FAQ Safe Harbor

Safe Harbor ist passé. Das hat der Europäische Gerichtshof (EuGH) am 6.10.2015 entschieden. Damit ist die Übermittlung personenbezogener Daten in die USA, die allein auf die Geltung der Safe-Harbor-Regeln gestützt werden, illegal. Die Entscheidung wirft viele Fragen für deutsche und europäische Unternehmen auf. Unternehmen sind verunsichert. Alle wesentlichen Fragen zum EuGH-Urteil, seinen Folgen und dem Safe-Harbor-Nachfolger "Privacy Shield" haben Martin Schirmbacher und Daniel Schätzle in FAQ zu Safe Harbor beantwortet.

Inhaltsverzeichnis

Warum ist eine Datenübertragung in die USA problematisch?

Das deutsche Datenschutzrecht geht davon aus, dass eine Übermittlung von personenbezogenen Daten an Stellen außerhalb des EWR (also der EU + Island, Lichtenstein und Norwegen) nicht erfolgen darf, wenn der Betroffene ein schutzwürdiges Interesse am Ausschluss der Übermittlung hat. Das ist insbesondere dann anzunehmen, wenn bei dem Unternehmen, an das die Daten übermittelt werden sollen, ein angemessenes Datenschutzniveau nicht gewährleisten ist.

Es gibt einige Länder, bei denen die EU-Kommission ein angemessenes Datenschutzniveau anerkannt hat. Diese werden datenschutzrechtlich als so genannte sichere Drittländer bezeichnet. Eine Übermittlung von personenbezogenen Daten an Unternehmen in diesen Ländern ist unter den selben Voraussetzungen zulässig, wie an Unternehmen innerhalb Deutschlands. Die USA gehören jedoch nicht zu diesen anerkannten sicheren Drittländern.

Was war Safe Harbor?

Besteht in einem Staat kein angemessenes Datenschutzniveau, kann ein solches dennoch angenommen werden, wenn eine Vereinbarung mit der EU besteht, die ein angemessenes Datenschutzniveau sicherstellt und die Daten empfangende Stelle sich dieser Vereinbarung unterwirft. Das Safe Harbor-Abkommen ist eine solche Vereinbarung. US-Unternehmen, die sich den in dem Abkommen vereinbarten Safe Harbor-Prinzipien unterwerfen, galten bisher als Unternehmen mit einem angemessenen Datenschutzniveau. Dazu mussten sich die ausländischen Unternehmen dem Verfahren unterwerfen und erhielten ein Zertifikat von einer Gültigkeitsdauer von einem Jahr, das ihnen die Einhaltung der EU-Standards bescheinigte. Ob ein Dienstleister mit Sitz in den USA Safe-Harbour-zertifiziert war, ließ sich auf der beim US Department of Commerce geführten Liste entnehmen.

Durch Safe Harbor konnte daher bis zu der Entscheidung des Europäischen Gerichtshofes (EuGH) eine Datenübertragung an Unternehmen in die USA gerechtfertigt werden (EuGH-Urteil vom 6.10.2015, Az. C-362/14).

Welche Länder gelten als sichere Drittländer?

Die Angemessenheit des Datenschutzniveaus wird in einem förmlichen Verfahren durch die EU-Kommission anerkannt. Zu den so genannten sicheren Drittländer gehören neben der Schweiz und Kanada auch Israel, Argentinien, Andorra, Färöer, Guernsey, Isle of Man, Jersey, Australien, Neuseeland und Uruguay. Die USA gehören gerade nicht zu den sicheren Drittländern.

Was genau hat der EuGH in Sachen Safe Harbor entschieden?

In dem Urteil ging es darum, ob die irische Datenschutzbehörde auf Beschwerde eines Bürgers hin prüfen muss, ob Facebook personenbezogene Daten in die USA übertragen darf. Die Behörde hielt sich nicht für berechtigt, dies zu prüfen, weil Facebook den Safe Harbor Regeln unterworfen sei und die Safe Harbor Bedingungen einhalte. Dabei bezogen sich die irischen Datenschützer auf die Safe Harbor Entscheidungen der EU-Kommission, wonach die Übertragung von Daten in die USA in Ordnung ist, wenn das betreffende Unternehmen die Safe Harbor Regeln vollständig einhält. Die Sache gelangte zum irischen High Court und von dort zum EuGH.

Der EuGH hat entschieden, dass die irische Datenschutzbehörde prüfen durfte und musste, ob im Falle von Facebook ein hinreichendes Datenschutzniveau gegeben war. Die Safe-Harbor-Entscheidungen der EU-Kommission seien unwirksam. Es liege nicht allein deshalb eine rechtmäßige Datenübertragung vor, weil Facebook an Safe Harbor angeschlossen ist.

