Tipp KW 03 – 2016

Folgen des Safe Harbor Urteils des EuGH

Nach deutschem und auch europäischem Datenschutzrecht darf eine Übermittlung personenbezogener Daten in ein Drittland zum Beispiel zum Zwecke der Auftragsdatenverarbeitung außerhalb der EU/EWR nur erfolgen, wenn sichergestellt ist, dass dort ein angemessenes Datenschutzniveau herrscht. Die EU-Kommission hat die Angemessenheit für einige Länder verbindlich festgestellt. Für die USA gibt es einen solchen Feststellungsbeschluss nicht. Seit 2000 gibt es jedoch die sog. Safe Harbor Vereinbarung zwischen der EU-Kommission und der US Federal Trade Commission (FTC) nach der sich US-Unternehmen zur Einhaltung bestimmter Datenschutzgrundsätze verpflichten. Durch Safe Harbor war es europäischen Unternehmen möglich rechtssicher personenbezogene Daten in die USA zu übertragen.

Im Oktober 2015 urteilte der EuGH, dass die Entscheidung 2000/520 der EU-Kommission aus dem Jahr 2000, mit der das durch Safe Harbor hergestellte Datenschutzniveau als angemessen anerkannt wurde, ungültig ist. Die Kommission wäre dazu verpflichtet gewesen, vor Inkrafttreten von Safe Harbor zu prüfen, ob das US-Recht überhaupt ein angemessenes Datenschutzniveau zulässt. Der EuGH legt im Rahmen des Urteils strenge Prüfmaßstäbe fest, die bei der Safe Harbor Entscheidung nicht erfüllt wurden.

Aus formalen Gründen ist die Safe Harbor Entscheidung daher rückwirkend ungültig. Betroffen sind alle Unternehmen, die selbst oder über Dienstleister personenbezogene Daten an Unternehmen in den USA übermitteln und sich bisher auf Safe Harbor gestützt haben. Zwar genießen Unternehmen für die Vergangenheit einen Vertrauensschutz, zukünftige Datenübermittlungen auf Basis dieser Rechtsgrundlage sind jedoch nicht mehr zulässig.

Die nationalen EU-Datenschutzbehörden (Artikel 29 Gruppe) haben sich auf eine Umstellungsfrist bis Ende Januar 2016 geeinigt. Obwohl die Aufsichtsbehörden in den EU-Mitgliedstaaten an diese Vorgabe nicht gebunden sind, ist bis dahin eher nicht mit Kontrollen zu rechnen.

Betroffene Unternehmen sollten jetzt prüfen, welche der bisherigen Datenübertragungen auf Safe Harbor gestützt wurden. Dabei gilt es auch zu prüfen, ob in eigenen Datenschutzerklärungen auf Safe Harbor hingewiesen wurde, um diese entsprechend anzupassen.

Für die betroffenen Datenübermittlungen ist im Anschluss zu prüfen, welche alternativen Rechtsgrundlagen geschaffen werden können. Zulässig bleibt die Datenübertragung, wenn sie zur Erfüllung des Vertrages zwischen dem Betroffenen und der verantwortlichen Stelle erforderlich ist. Im Rahmen der Auftragsdatenverarbeitung kommt diese Rechtsgrundlage regelmäßig nicht zur Anwendung. In diesem Anwendungsfall kommt zum einen die ausdrückliche Einwilligung des Betroffenen in die Datenübermittlung in Frage. Diese dürfte aber regelmäßig an dem damit verbundenen hohen Aufwand scheitern. Zum anderen kann sich die verantwortliche Stelle als Rechtsgrundlage auf EU-Standardklauseln stützen. Mit Verwendung dieser Mustervertragsklauseln in den Verträgen mit dem datenverarbeitenden Unternehmen in den USA kann ein angemessenes Datenschutzniveau für den Datentransfer geschaffen werden. Sofern diese Klauseln unverändert übernommen werden, bedarf es keiner zusätzlichen Genehmigung durch die Datenschutzbehörden.

Sollen Daten nur in den USA gespeichert werden (Cloudlösung) ohne dort zusätzlich be- oder verarbeitet zu werden, kommen auch technisch-organisatorische Maßnahmen zur Anonymisierung oder Verschlüsselung in Frage, um ein angemessenes Datenschutzniveau zu gewährleisten.

Betroffene Unternehmen sollten Rücksprache mit den betroffenen Dienstleistern halten und auf diesem Weg herausfinden, was diese anbieten, um zukünftig eine rechtskonforme Nutzung zu gewährleisten. Die US Unternehmen, die bisher auf der Basis von Safe Harbor ihre Leistungen anboten, haben zum Teil bereits Lösungen implementiert, um auf dieser Basis auch zukünftig, die rechtskonforme Datenübermittlung in die USA zu ermöglichen.

– Felix Prömel (Junior Berater)
junokai