Nach dem ersten Beitrag zum Thema fragen uns viele Website-Nutzer, wie es denn nun mit Safe-Harbour weitergeht. Unser Gastautor Rechtsanwalt Dr. Wulf gibt einen aktuellen Statusbericht mit ersten Meinungen der Datenschutzbehörden.
Inhalt
Das Urteil
Der EuGH hat mit Urteil vom 06.10.2015 (Az. C-362/14) entschieden, dass das Safe-Harbour-Abkommen zwischen der EU und den USA unwirksam und jede allein hierauf gestützte Übermittlung personenbezogener Daten auf US-Server fortan nicht mehr rechtskonform ist, somit Datenschutzbehörden eigenmächtig entscheiden könnten, ob die jeweilige Übermittlung zulässig ist oder nicht. Zur Begründung führt der EuGH aus, dass aufgrund der derzeitigen US-Gesetzeslage durch staatliche Einrichtungen jederzeit auf diese Daten zugegriffen werden könne, was den Datenschutz aushebeln würde. Die USA verfügt also nicht mehr über das erforderliche, angemessenes Datenschutzniveau.
Was genau ist nun verboten?
Folgende Handlungen sind für deutsche Unternehmen ab sofort grundsätzlich unzulässig:
- Nutzung von US-Cloudangeboten, soweit die personenbezogenen Daten auf US-Servern gehostet werden (Google Drive, Microsoft Azure, Microsoft Skydrive, Apple iCloud, Saleforce, Dropbox, WhatsApp, WordPress.com etc.)
- Hochladen von Mitarbeiter- oder Kundendaten auf US-Server von (Konzern-) Gesellschaften
- Gewährung von Datenzugriff auf eigene Server durch US- (Konzern-) Gesellschaften
Im Kern geht es daher technisch darum, dass personenbezogene Kunden-, Lieferanten- oder Mitarbeiterdaten von deutschen Unternehmen auf US-Servern gespeichert werden. Die Zuwiderhandlung gegen das Verbot einer Übermittlung an Staaten ohne angemessenes Datenschutzniveau ist mit Bußgeld bis zu EUR 300.000,- bedroht (!)
Einwilligung
Kann man das Problem mit einer Einwilligung lösen? Leider nein, denn dafür müssten Sie von jedem betreffenden Mitarbeiter oder Mitarbeiter des Kunden/Lieferanten, deren Daten von Ihnen gespeichert werden, eine eigene Einwilligung einholen, was praktisch unmöglich sein dürfte. Zudem kann eine solche Einwilligung jederzeit widerrufen werden. Auch die Datenschutzbehörden sehen die Einwilligung als Ersatz für Safe Harbour als problematisch an. Sie benötigen daher eine gesetzliche Erlaubnis zur Übermittlung der Daten; dies war bislang die Safe-Harbour-Entscheidung der EU-Kommission.
Was sagen die Datenschutzbehörden?
Die Datenschutzbehörden haben sich noch nicht auf eine gemeinsame Vorgehensweise nach dem EuGH-Urteil verständigt. Die Art.29-Gruppe – ein Zusammenschluss der nationalen Datenschutzbehörden innerhalb der EU – wird wohl in Kürze eine Stellungnahme vorlegen. Die deutschen Datenschutzbehörden halten sich ebenfalls zurück. Es gibt einerseits Anzeichen dafür, dass einige Landesbehörden bis zum Abschluss des neuen Safe Harbour Abkommen (wird derzeit verhandelt) damit einverstanden sind, dass die Datenübermittlung in der Zwischenzeit auf EU-Standardvertragsklauseln gestützt wird (Duldung).
Andererseits hat heute Vormittag die Datenschutzbehörde in Schleswig-Holstein (ULD) deutlich gemacht, dass auch die Verwendung von Standardvertragsklauseln die Datenübermittlung nicht rechtfertigen würde, somit sogar mit Bußgeldern zu rechnen sei.