Zur Begründung bezieht sich der EuGH darauf, dass die EU-Kommission keine derart weitreichenden Befugnisse habe. Außerdem schlössen die Vereinbarungen über Safe-Harbor mit den USA einen Zugriff staatlicher Behörden, etwa der NSA, nicht aus. Zudem seien gegen Eingriffe in die Rechte von Bürgern keine Rechtsbehelfe gegeben.

Mit der EuGH-Entscheidung entfällt damit die Vermutung der Einhaltung der EU-Datenschutzregeln für diese Unternehmen. Auf ein Safe Harbor Zertifikat allein kann die Datenübertragung in die USA nicht mehr gestützt werden.

Wen betrifft das Urteil des EuGH?

Mit dem EuGH-Urteil wurde die Safe-Harbor-Entscheidung der EU-Kommission für unwirksam erklärt. Folglich kann eine Übermittlung von personenbezogenen Daten in die USA nicht mehr darauf gestützt werden, dass das Daten empfangene US-Unternehmen Safe-Harbor zertifiziert ist. Dies gilt nicht nur für eine tatsächliche Weitergabe von personenbezogenen Daten, sondern umfasst auch die bloße Gewährung einer Zugriffsmöglichkeit in der Weise, dass die Daten eingesehen oder abgerufen werden können. Betroffen sind damit alle deutschen Unternehmen, die sich eines US-Dienstleisters bedienen, an den personenbezogene Daten übermittelt werden oder der auf solche zugreifen kann. Gleichzeitig müssen sich aber auch US-Unternehmen, die entsprechende Dienstleistungen anbieten, mit der Entscheidung befassen. Das können zum Beispiele Anbieter für E-Mail-Marketing-Kampagnen oder CRM-Lösungen aus den USA ebenso sein, wie US-Anbieter von Cloud-Speicherplatz oder Plattformbetreiber.

Welche Alternativen gibt es nun?

Es gibt verschiedene Möglichkeiten, schnell für eine datenschutzkonforme Datenübermittlung zu sorgen. Häufig werden aber nicht alle Varianten wirklich in Betracht kommen.

