EU-US Privacy Shield

Safe Harbor

UPDATE 05.08.2016

EU-US Privacy Shield: Bislang 34 zertifizierte US-Unternehmen

Die auf der Webseite der Federal Trade Commission veröffentlichte Liste (https://www.privacyshield.gov/list) zeigt alle derzeit zertifizierten Unternehmen. Zusätzlich zu den 34 gelisteten Unternehmen kommen Tochtergesellschaften hinzu (z.B. Microsoft mit 20 oder Vertical Screen mit 3 weiteren Unternehmen). Die Liste enthält zudem Informationen zum gewählten Anbieter der vorgesehenen Dispute Resolution. Für Beschäftigtendaten muss dies immer über die europäischen Datenschutzaufsichtsbehörden erfolgen.

 
 

UPDATE 13.07.2016

Webseite der EU-Kommission zum neuen EU-US-Privacy Shield online

Die EU-Kommission hat im Zuge der Vorstellung der am 12.Juli 2016 verabschiedeten Angemessenheitsentscheidung zu Datentransfers in die USA (EU-US-Privacy Shield) eine neue Infowebseite online gestellt. Das Informationsportal enthält Dokumente und Hintergrunderklärungen zum Inhalt der neuen Regelungen.

Hierzu zählen auch Informationen zum kürzlich unterzeichneten „Umbrella“-Agreement über den Datenaustausch zwischen Strafverfolgungsbehörden (der BVDW berichtete) sowie zur Datenschutzkonvention 108 des Europarats, welche sich derzeit ebenfalls in Überarbeitung befindet.

 

Links: ec.europa.eu/justice/data-protection/international-transfers/eu-us-privacy-shield/index_en.htm

 
 

UPDATE 08.07.2016

EU-Mitglieder einigen sich auf neues Privacy Shield

Die EU-Mitgliedsstaaten haben sich im Rahmen der Beratungen des sog. Art. 31 Ausschusses mehrheitlich für die Annahme des Entwurfstextes für eine neue Angemessenheitsentscheidung der EU-Kommission zum Datentransfer zwischen der EU und den USA (EU-US Privacy Shield) ausgesprochen. Das Votum ist verbindlich und muss nun von der EU-Kommission als Angemessenheitsentscheidung umgesetzt werden. Enthalten haben sich allerdings die Länder Österreich, Slovenien, Kroatien und Bulgarien. Die deutsche Bundesregierung hatte sich zuletzt erfreulich deutlich für eine zielführende Lösung im Sinne der digitalen Wirtschaft eingesetzt.

Damit ist nach langem Ringen der Weg frei für den dringend benötigten Safe-Harbor-Nachfolger. Der BVDW hatte zuletzt immer wieder für eine rechtssichere und praktikable Nachfolgeregelung plädiert. Das überarbeitungsbedürftige Safe Harbor Abkommen war im Oktober 2015 vom EuGH für ungültig erklärt worden

Lesen Sie hier unsere Stellungnahme zu dem gefundenen Ergebnis.

 

UPDATE 23.05.2016

Art. 31 Ausschuss verschiebt Stellungnahme zum Entwurf des neuen EU-US Privacy Shields

Auf seiner Sitzung am 19. Mai 2016 wollte der so genannte Art. 31 –Ausschuss zum vorliegenden Entwurf der EU-Kommission für eine Angemessenheitsentscheidung Stellung nehmen. Stattdessen wurde eine abschließende Äußerung verschoben. Der Ausschuss brauche mehr Zeit, um sich mit einigen Details der vorgeschlagenen Regelungen zur Gewährleistung eines angemessenen Datenschutzniveaus bei der Übermittlung personenbezogener Daten zwischen privaten Unternehmen aus der EU in die USA auseinanderzusetzen.

Der Ausschuss umfasst Vertreter der Mitgliedstaaten, die gemeinsam Entscheidungen treffen, wenn die Zustimmung der Mitgliedstaaten gemäß der noch geltenden EU-Datenschutzrichtlinie (95/46/EG) erforderlich ist. Dies ist – wie hier – beispielsweise der Fall in Verfahren für die Annahme von Angemessenheitsentscheidungen der EU-Kommission. Diese ist in dem Ausschuss zwar vertreten, hat aber kein eigenes Stimmrecht.

