Safe Harbor ist kein sicherer Hafen mehr!

(6.10.2015) Es Schottland_Islay_FOX_140927_424ist ein Paukenschlag, der nicht völlig überraschend kam: Der Gerichtshof der Europäischen Union (EuGH) hat das „Safe Harbor“-Abkommen zum Austausch von Daten zwischen den USA und der EU für ungültig erklärt (Urteil vom 6.10.2015, Rechtssache C-362/14).

Bei „Safe Harbor“ handelte es sich um ein Abkommen, das die EU-Kommission im Jahr 2000 mit den USA abgeschlossen haben. Demnach kann sich ein US-Unternehmen selbst zertifizieren und damit erklären, dass es „angemessene“ Datenschutzvorgaben beachtet. Das Abkommen war notwendig, weil die USA schon seit jeher als „unsicherer Drittstaat“ galten. Wenn personenbezogene Daten an eine Stelle in den USA übermittelt oder dort gespeichert werden, ist es deshalb notwendig, dass dafür eine zusätzliche, zweite Rechtsgrundlage vorhanden ist (2-Stufen-Prüfung). Eine Möglichkeit hierzu stellte bisher die „Safe Harbor“-Selbstzertifizierung dar – was insbesondere für Cloud-Angebote genutzt wurde.

Seit den Enthüllungen von Edward Snowden ist jedoch bekannt, dass in den USA kein ausreichender Schutz u.a. vor den Überwachungstätigkeiten der dortigen Behörden besteht. Deshalb erklärte der EuGH nun: „Die Entscheidung 2000/520 [Safe Harbor] ist ungültig.“

Wenn „Safe Harbor“ als Rechtsgrundlage entfällt, heißt das: Alle Datenübermittlungen in die USA, die auf dem Safe-Harbor-Abkommen beruhen, erfolgen nun rechtswidrig. Der deutsche Datenexporteur ist dafür verantwortlich, den rechtswidrigen Zustand zu beseitigen.

Setzt Ihr Unternehmen Verfahren ein, bei denen personenbezogene Daten auf Grundlage von „Safe Harbor“ an einen Empfänger in den USA übermittelt werden?

Falls ja, besteht Handlungsbedarf! Folgende Möglichkeiten bestehen:

Verzicht auf Datenübermittlung in die USA?
Soweit möglich, könnte versucht werden, personenbezogene Daten nicht mehr in den USA zu verarbeiten oder speichern zu lassen. In vielen Fällen wird dies jedoch keine Option sein und ist daher eher eine Überlegung theoretischer Natur.

Andere Rechtsgrundlage wählen:
„Safe Harbor“ ist nur eine von mehreren Möglichkeiten.
Als alternative Rechtsgrundlagen kommen in Betracht:

  • Abschluss eines EU-Standardvertrags: Darin verpflichtet sich der US-Datenverarbeiter vertraglich, bestimmte Regelungen zum Datenschutz einzuhalten. Die EU-Kommission hat Musterverträge herausgegeben, die von den Vertragsparteien individuell ergänzt werden müssen, aber ansonsten nicht verändert werden dürfen. Es handelt sich um ein Verfahren, das relativ schnell und einfach umgesetzt werden kann, wenn sich beide Seiten einig sind (wir stellen unseren Kunden die entsprechenden Vertragsmuster gern zur Verfügung).
    Es könnte sich herausstellen, dass in den meisten Fällen der EU-Standardvertrag die Safe Harbor Zertifizierung ersetzen wird.
  • Einwilligung des Betroffenen: Es müsste eine aktive Zustimmung jedes einzelnen Betroffenen eingeholt werden (Opt-in), dass er mit der Datenspeicherung in den USA einverstanden ist. Zum Beispiel im Arbeitsverhältnis kann eine solche Einwilligung jedoch in der Regel nicht wirksam erteilt werden und im Verkehr mit Endverbrauchern könnte sich diese Variante als recht aufwändig herausstellen. Insgesamt erscheinen zum jetzigen Zeitpunkt Einwilligungen der Betroffenen eher nicht die erste Wahl zu sein.
  • Binding Corporate Rules: Internationale Konzerne können verbindliche Konzernregelungen treffen und von allen beteiligten Datenschutz-Aufsichtsbehörden absegnen lassen. Das Verfahren ist jedoch aufwändig und langwierig – und wurde bisher erst von einigen wenigen Unternehmen durchgeführt. Übrigens: Binding Corporate Rules sind nicht zu verwechseln mit einem Code of Conduct oder Code of Ethics, wie er in vielen Konzernen schon gilt.
  • Erforderlichkeit zur Vertragserfüllung: Wenn die Datenübermittlung in die USA nur dazu dient, einen konkreten Vertrag mit dem Betroffenen zu erfüllen, ist eine Rechtsgrundlage automatisch gegeben (Beispiel: Buchung eines Hotelzimmers oder eines Flugs direkt in den USA). Dies dürfte aber nur in Einzelfällen eine Lösung sein.