  • Möglichkeit 1: Sitz innerhalb der EU oder in einem sicheren Drittland
    Es kann natürlich ein deutscher Dienstleister eingesetzt werden, der eine Speicherung der Daten in Deutschland zusichert. Das gleiche gilt für alle Dienstleister mit Sitz innerhalb der EU bzw. des EWR. Für deren Mitgliedstaaten wird ein angemessenes Datenschutzniveau angenommen. Hinzu kommen noch Staaten, die als sichere Drittländer anerkannt sind. Immerhin denkbar ist, dass U.S.-Dienstleister in Zukunft lokale Datenverarbeitung durch eine EU-Gesellschaft anbieten.
  • Möglichkeit 2: Abschluss von EU-Standardvertragsklauseln
    Ein angemessenes Datenschutzniveau kann auch dadurch sichergestellt werden, dass sich der Dienstleister vertraglich den wesentlichen Regelungen der EU zum Datenschutz unterwirft. Die EU hat zu diesem Zweck drei Standardvertragswerke entwickelt, derer sich die Unternehmen bedienen können. Wichtig ist, dass von den Standardwerken nicht abgewichen wird. Anderenfalls entfällt die Privilegierung und ein sicheres Datenschutzniveau kann nicht angenommen werden.
  • Möglichkeit 3: Abschluss eines individuellen Vertrags mit dem Dienstleister
    Denkbar ist auch, mit dem Dienstleister einen individuellen Vertrag zu schließen, der von den Standardvertragsklauseln abweicht. Ein solcher Vertrag muss ein angemessenes Datenschutzniveau garantieren. Darin muss sich der Dienstleister auf die Einhaltung der wesentlichen Bestimmungen des deutschen Datenschutzrechts verpflichten und die Einhaltung in geeigneter Weise garantieren. Dies hilft aber nur, wenn die zuständige Datenschutzbehörde in Deutschland den Vertrag ausdrücklich genehmigt hat. Ein solches Prozedere ist mit erheblichem Aufwand und der Unsicherheit verbunden, dass die Behörde die Freigabe nicht erteilt. Dieser Weg bietet sich nur an, wenn ein anderer Weg nicht zum Erfolg führt. In der Praxis kommt diese Lösung allenfalls bei Verträgen in Betracht, die nicht Standardverträge sind. Man muss schon ein sehr großer Kunde sein, damit sich U.S.-Unternehmen auf den Abschluss von individuell ausgehandelten Verträgen einlassen.
  • Möglichkeit 4: Einwilligung der Datenübermittlung in die USA
    Stets zulässig ist die Übertragung von Daten an Unternehmen in den USA, wenn der Betroffene wirksam eingewilligt hat. Dies ergibt sich aus § 4c BDSG. Die Anforderungen an eine transparente Information und darauf beruhende Einwilligung sind jedoch hoch. Eine bloße Änderung der Datenschutzbestimmungen genügt jedenfalls nicht. Es bedarf einer transparenten Information des Kunden auch über die Risiken der Übermittlung von Daten in die USA, zudem muss dem Kunden eine echte Wahlmöglichkeit gegeben werden. Eine „untergeschobene Einwilligung“ würden die Datenschutzbehörden nicht akzeptieren. Willigt der Kunde nicht ein, muss der Datentransfer unterbleiben.
  • Möglichkeit 5: Zur Vertragserfüllung notwendige Datenübermittlungen
    Schließlich sind Konstellationen denkbar, bei denen ein Vertrag zwischen einem Kunden und einem deutschen Unternehmen geschlossen wird, für dessen Erfüllung eine Datenübermittlung erforderlich ist. Wer seinen New York-Besuch über ein Reisebüro plant, geht selbstverständlich davon aus, dass Daten an das gebuchte Hotel übermittelt werden. Gleiches gilt etwa bei Arbeitsverträgen über eine internationale Tätigkeit im Konzern. Derartige Ausnahmefälle unterliegen dem Grundsatz der Erforderlichkeit. Nur wenn die Übermittlung zur Erreichung der Vertragsziele absolut zwingend ist, lässt sich eine datenschutzkonforme Übermittlung annehmen. Damit sind der Anwendungsbereich der Ausnahme sowie der Umfang der Daten, die hierauf gestützt übermittelt werden dürfen, sehr begrenzt. Zudem muss der Auslandsbezug für den Kunden bereits bei Vertragsschluss erkennbar sein. Damit kommt eine Berufung auf die Ausnahmen für in der Vergangenheit geschlossene Verträge nur schwerlich in Betracht.

Was hat es mit den Standardvertragsklauseln auf sich?

Grundsätzlich kann eine zuständige Aufsichtsbehörde Datenübermittlungen in Drittländer ohne angemessenes Datenschutzniveau genehmigen, wenn ausreichende Garantien zum Datenschutz abgegeben werden. Die EU-Kommission hat drei Versionen für Standardvertragsklauseln verabschiedet, die entsprechend ausreichende Garantien enthalten. Eine Version aus dem Jahr 2001 und eine aus dem Jahr 2004 werden dabei alternativ für Datenübermittlungen an Drittländer verwendet, wobei die Version aus 2004 als wirtschaftsfreundlicher gilt. Für Online-Marketing-Dienstleister dürften dagegen die Standardvertragsklauseln für Auftragsdatenverarbeiter die richtige Alternative sein. Unterzeichnet der Dienstleister und hält er sich anschließend an die Vorgaben des Vertrages, stehen einer Übermittlung der Daten ins Ausland Interessen der Kunden nicht entgegen. Allerdings ist damit zu rechnen, dass sich der EuGH in nicht allzu ferner Zukunft auch mit den Standardvertragsklauseln beschäftigen wird. Es ist nicht ausgeschlossen, dass auch hierbei Vorbehalte bestehen. Jedenfalls sind die Datenschutzbehörden auch bei Verwendung der Standardvertragsklauseln berechtigt, die Rechtmäßigkeit des Datentransfers in die USA zu prüfen. Gleichwohl bieten die Standardvertragsklauseln weiterhin eine vernünftige Möglichkeit, einen legalen Datentransfer in die USA sicherzustellen.

Inwiefern können die Standardvertragsklauseln angepasst werden?

Grundsätzlich führt eine Anpassung oder Änderung der Standardvertragsklauseln dazu, dass die Genehmigungspflicht wieder auflebt. Teilweise werden jedoch Anpassungen für möglich gehalten, ohne dass es einer behördlichen Genehmigung bedarf. Dies ist etwa dann der Fall, wenn Anpassungen eindeutig zu Gunsten des Betroffenen ausfallen. Weitere Anpassungen und Änderungen sind denkbar, wenn diese die eigentlichen Standardvertragsklauseln inhaltlich nicht berühren und im Falle von Widersprüchen vorrangig gelten. Allerdings wird in diesem Zusammenhang von den Aufsichtsbehörden gefordert, dass es vorab eine Abstimmung mit der zuständigen Datenschutzbehörde gibt. Dies würde dann allerdings faktisch zu einer Genehmigungspflicht Ebene führen.