Im Gegensatz zu Entschließungen der Art.29-Datenschutzgruppe, welche zwar berücksichtigt werden müssen, ansonsten aber keine bindende Wirkung haben, bewirkt eine Ablehnung durch den Ausschuss jedenfalls eine Verschiebung der Kommissionsentscheidung um 3 Monate, es sei denn, der Rat fasst innerhalb dieser Zeit einen anderslautenden Beschluss.

Wie berichtet, hatte die Art.29-Datenschutzgruppe eine umfassende Stellungnahme veröffentlicht und Verbesserungen gefordert. Wichtig ist jedoch anzumerken, dass auch die Datenschützer davon ausgehen, dass die geforderten Nachbesserungen, vor allem bei den Ermessensausübungen der Kommission und bei Fragen des öffentlichen Zugriffs auf übermittelte Daten nichts an einer grundsätzlichen Tragfähigkeit des neuen Privacy Shields ändern.

Der BVDW hatte anlässlich mehrerer Gespräche sowohl mit Politik als auch Datenschützern für verlässliche und praxisnahe Bewertungen plädiert, um die neuen Regelungen alsbald und zukunftsfest für die Wirtschaft zu etablieren. Es muss künftig wieder möglich sein, Übermittlungen ad-hoc an zertifizierte Unternehmen in den USA zu tätigen. Darin lag bislang einer der großen Vorteile von Safe Harbor. Bis dahin gilt weiterhin: Datenübermittlungen zwischen Unternehmen der EU und den AUS auf Grundlage eines Vertrages, welcher EU-Standardklauseln zum Datenschutz enthält oder auf Grundlage verbindlicher Unternehmenskodizes (BCR) sind und bleiben rechtmäßig.

 
 

UPDATE 21.04.2016

Datenschutzkonferenz: Entschließung zu EU-US Privacy Shield und eigenem Klagerecht

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) hat am 20.April 2016 eine Entschließung zum geplanten EU-US Privacy Shield, unter welchem der Transfer personenbezogener Daten zwischen europäischen und nordamerikanischen Unternehmen künftig geregelt werden soll, veröffentlicht. Wie vor ihr bereits die Artikel-29-Datenschutzgruppe äußern die Datenschützer erhebliche Bedenken. Zudem wird ein eigenes Klagerecht gefordert. mehr

 
 

UPDATE 08.04.2016

Datenschutzkonferenz zum Entwurf der EU-Kommission für ein EU-US Privacy Shield

Unter dem Vorsitz des mecklenburg-vorpommerschen Datenschutzbeauftragten Reinhard Dankert hat die Konferenz der unabhängigen Datenschutzbehörden
des Bundes und der Länder (Datenschutzkonferenz) am 07./08.April 2016 in Schwerin getagt. Unter anderem wurde dort eine Entschließung hinsichtlich des Entwurfs der EU-Kommission für eine Adäquanzentscheidung zum EU-US Privacy Shield getroffen. mehr

 
 

UPDATE 21.03.2016

FTC veröffentlicht Fact Sheet zum EU-US Privacy Shield.

weitere Informationen

 
 

UPDATE 07.03.2016

Auswirkungen des Safe-Harbor-Urteils

Auswirkungen des Safe-Harbor-Urteils

Im Rahmen Informationsreihe EU-US Privacy Shield – Wie geht es weiter? erläutern Mitglieder der Fokusgruppe E-Mail im BVDW die Auswirkungen des Safe-Harbor-Urteils auf ihre jeweiligen Geschäftsmodelle.