Ich gehe daher davon aus, dass es zu unterschiedlichen Auslegungen innerhalb der deutschen Datenschutzbehörden kommen wird, so dass etwa die Behörde in Bayern die Standardvertragsklauseln dulden könnte, während Schleswig-Holstein die Klauseln nicht akzeptiert und erste Bußgelder festsetzt.
Der Hamburgische Datenschutzbeauftragte Prof. Kaspar hat offenbar noch nicht entschieden. Es bleibt zu hoffen, dass dieser zunächst eine Duldung aussprechen wird.
Daher mein Vorschlag zur Vorgehensweise:
Ich gehe davon aus, dass die Verhandlungen zwischen USA und EU nun mit deutlich höherem Tempo geführt werden. Die US-Regierung müsste sich jedoch verpflichten, auf Datenbestände von EU-Bürgern in den USA zukünftig nicht mehr zuzugreifen, was wohl unwahrscheinlich ist, zumindest nicht ohne vorherige Gesetzesänderung, wonach es derzeit nicht aussieht. Ich habe dennoch Hoffnung, dass es hier eine Einigung geben wird.
Bis dahin bleibt es bei meiner Empfehlung:
Wenn Sie – in welcher Konstellation auch immer – eigene Mitarbeiter- oder Kundendaten auf US-Servern speichern oder US-Gesellschaften Zugriff auf eigene Server gewähren, dann sollten Sie prüfen, ob die Datenübermittlung ausgesetzt werden kann (Best Case). Sollte dies nicht oder nur unter erheblicher Beeinträchtigung der internen Geschäftsabläufe möglich sein, so sollte man die Datenübermittlung – unter Kenntnis der Tatsache, dass die Behörden dies bei einer etwaigen Prüfung wohl nicht akzeptieren – zumindest auf Standardvertragsklauseln aufbauen.
Das Formular mit den Standardvertragsklauseln muss UNVERÄNDERT unterzeichnet werden, damit es die gewünschte Wirkung entfalten kann. Die Klauseln finden Sie hier, unterteilt in Controller/Controller (der Datenempfänger führt eigene Aufgaben mit den Daten durch) und Controller/Processor (reines Hosting). Drucken Sie diese aus, füllen die entsprechenden, offenen Felder aus, setzen die Unterschrift einer vertretungsberechtigten Person darunter und senden das Vertragsformular an das US-Unternehmen mit der Bitte um Gegenzeichnung und Rücksendung.
Soweit es sich um ein größeres Unternehmen handelt (Salesforce und Microsoft unterzeichnen diese Verträge mit größeren Unternehmen nach meiner Kenntnis inzwischen ohne Weiteres), dürfte dieses bereits informiert sein, so dass nicht mit großen Problemen zu rechnen ist. Zudem sollten Sie die ergänzenden Anforderungen der Aufsichtsbehörden umsetzen.
Wichtige Ausnahme: Sollten Sie in der Vergangenheit bereits in unzulässiger Weise personenbezogene Daten übermittelt haben und haben Sie infolgedessen eine Unterlassungserklärung abgegeben oder gar eine behördliche Verfügung oder ein Gerichtsurteil kassiert, dann wäre auch die Verwendung von Standardvertragsklauseln für Sie gefährlich. Verzichten Sie in diesem Fall vollständig auf die Nutzung von US-Servern.
Und was ist mit der Privatnutzung?
Wenn Sie US-Angebote wie iCloud, Whatsapp oder Dropbox privat nutzen, dann haben Sie bei Installation eine Einwilligung in die Übermittlung ihrer eigenen Daten gegeben. Hier droht kein Bußgeld. Problematisch wird es nur, wenn Sie als Unternehmen personenbezogene Daten von Dritten (also Mitarbeitern oder Mitarbeitern der Kunden/Lieferanten) in US-Clouddiensten verwenden.