Safe Harbor wird Privacy Shield!

Safe Harbor ist tot. Allerdings befindet sich die EU-Kommission bereits seit längerem in Verhandlungen mit den USA über eine neue Version eines Safe Harbor Abkommens. Die von den europäischen Datenschutzbehörden gesetzte Frist zum 31.1.2016 hat großen zeitlichen Druck in diese Verhandlungen gebracht. Am 2.2. hat die zuständige EU-Kommissarin Věra Jourová eine Einigung mit den US-Stellen verkündet. Einzelheiten sind am 29.2. verkündet worden.

Neu ist zunächst der Name. Es gibt kein Safe Harbor 2.0. Die neue Vereinbarung wird EU-US Privacy Shield heißen. Aus den Verlautbarungen der Beteiligten auf U.S.-Seite (siehe auch das Factsheet des Depatment of Commerce) und in Europa ergibt sich Folgendes:

  • U.S.-Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten wollen, müssen sich auf die Einhaltung von Datenverarbeitungsstandards verpflichten („strong obligations and robust enforcement“). Das U.S. Department of Commerce soll insbesondere die Veröffentlichung dieser Verpflichtung überwachen. Entscheidungen europäischer Datenschutzbehörden müssen beachtet werden.
  • Der Zugriff von U.S.-Behörden auf Daten von EU-Bürgern soll klaren Grenzen unterworfen sein. Hierzu gebe es eine schriftliche Versicherung der U.S.-Stellen. Dabei soll ein Verhältnismäßigkeitsgrundsatz gelten. Eine anlasslose Massenüberwachung von in die USA übertragenen Daten soll es nicht geben.
  • EU-Bürger, die sich durch amerikanische Behörden in ihren Rechten verletzt sehen, sollen in Zukunft eine Reihe von Rechtsschutzmöglichkeiten haben. Dazu zählt auch die Anrufung eines neu geschaffenen Ombudsmannes und eine kostenfreie alternative Streitbeilegung. Auch die EU-Datenschutzbehörden sollen weitergehende Rechte erhalten und sich mit Beschwerden insbesondere an das Department of Commerce und die FTC wenden können. Insofern können sich EU-Bürger auch an ihre okalen Behörden wenden.
  • Die Vereinbarung und ihre Umsetzung soll einmal im Jahr überprüft werden.

Mit diesen Verlautbarungen ist der Weg zu einem neuen Abkommen noch nicht zu Ende. Die USA müssen die sie betreffenden Teile der Vereinbarung implementieren. Präsident Obama hat bereits den Judicial Redress Act unterzeichnet, der EU-Bürgern für den Fall von Datenschutzverletzungen ein Klagerecht in den USA geben soll. Die EU-Kommission hat einen Entwurf einer neuen Angemessenheitsentscheidung (PDF) vorgelegt. Diese Kommissionsentscheidung hält nach 129 Erwägungsgründen in Art. 1 Abs. 1 fest, dass U.S.-Unternehmen, die sich den Bedingungen des Privacy Shield unterwerfen, ein angemessenes Datenschutzniveau gewährleisten. Eine Übertragung von Daten an diese Unternehmen ist damit zulässig. Bis zu der Verabschiedung der Kommissionsentscheidung ist noch Art. 29 Arbeitsgruppe anzuhören.

Die EU-Datenschutzbehörden haben in einer Stellungnahme vom 3.2.2016 zunächst angekündigt, die Einzelheiten des Privacy Shield prüfen zu wollen. Bis zu einer entsprechenden Äußerung der Arbeitsgruppe sollen Datentransfers auf Basis von Standard Clauses und Binding Corporate Rules weiterhin als zulässig gelten.

Wie es derzeit aussieht, kann das Privacy Shield aber in Zukunft ein handhabbarer Ersatz für Safe Harbor werden. Schon jetzt ist aber damit zu rechnen, dass auch das Privacy Shield vor den EuGH getestet werden wird. Hinzu kommt, dass durch die alljährliche Review das Privacy Shield mit dem Damoklesschwert der Unwirksamkeit leben muss. Rechtssicherheit für Unternehmen, die Daten in die USA transferieren müssen, sieht anders aus. Zunächst aber muss der nun vorliegende Text gelesen und bewertet werden.

