor März 2016 erwartet. Bis dahin wird allerdings unterstellt, dass diese Instrumente weiterhin Datentransfers in die USA rechtfertigen können.
Es bleibt abzuwarten, wie sich die Diskussionen weiterentwickeln und wie die deutschen Datenschutzaufsichtsbehörden nun reagieren. Dies gilt vor allem mit Blick auf ihre kritische Haltung zu Standardvertragsklauseln und Binding Corporate Rules, die bislang als Alternative zu Safe Harbor galten.
Es bleibt also alles anders
Um Risiken zu vermeiden, sollte sich spätestens jetzt jede „verantwortliche Stelle“ im Sinne des Bundesdatenschutzgesetzes (BDSG) die Frage stellen, ob es von den Aus- und Nachwirkungen der Safe Harbor-Entscheidung des EuGH betroffen ist und ob und welche Alternativen für eine Datenübermittlung in die USA bestehen.
Dabei gelten drei wichtige Regeln:
1. Prüfen, ob man betroffen ist.
Nicht nur international tätige Großkonzerne sind betroffen, sondern zunächst einmal jeder, der personenbezogene Daten in die USA übermittelt. Insbesondere auch kleine und mittlere Unternehmen, ebenso wie der öffentliche Sektor, sollten ihre Betroffenheit prüfen. Das vorschnell vorgebrachte Argument, man habe „kein Geschäft/kein Tochterunternehmen in den USA“ oder man „übermittle keine Mitarbeiterdaten in die USA“ ist zu kurz gesprungen.
2. Bewusst machen, was mit Datenübermittlung gemeint ist.
„Übermitteln“ im Sinne des BDSG umfasst nicht nur die Weitergabe (also den Versand) personenbezogener Daten, sondern auch das Bereithalten in der EU zur Einsicht oder zum Abruf aus den USA. Dies kommt zum Beispiel bei der IT-Administration zum Tragen.
3. Klären, wie Daten – auch indirekt – in die USA gelangen.
Selbst wenn Sie „kein Geschäft in den USA haben“: Nutzen Sie US-Unternehmen für IT-Dienstleistungen, wie Hosting, Administration, Web-Analytics? Behalten sich Ihre europäischen Dienstleister die Einschaltung von Sub-Unternehmern vor, die ihren Sitz in den USA haben? Nutzen Sie Benchmarking-Dienste, Bewerberplattformen, Bewertungsdienstleister, Vertriebsunterstützung, Unternehmensberatungen mit Sitz in oder Bezug zu den USA? Wie sieht es aus mit Social Media und webbasierten Softwarelösungen, zum Beispiel zur Datenverarbeitung? All das ist von der Safe Harbor-Problematik betroffen. Nach alledem bleibt die Übergangsphase also noch bestehen. Dies rechtfertigt aber kein Abwarten. Datenschutzkonforme Lösungen sind gefragt – und werden von den deutschen Datenschutzaufsichtsbehörden eingefordert.
Werden Sie aktiv, bevor es zu unangenehmen Nachfragen kommt: Ihrer Mitarbeiter, Ihrer Kunden oder der zuständigen Aufsichtsbehörde.