Download

 

UPDATE 01.03.2016

EU-Kommission veröffentlicht Details zum geplanten EU-US Privacy Shield

Die EU-Kommission hat jetzt Details zum geplanten EU-US Privacy Shield veröffentlicht. Für alle Interessierten stellt der BVDW das umfangreiche Informationsmaterial zum Safe-Harbor-Nachfolgeabkommen zur Verfügung. Unter den Dokumenten finden sich diverse Schriftstücke sowie Briefe und Zusicherungen seitens der USA gegenüber der EU-Kommission. Darin werden u.a. Fragen des zukünftigen Zugriffs der US-Behörden auf Daten von EU-Bürgern, aber auch deren Rechtsschutzmöglichkeiten adressiert. Ebenfalls wird der neue Ombudsmann benannt sowie festgelegt, dass die Vereinbarung jährlich überprüft werden soll.

Dokumente zum EU-US Privacy Shield

 

 
 

UPDATE 25.02.2016

EU-Datenschutzreform und EU-US-Privacy-Shield: BVDW veranstaltet Informationsreihe zu neuen Datenschutzrahmenbedingungen

Das Jahr 2015 endete mit zwei rechtlich weitreichenden politischen Entscheidungen für die Digitale Wirtschaft: Der Außerkraftsetzung des Safe-Harbor Abkommens und die Einigung auf europaweit einheitliche Datenschutzregeln im Rahmen der EU-Datenschutzreform. Mit der am 2. Februar 2016 verkündeten Einigung über das Nachfolgeabkommen zu Safe Harbor – das EU-US-Privacy-Shield – soll jetzt zeitnah eine neue Rechtsgrundlage für den Datentransfer zwischen der EU und den USA geschaffen werden. Um Rechtsunsicherheit entgegenzuwirken und umfassend über die neuen Datenschutzrahmenbedingungen aufzuklären, startet der BVDW jetzt eine bundesweite Veranstaltungsreihe zum Thema „EU-US Privacy Shield und neue europäische Datenschutzregeln – Was erwartet die Digitale Wirtschaft?“

Die im März beginnende Veranstaltungsreihe mit Rechtsexperten und den Datenschutzbeauftragten der jeweiligen Bundesländer wendet sich an Unternehmen, für deren Geschäftsmodelle die Nutzung von Daten elementar ist. Das Programm sieht neben einer Podiumsdiskussion und zwei Impulsvorträgen vor allem auch den praxisnahen Austausch zwischen den Teilnehmern und Datenschutzexperten vor.

Die Informationsveranstaltungen ergänzen das umfangreiche Informationsangebot des BVDW zu den aktuellen Entwicklungen im Datenschutz. Auf seiner Webseite hat der Verband die wichtigsten Dokumente zusammengestellt und sämtliche für Unternehmen relevanten Informationen inklusive Handlungsempfehlungen übersichtlich aufbereitet. 

Weitere Informationen zum Programm und den Terminen

 
 

UPDATE 02.02.2016

EU-Justizkommissarin über den Abschluss der Verhandlungen der Europäischen Kommission mit den USA

Die EU-Justizkommissarin Vera Jourová hat am 02.02.2016 über den Abschluss der Verhandlungen der Europäischen Kommission mit den USA zu einer aktualisierten Vereinbarungsvoraussetzungen für den Datentransfer zwischen der EU und den USA informiert. Der neue Mechanismus soll den Namen "EU-US Privacy Shield" tragen. Das EU-US Privacy Shield soll die vom EuGH für ungültig erklärte Safe Harbor-Entscheidung ersetzen. Die darin ausgehandelten Regelungen sind im Detail nicht bekannt. Eine erste Textversion zum Abkommen soll allerdings bis Ende Februar 2016 vorgelegt werden.

Angesichts dessen hat sich die Art. 29-Datenschutzgruppe (die Datenschützer der EU-Mitgliedsstaaten) in ihrer Stellungnahme anlässlich des Treffens der europäischen Datenschützer am 2. Und 3. Februar in Brüssel darauf zurückgezogen, die Übersendung des Textes zu fordern, um diesen prüfen zu können. Die Alternativen zu Safe Harbor in Form von EU-Standardvertragsklauseln und Binding Corporate Rules hält die Art. 29-Datenschutzgruppe bis dahin nach wie vor für zulässig.