Welche Kritik wird am Privacy Shield geübt?

Ein Nachfolgeabkommen zu Safe Harbor wird überwiegend begrüßt. Gleichzeitig wurden bereits unmittelbar nach Verkündung der Einigung auf ein Privacy Shield mit den USA Zweifel geäußert, ob dieses überhaupt geeignet ist, ein angemessenes Datenschutzniveau herzustellen (z.B. vom ehemaligen Bundesdatenschutzbeauftragten Peter Schaar). Auch der Entwurf einer Angemessenheitsentscheidung der EU-Kommission für das Privacy Shield wird von verschiedenen Seiten kritisch gesehen.

  • Die Art. 29 Arbeitsgruppe hatte bereits am 3.2.2016 in einer Stellungnahme angekündigt, dass sie eine Prüfung des Privacy Shield vornehmen werde. Die EU-Kommission hatte zuvor darauf hingewiesen, dass sie der Art. 29 Gruppe eine entsprechende Gelegenheit zur Stellungnahme gebe. Die Stellungnahme der Art. 29 Arbeitsgruppe zum Entwurf einer Angemessenheitsentscheidung für ein EU-US Privacy Shield wurde schließlich am 13.4.2016 veröffentlicht. Die Stellungnahme leitet zwar damit ein, dass das vorgeschlagene Privacy Shield eine erhebliche Verbesserung gegebüber Safe Harbor darstellt. Allerdings macht das Dokument auf 58 Seiten deutlich, dass erhebliche Nachbesserungen gefordert werden. Die Kritik reicht von Forderungen nach klaren und ausreichend bestimmten Formulierungen über die bessere Sicherstellung des datenschutzrechtlichen Grundsatzes der Erfoderlichkeit bis hin zu einer unzureichenden Begrenzung staatlichen Zugriffs. Zudem werden Bedenken hinsichtlich des vorgesehenen Ombudsmannes und seiner Durchsetzungsmöglichkeiten angemeldet.
  • Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder tagte am 6./7. April 2016. In einer Pressemitteilung wird betont, dass es nach wie vor zahlreiche offene Frage gebe. Zudem werde man sich nachdrücklich für eine unmissverständliche Stellungnahme der Art. 29 Arbeitsgruppe einsetzen. Zudem wurde auf der Website des Landesbeauftragten für den Datenschutz Baden-Württemberg ein Beschluss "Mandat für die Vertreter Deutschlands in der Artikel-29-Gruppe" veröffentlicht. In dem Beschluss wird darauf hingewiesen, dass ein dringender Nachbesserungsbedarf bestehe, der eine zustimmende Stellungnahme ausschließe. Sollte der vorliegende Entwurf der EU-Kommission ohne Anpassungen verabschiedet werden, wird eine Überprüfung durch den EuGH befürwortet. Hierzu könnten Datenschutzbehörden entsprechende Musterklagen anstreben. Zudem wird in dem Beschluss darauf gedrängt, dass die Art. 29 Arbeitsgruppe sich zu der weiteren Anwendbarkeit von Standardvertragsklauseln und verbindlichen Unternehmensregelungen äußert. Interessanterweise ist das Dokument zwischenzeitlich nicht mehr auf der Seite abrufbar. Möglicherweise gab es bereits einen Ausblick auf die seinerzeit zu erwartende Stellungnahme der Art. 29 Arbeitsgruppe und die Veröffentlichung war nicht abgestimmt. Der Beschluss kann jedoch nach wie vor über delegedata.de abgerufen werden.
  • Der Verbraucherzentrale Bundesverband e.V. (vzbv) forderte in einer Pressemitteilung am 6.4.2016 ebenfalls, dass an dem Datenschutzabkommen nachgebessert wird. Hierzu wird auf eine Analyse und Bewertung des EU-US Privacy Shield verwiesen. Das Dokument bescheinigt, dass das Privacy Shield kein angemessenes Datenschutzniveau für in die USA übermittelte personenbezogene Daten gewährleistet.
  • Das Centrum für Europäische Politik (cep), selbst als europapolitischer Think Tank der gemeinnützigen Stiftung Ordnungspolitik beschrieben, veröffentlichte im April 2016 eine Studie "Privacy Shield: Kein ausreichender Datenschutz im unsicheren Hafen USA", die sich ausführlich und kritisch mit dem Privacy Shield auseinandersetzt. Die Studie kritisiert einen unzureichenden Schutz vor staatlichen Zugriffen der US-Behörden. Zudem seien die nun vorgesehenen Rechtsschutzmöglichkeiten und Kontrollmechanismen unzureichend. Weiterhin sieht die Studie es als problematisch an, dass das Abkommen auf bloßen in Briefen gemachten Zusicherungen basiert, deren Bindungswirkung fraglich ist. Schließlich wird es als erforderlich angesehen, dass das Privacy Shield bereits jetzt an der voraussichtlich ab Mitte 2018 geltenden Datenschutzgrundverordnung ausgerichtet wird, um späteren Anpassungsbedarf und erforderlichen Nachverhandlungen zu vermeiden.
  • Die Bundesregierung äußert sich dagegen in der Antwort auf eine kleine Anfrage der Grünen zu den Konsequenzen des Safe Harbor-Urteils durchweg positiv zum Privacy Shield