Falls Ihr Unternehmen die Daten nicht selbst in die USA übermittelt, sondern ein Dienstleister: Es ist zu prüfen, ob die vertraglichen Vereinbarungen zwischen Ihrem Dienstleister und dem Subunternehmer datenschutzkonform sind (also z.B. ein EU-Standardvertrag abgeschlossen wurde).

Die EU und USA befanden sich schon vor dem Urteil in Verhandlungen über den transatlantischen Datenschutz. Es kann mit einem neuen „Safe Harbor-ähnlichen“-Abkommen gerechnet werden – einen Zeitplan dafür gibt es allerdings nicht. Bis dahin muss in jedem Einzelfall eine Alternative gesucht werden.

Nachfolgend Ergänzungen, die sich nach dem Versand dieses Newsletters ergeben haben:

Microsoft bietet in Kooperation mit der Telekom eine Infrastruktur, auf die nach jetzigem Kenntnisstand die US-Behörden keinen Zugriff erhalten können (weitere Informationen finden Sie z.B. unter http://m.welt.de/wirtschaft/webwelt/article148712634/Microsoft-fluechtet-in-den-deutschen-Datenbunker.html).

Überraschenderweise haben sich EU und USA gestern über eine Nachfolgeregel für „Safe Harbor“ geeinigt. Aber: Bis die neue Einigung in Kraft treten kann, werden noch Wochen vergehen.

Die Einigung bezieht sich lediglich auf Grundsätzliches. Der juristische Wortlaut muss noch erarbeitet werden. Zudem müssen am Ende der EU-Rat und das EU-Parlament zustimmen. Bis es soweit ist, gilt die alte Rechtslage weiter. Und die heißt: Datenübermittlungen nach dem alten Safe-Harbor-Abkommen sind weiterhin rechtswidrig.

Die nun beschlossene Einigung soll „Privacy Shield“ heißen und u.a. folgende Verbesserungen enthalten:

  • Beschwerdemöglichkeiten: EU-Bürger sollen sich bei einem Datenschutzverstoß zunächst direkt beim US-Unternehmen beschweren. Reagiert das Unternehmen nicht, kann über den heimischen Datenschutzbeauftragten das US-Handelsministerium eingeschaltet werden. Geschieht auch weiterhin nichts, wird in den USA ein neu zu schaffender Ombudsmann aktiv, der auch Klage einreichen kann.
  • Darüber hinaus soll es schriftliche Zusicherungen der US-Geheimdienste geben, sensible Daten von EU-Bürgern in den USA zu achten.

Ob diese Regelungen ausreichen, wird vermutlich durch Gerichte überprüft werden. Datenschützer sind skeptisch, ob der Schutz durch „Privacy Shield“ besser ist als durch „Safe Harbor“. Wir halten Sie auf dem Laufenden.

m Juli 2016 hat die EU-Kommission eine Adäquanz-Entscheidung zu Privacy Shield getroffen. Das heißt: Wenn Daten an einen Empfänger in den USA übermittelt werden und wenn sich dieser den Spielregeln des Privacy-Shield-Abkommens unterwirft, dann wird ein angemessenes Datenschutzniveau angenommen.

Privacy Shield ersetzt damit ab sofort das veraltete Safe Harbor.

US-Stellen müssen sich aber erneut und nach den neuen Regeln selbstzertifizieren. Nur dann, wenn Sie auf folgender Liste des US-Handelsministeriums stehen, können europäische Stellen von einer Privacy-Shield-Teilnahme ausgehen: https://www.privacyshield.gov/list

Verwandte Beiträge