 
 

UPDATE 12.01.2016

Bundesregierung zu Auswirkungen der Safe-Harbor-Entscheidung des EuGH

Auf eine Kleine Anfrage hat sich die Bundesregierung erstmals zu den erwarteten Auswirkungen des Urteils des EuGH zu Safe-Harbor geäußert. Am 06.10.2015 hatte der Gerichtshof die Entscheidung der EU-Kommssion über die Gewährung eines angemessenenen Datenschutzniveaus auf Grundlage von Safe-Harbor-Zertifizierungen für Datenübermittlungen in die USA für ungültig erklärt. Übermittlungen an US-Unternehmen, welche ausschließlich auf Grundlage von Safe-Harbor stattfinden, sind seitdem unzulässig.

Die Kleine Anfrage enthält insgesamt 30 Fragen rund um das Thema Datentransfers von der EU in die USA. Die Antworten der Bundesregierung hieraus spiegeln letztendlich das wider, was derzeit zumindest grundsätzlich feststeht.

Alternative Übermittlungsgrundlagen

Datenübermittlungen an US-Unternehmen sind derzeit nur noch im Rahmen der verbliebenen rechtlichen Möglichkeiten erlaubt. Hierzu zählen insbesondere eine Übermittlung auf Grundlage eines Vertrages unter Verwendung von EU-Standardvertragsklauseln oder bei Einhaltung bestehender Binding Corporate Rules (BCR). Letzteres dürfte jedoch allenfalls für internationale Grußunternehmen relevant sein.

Eine konkrete Antwort dazu, ob die Bundesregierung die Ansicht teile, dass auch die Zulässigkeit der alternativen Übermittlungsgrundlagen im Lichte der EuGH-Entscheidung in Frage stehe, läßt sich dem Papier nicht entehmen. Verwiesen wird lediglich darauf, dass eine Überprüfung durch die Datenschutzbehörden jederzeit möglich, eine Ungültigkeitsentscheidung darüber jedoch nur vom EuGH zu treffen sei.

Die Einwilligung ist nach Einschätzung der Bundesregierung auch weiterhin ein geeignetes Intrument zur Rechtfertigung von Datenübermittlungen in die USA. Da sich der EuGH nicht zur Einwilligung geäußert habe bestehe keine Veranlassung, die gesetzlichen Regeln zu ändern.

Safe-Harbor 2.0

Mit Blick auf die seit 2014 laufenden Verhandlungen über ein neues Übermittlungsabkommen zwischen der EU-Kommission und den USA (Safe-Harbor 2.0) zeigt sich die Bundesregierung zuversichtlich, dass ein solches Abkommen auch unter Beachtung der seitens des EuGH aufgestellen Vorgaben möglich ist. Auf das derzeitge Datenschutzniveau innerhalb der EU und die vom EuGH geforderte Einhaltung der Grundrechte auch in den Mitgliedsstaaten selbst angesprochen, wird lediglich auf die gerichtliche Überprüfbarkeit dieser Standards verwiesen.

Die Bundesregierung prüft derzeit, welche der von ihr bzw. von Behörden in deren Geschäftsbereich genutzen Dienste von der Entscheidung betroffen sind.

Keine Auswirkungen auf andere Übermittlungen

Nach Auskunft der Bundesregierung sind Datenübermittlungen, welche auf Grundlage spezieller Abkommen erfolgen (etwa Bank-, oder Passagierdaten) nicht von der Entscheidung betroffen. Ebensowenig sieht die Bundesregierung einen Zusammenhang mit den Verhandlungen über einen Freihandel in Gestalt von TTIP oder CETA.

Das vollständige Dokument steht für Sie hier zum Download bereit.

 
 

UPDATE 01.12.2015

Safe Harbour 2.0 kommt

Die zuständige EU-Justizkommissarin Jourova hat am Montag eine Einigung mit den USA über ein neues Safe Harbour Abkommen für Januar 2016 angekündigt.

"Wir müssen eine Brücke zwischen unseren Datenschutzbehörden und jener der USA schlagen und das in einen rechtlich verbindlichen Text gießen." so Jourova gegenüber dem österreichischen Wirtschaftsblatt.