Wie gehen U.S.-Dienstleister mit dem Urteil um?

US-Unternehmen reagieren unterschiedlich auf das EuGH-Urteil. Zum Teil wurde bereits am Tag des Urteils angeboten, Zusatzvereinbarungen zu schließen, die den EU-Standardvertragsklauseln entsprechen. Andere wiederum wollen schnellstmöglich Rechenzentren innerhalb der EU eröffnen bzw. bestehende Kapazitäten ausbauen. Andere tun sich schwer und haben (noch) nicht geäußert bzw. berufen sich weiterhin auf die Safe Harbor-Zertifizierung.

Wie reagieren die Datenschutzbehörden auf das Urteil?

  • Die Art. 29 Arbeitsgruppe, ein inoffizieller Zusammenschluss der Datenschutzbehörden der EU-Länder, hat sich zeitnah im Anschluss an das Schrems-Urteil geäußert. Unmittelbar nach Verkündung des Privacy Shield haben die europäischen Datenschützer eine weitere Erklärung abgegeben. Danach gilt mit Blick auf Urteil und den weiteren Transfer von personenbezogenen Daten in die USA Folgendes:
    • Wesentlicher Punkt des Urteils: massive und anlasslose Überwachung durch U.S.-Behörden
    • Safe Harbor Zertifikat kann einen Daten-Transfer nicht mehr rechtfertigen
    • Safe Harbor 2.0 bzw. Privacy Shield kann eine Lösung sein, es kommt aber auf die Einzelheiten der Ausgestaltung an
    • Standardvertragsklauseln und Binding Corporate Rules können bis zu einer detaillierten Prüfung durch die Art. 29 Gruppe zunächst weiterhin als Basis für einen Datentransfer dienen
    • Datenschutzbehörden kann eine eigenständige Prüfung nicht verwehrt werden
  • Auch die deutschen Aufsichtsbehörden hatten sich bereits im Anschluss an die EuGH-Entscheidung auf eine gemeinsame Position geeinigt. Im Anschluss an die Verkündung des EU-US-Privacy-Shield wurde eine weitere Erklärung veröffentlicht. Im Ergebnis entsprechen die Äußerungen der deutschen Datenschützer im Wesentlichen denen der Art. 29 Arbeitsgruppe:
    • Eine Datenübermittlung in die USA kann nicht mehr allein auf Safe Harbor gestützt werden kann. Soweit Datenschutzbehörden Kenntnis über ausschließlich auf Safe-Harbor gestützte Datenübermittlungen in die USA erlangen, werden sie diese untersagen. Der Hamburgische Datenschutzbeauftragte hat nach Medienberichten bereits Bußgeldverfahren gegen Unternehmen eingeleitet, die einen Datentransfer ausschließlich auf ein altes Safe-Harbor-Zertifikat stützen.
    • Auch die Zulässigkeit der Datentransfers in die USA auf Grundlage von Standardvertragsklauseln oder Binding Corporate Rules (BCR) steht in Frage. Bis zu einer anderweitigen Äußerung der Art. 29 Arbeitsgruppe kann jedoch davon ausgegangen werden, dass ein Datentransfer auf Basis von Standardvertragsklauseln oder BCR durch die deutschen Behärden nicht sanktioniert wird.
    • Die Behörden werden Datentransfers in die USA eigenständig und unabhängig von etwaigen Kommissionsentscheidungen prüfen.
    • Neue Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (BCR) oder Datenexportverträgen sollen derzeit nicht erteilt werden.
    • Einwilligungen können nur unter engen Bedingungen Grundlage für den Transfer personenbezogener Daten sein. Grundsätzlich darf der Datentransfer jedoch nicht wiederholt, massenhaft oder routinemäßig erfolgen. Beim Export von Beschäftigtendaten oder wenn gleichzeitig auch Daten Dritter betroffen sind, könne die Einwilligung nur in Ausnahmefällen eine zulässige Grundlage für eine Datenübermittlung in die USA sein.
