Galgenfrist für einen sicheren Datenhafen

Bild: Maksim Kabakou/shutterstock

Bild: Maksim Kabakou/shutterstock

Nachdem der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen zum Austausch von Daten zwischen den USA und der EU für ungültig erklärt hat, fordern jetzt die nationalen Datenschutzbehörden politische, rechtliche und technische Lösungen, mit denen auch bei einem Datentransfer in die USA die in der EU gültigen Grundrechte gewahrt bleiben. Für den Fall, dass die EU-Kommission und die Mitgliedstaaten bis Ende Januar 2016 keine entsprechende Regelung mit den US-Behörden vereinbaren, drohen die Datenschützer mit Konsequenzen. Im Klartext heißt das: wer derzeit im Rahmen der sogenannten „Safe-Harbor-Regelung“ personenbezogene Daten in den USA speichern oder verarbeiten lässt, verstößt gegen EU-Datenschutzgesetze und muss spätestens ab Februar 2016 mit Überprüfungen und Sanktionen rechnen. Damit stehen jetzt nicht nur die EU-Kommission, sondern auch zahlreiche Unternehmen unter Zugzwang.

Hintergründe

EU-Grundrechte

Der Europäische Gerichtshof begründet sein Urteil zur Safe-Harbor-Regelung mit den damit einhergehenden Verletzungen der in der EU geltenden Grundrechte, insbesondere das Recht auf Achtung des Privatlebens und der Kommunikation (Artikel 7) und das Recht auf Schutz der personenbezogenen Daten (Artikel 8). „Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.“ (Artikel 8 Abs. 2) Die Einhaltung dieser Vorschriften ist von unabhängigen Stellen zu überwachen. Diese Aufgabe haben insbesondere die nationalen Datenschutzbehörden.

Auftragsdatenverarbeitung

Beauftragt ein Unternehmen einen Dienstleister mit der Erhebung oder Verarbeitung von personenbezogenen Daten (z.B. Kundendaten, Personaldaten der Mitarbeiter), dann handelt es sich um eine Auftragsdatenverarbeitung. Ein entsprechender Auftrag ist schriftlich gemäß § 11 Bundesdatenschutzgesetz (BDSG) zu erteilen. Dabei behält das Unternehmen als Auftraggeber und verantwortliche Stelle jederzeit die Verantwortung für die ordnungsgemäße Datenverarbeitung. Der Dienstleister kann sich auch in einem anderen Land der Europäischen Union bzw. des Europäischen Wirtschaftsraumes (EWR) befinden, da man davon ausgeht, dass all diese Länder ein vergleichbar hohes Schutzniveau garantieren. Wenn allerdings der Auftragnehmer die Daten in einem Land außerhalb der EU oder des EWR verarbeitet, ist er als „Dritter“ gemäß § 3 Absatz 8 BDSG zu behandeln und genießt nicht die Privilegien im Rahmen der Auftragsdatenverarbeitung. Das heißt, deutsche Unternehmen können mit einem US-Anbieter keinen Vertrag über eine Auftragsdatenverarbeitung nach BDSG abschließen.

(Nicht mehr sicherer) Safe-Harbor USA

Gemäß EU-Datenschutzrichtlinie und Bundesdatenschutzgesetz darf ein Datentransfer in ein Drittland nicht stattfinden, wenn das angemessene Datenschutzniveau nicht sichergestellt werden kann. Ansonsten drohen Maßnahmen der Aufsichtsbehörde und Bußgelder (§§ 43, 44 BDSG). Die USA wurden in diesem Zusammenhang auch schon in der Vergangenheit wegen ihres rudimentären Datenschutzrechts als nicht sicheres Drittland eingestuft. Damit EU-Unternehmen trotzdem legal die Dienste von US-Firmen nutzen konnten, musste das angemessene Datenschutzniveau auf andere Art und Weise gewährleistet werden. Zu diesem Zweck hat die EU-Kommission im Jahr 2000 beschlossen, dass sich US-Unternehmen freiwillig zur Einhaltung der geforderten Datenschutzgrundsätze, den sogenannten Safe-Harbor-Principles, verpflichten können. Das haben inzwischen auch über 5000 Unternehmen gemacht und sich in die entsprechende Liste des US-Handelsministeriums eintragen lassen.

Der Europäische Gerichtshof (EuGH) hat jetzt genau diese Safe Harbor Entscheidung der Europäischen Kommission für ungültig erklärt. Die Urteilsbegründung stützt sich vor allem auf folgende Punkte:

US-Firmen können den geforderten Datenschutz gar nicht uneingeschränkt gewährleisten, da die Gesetze der Vereinigten Staaten und Erfordernisse der nationalen Sicherheit die Safe-Harbor-Regeln jederzeit außer Kraft setzen und den Zugriff auf die Daten erzwingen können. Der Gerichtshof bezieht sich offensichtlich auf das PRISM Überwachungsprogramm der NSA, wenn er feststellt, „dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt.“

Des Weiteren kritisiert der EuGH den fehlenden Rechtsschutz, weil die betroffenen Personen keine Möglichkeit haben, sich mit einem Rechtsbehelf Zugang zu ihren Daten zu verschaffen und deren Berichtigung oder Löschung zu erzwingen.

Abschließend stellt der EuGH noch fest, dass die Europäische Kommission mit der Safe Harbor Entscheidung ihre Kompetenzen überschritten hat, weil sie ungerechtfertigt den nationalen Datenschutzbehörden ihre Befugnisse entzogen hat.

Was tun?

Datenschützer empfehlen Unternehmen, die derzeit Dienste nutzen, bei denen personenbezogene Daten in den USA auf der Basis von Safe Harbor gespeichert und verarbeitet werden, sich um eine neue datenschutzrechtliche Regelung zu bemühen. Die Auswahl ist allerdings gering. Eine Möglichkeit wären die EU-Standardvertragsklauseln. Allerdings befürchten Datenschützer, dass auch diese nicht den vom EuGH formulierten Grundsätzen genügen.

Ein rechtkonformer Datentransfer in die USA wäre auch dann gegeben, wenn alle betroffenen Personen explizit und widerrufbar ihre Einwilligung dazu geben. Das dürfte aber in vielen Fällen nur schwer realisierbar sein.

Wer darauf spekuliert, dass die EU-Kommission und die USA schon rechtzeitig eine passende Lösung finden, könnte enttäuscht werden. Um die vom EuGH formulierten Kritikpunkte dauerhaft aus dem Weg räumen zu können, müssten die USA ihre eigene Gesetzgebung ändern, was so schnell sicher nicht passieren wird. Darüber hinaus sind deutsche Datenschutzbehörden auch jetzt schon verpflichtet, das Urteil umzusetzen, wie ein Beitrag auf tagesschau.de von gestern Abend erläutert. Wenn betroffene Mitarbeiter oder Kunden eines Unternehmens eine entsprechende Beschwerde einreichen, könnten auch schon vor Ablauf der Frist Abmahnungen drohen.

Damit bleibt nur die Alternative, sich nach einem anderen Dienstleister umzuschauen, der die Daten in Deutschland bzw. in einem anderen EU- oder EWR-Land speichert. Wer seine Daten noch besser vor dem Zugriff durch US-Behörden schützen will, sollte auch auf einen Firmensitz in der EU achten, denn nach aktueller Rechtslage reichen die Zugriffsrechte unter dem PATRIOT Act bis auf europäische Server.