  • Das Unabhängige Landeszentrum für Datenschutz ULD - Schleswig-Holstein veröffentlichte ein Positionspapier, wonach auch Datentransfers auf Basis der EU-Standardvertragsklauseln unwirksam seien. Eine "Schonfrist" bis Februar 2016 gebe es nicht (14.10.2015).
  • Der Bayerische Datenschutzbeauftragte hat bekundet, vorerst keine Maßnahmen ergreifen zu wollen und dass Unternehmen prüfen sollten, ob EU-Standardvertragsklauseln oder Binding Corporate Rules eine Alternative sind (19.10.2015). Sanktioniert werde aber, wenn eine andere Rechtfertigung für den Datentransfer in die USA als Safe Harbor nicht exisitiere (4.2.2016).
  • Der Datenschutzbeauftrage Rheinland-Pfalz stellt Wirksamkeit der EU-Standardvertragsklauseln in Frage, geht jedoch von einem Tätigwerden erst ab Februar 2016 aus (26.10.2015).
  • Der Landesdatenschutzbeauftragte Nordrhein-Westfalen bezieht Stellung zum Positionspapier, EU-Standardvertragsklauseln sind vorerst zulässig, bis auf Ausnahmen kein Tätigwerden bis Ende Januar 2016.
  • Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit erkennt die Nutzung von EU-Standardvertragsklauseln vorerst als gültig an. Gegen Unternehmen, die im Anschluss an das Safe-Harbor-Urteil ihre Datentransfers in die USA weiterhin allein auf Safe Harbor stützen, hat die Behörde Bußgelder verhängt. 
  • Der Hessische Datenschutzbeauftragte hat am 4.2. explizit darauf hingewiesen, dass Unternehmen, die weiterhin auf der Grundlage von Safe Harbor Daten transferieren, mit Sanktionen rechnen müssen.
  • Die niedersächsische Datenschutzbeauftragte hat bekundet, dass auch bei einer Übermittlung auf Grundlage von Einwilligungen, EU-Standardvertragsklauseln oder Binding Corporate Rules die Sicherheit der Daten gefährdet sei. Die Unternehmen seien jetzt in der Pflicht, Datentransfers legal auszugestalten (19.1.2016).
  • Die Sächsische Datenschutzbehörde hat mit Frist zum 15.3.2016 Auskunftsersuchen an lokale Unternehmen verschickt (8.2.2016).
  • Eine Übersicht zu den Reaktionen der Landesdatenschutzbehörden bzgl. des Positionierungspapiers der Datenschutzkommission erhalten Sie hier.
  • Die derzeitige Vorsitzende der Art. 29 Arbeitsgruppe, die Chefin der französischen Datenschutzbehörde CNIL, hat in einem Interview klargestellt, dass die Ankündigung des ULD, Standardvertragsklauseln nicht mehr zu genehmigen, insofern irreführend ist, als es dafür keiner Genehmigung bedarf. In einer Stellungnahme im Anschluss an die Presseberichte zum Privacy Shield vom 3.2.2016 hat die Art. 29 Arbeitsgruppe bekundet, die Einzelheiten prüfen zu wollen und jedenfalls bis zum Abschluss dieser Prüfungen Datentransfers auf Basis von Standard Clauses oder BCR als zulässig anzusehen.
  • Auch der Schweizerische EDÖB hat bekundet, dass das Safe-Harbor-Abkommen keine ausreichende Grundlage für den Transfer von Personendaten in die USA bietet (22.10.2015). Für die Zwischenzeit empfiehlt der EDÖB, beim Datenaustausch mit US-Unternehmen vertragliche Garantien zu vereinbaren. Damit könne zwar das Problem unverhältnismäßiger Zugriffe durch U.S.-Behörden nicht gelöst, das Datenschutzniveau aber immerhin verbessert werden.
  • Die Österreichische Datenschutzbehörde verweist auf die Ungültigkeit der Safe Harbor-Entscheidungen und bestätigt die grundsätzliche Zulässigkeit des Einsatzes von Binding Corporate Rules und der Standardvertragsklauseln. Allerdings behält sie sich jeweils eine Prüfung im Einzelfall vor und verweist auf ein Genehmigungsverfahren (18.10.2015).

Was sagt die EU-Kommission?

  • Reaktion der EU-Kommission auf das Safe Harbor Urteil:
    • Die Kommission geht davon aus, dass die Datenschutzbehörden der Mitgliedsstaaten dazu verpflichtet sind, Standardvertragsklauseln als legitime Möglichkeit für den Datentransfer in Drittländern anzuerkennen 
    • Sofern Ausnahmen i.S.d. Art. 26 Abs. 1 Datenschutzrichtlinie (95/46/EC) greifen, bleiben sie bestehen. Das Exportland von Daten hat nicht dafür zu sorgen, dass das Importland ausreichende Sicherungen im Bereich Datenschutz aufweist.
    • Datenschutzbehörden der Mitgliedsstaaten müssen weiterhin unabhängig handeln. Sie dürfen jedoch bei Datenübertragungen, deren Grundlage beispielsweise Standartvertragsklauseln oder eine Angemessenheitsentscheidung der Kommission sind, lediglich auf ihre Rechtmäßigkeit prüfen. Liegt ein solcher Fall vor, so muss der Datenschutzbehörde die Möglichkeit vom Staat gewährt werden, vor Gericht zu klagen. Sie darf keine verbindliche Entscheidung treffen. 
    • Die Kommission hat am 29.2.2016 Einzelheiten zum EU-US Privacy Shield als Nachfolgemodell für Safe Harbor vorgestellt.

Was sagt die Bundesregierung zum Safe-Harbor-Urteil?

Die deutsche Bundesregierung hat sich in der Antwort auf eine kleine Anfrage der Linken-Fraktion zu den Konsequenzen aus dem Urteil geäußert und Folgendes festgehalten:

  • Ein allein auf Safe-Harbor gestützter Datentransfer in die USA ist unzulässig.
  • Eine Übermittlung aufgrund von Standardvertragsklauseln oder Binding Corporate Rules bleibt zulässig.
  • Auch aufgrund einer freiwilligen und transparent erteilten Einwilligung kann ein Datentransfer vorgenommen werden.
  • Keine Hoffnung macht die Bundesregierung der Bundesdatenschutzbeauftragten mit Blick auf deren Ausstattung: Die Behörde sei derzeit finanziell, personell und technisch ausreichend ausgestattet. 

Welche Konsequenzen drohen?

Auch wenn der allgemeine Medienrummel um Safe-Harbor und Privacy Shield übertrieben scheint, dürfen deutsche Unternehmen das Thema nicht einfach ignorieren. Die Safe-Harbor-Privilegierung ist weggefallen. Eine Übertragung von personenbezogenen Daten an amerikanische Unternehmen ist ohne eine Alternativlösung illegal. Gleiches gilt für den Zugriff auf solche Daten durch U.S.-Dienstleister. Die betroffenen Unternehmen – und zwar sowohl der deutsche Datenexporteur, als auch der U.S.-Dienstleister – verstoßen damit gegen die einschlägigen Datenschutzgesetze.

Dabei ergeben sich insbesondere für die Betroffenen bestimmte Rechte, gegebenenfalls sogar Schadensersatzansprüche. Zudem drohen ganz konkret Bußgelder der deutschen Datenschutzbehörden. Die Hamburgische Datenschutzbehörde hat entsprechende Bescheide bereits verschickt. Diese können theoretisch bis zu 300.000,- Euro betragen, liegen in der Regel aber deutlich darunter.

Dürfen deutsche Auftraggeber Verträge mit U.S.-Dienstleistern kündigen, wenn diese sich nicht auf eine Alternativlösung einlassen?

Grundsätzlich können Dauerschuldverhältnisse stets aus einem wichtigen Grund gekündigt werden. Ein wichtiger Grund dürfte vorliegen, wenn sich nun herausstellt, dass ein angemessenes Datenschutzniveau nicht gewährleistet ist. Verweigert ein US-Dienstleister die Unterstützung bei der Suche nach einer Alternative, etwa die Unterzeichnung von EU-Standardvertragsklauseln, kommt daher eine fristlose Kündigung in Betracht. Gegen das Vorliegen eines wichtigen Grundes spricht allenfalls, dass bereits unter Geltung von Safe Harbor ja gerade kein angemessenes Datenschutzniveau herrschte, wie der EuGH nun entschieden hat. Zudem ist dies auch im Hinblick auf die Standardvertragsklauseln fraglich. Andererseits ist nun die formale Grundlage für die Übermittlung weggefallen. Vielfach werden den Verträgen mit U.S.-Dienstleistern U.S: Recht zugrunde liegen. Doch auch nach amerikanischem Recht können Dauerschuldverhältnisse bei Vorliegen eines wichtigen Grundes grundsätzlich gekündigt werden.

6. Juni 2016