 
 

UPDATE 06.11.2015

Mitteilung der EU-Kommission zum Datentransfer EU-USA

Die Europäische Kommission hat heute die bereits angekündigte Mitteilung veröffentlicht, in der sie die Folgen der Safe Harbour Entscheidung des EuGH für den Transfer personenbezogener Daten aus der EU in die USA bewertet. Bemerkenswert ist dabei unter anderem, dass die Kommission - anders als die Datenschutz-behörden in einige EU-Mitgliedsstaaten - sog. Standard Contractual Clauses und auch Binding Corporate Rules nach wie vor als legale Möglichkeiten für den Datentransfer aus der EU in die USA hält. Im Einzelnen wird darauf hingewiesen, dass „nationale Behörden prinzipiell dazu verpflichtet sind, Standardvertragsklauseln zu akzeptieren.“ In der Folge könnten die nationalen Datenschutzbehörden den Datentransfer nicht ablehnen mit dem Argument, dass solche Standardklauseln nicht genug Sicherheit böten.

Die Mitteilung der Kommission ist zunächst nur in englischer Sprache verfügbar und wird in den nächsten Tagen übersetzt.

Den Text finden sie hier.

 
 

UPDATE 03.11.2015

Der BVDW informiert mit seiner Veranstaltung "Safe Harbor am Ende - Was kommt jetzt?" am 11. November 2015 in Hamburg umfassend über die Bedeutung und Auswirkungen des Urteils auf Geschäftsmodelle der Digitalen Wirtschaft sowie darüber, was Unternehmen nun tun müssen, um datenschutzrechtlich sicher zu agieren. Internationale Experten stehen Rede und Antwort u.a. zu folgenden Fragen:

  • Welche Geschäftsmodelle der Digitalen Wirtschaft sind von dem Urteil betroffen?
  • Was müssen Safe-Harbor-zertifizierte Unternehmen aus den USA nun tun?
  • Was bedeutet das Urteil für deutsche Unternehmen, die mit Safe Harbor Unternehmen in den USA zusammenarbeiten?
  • Was passiert mit den Daten aus dem Tagesgeschäft?
  • Welche anderen rechtlichen Möglichkeiten gibt es, um personenbezogene Daten auszutauschen?
  • Was braucht es für ein neues Safe Harbor 2.0 und wann kommt es?

Weitere Informationen zur Veranstaltung

 

UPDATE 26.10.2015

Die Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder hat heute eine gemeinsame Stellungnahme zu den Auswirkungen des EuGH-Urteils zu Safe Harbor veröffentlicht.

Darin begrüßen die deutschen Datenschützer zwar die von der Art.29-Gruppe gesetzte Frist zur Einführung neuer Leitlinien bis Ende Januar 2016 – aus dem Dokument läßt sich jedoch nicht entnehmen, dass sich die hiesigen Datenschutzbehörden an dies Zeitfenster halten wollen. Vielmehr wird mitgeteilt, auf Safe-Harbor gestützte Datenübermittlungen in die USA untersagt werden, soweit die Datenschutzbehörden Kenntnis über ausschließlich darauf gestützte Übermittlungen erlangen.

Zu den zentralen Aussagen der Datenschützer zählt weiter, dass derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (BCR) oder Datenexportverträgen erteilt werden sollen, diese Möglichkeit in Zukunft also ausgeschlossen wird. Im Gegenzug soll eine Einwilligung zum Transfer personenbezogener Daten unter engen Bedingungen eine tragfähige Grundlage sein können, solange der Datentransfer nicht wiederholt, massenhaft oder routinemäßig erfolgt.

 
 

Worüber hat hier der EuGH geurteilt?

Hintergrund des Urteils ist ein von dem Österreicher Maximilian Schrems gegen die irische Datenschutzbehörde geführtes Beschwerde-Verfahren. Darin geht es um Fragen des Datenschutzes bei der Nutzung des für Europa in Irland ansässigen sozialen Netzwerks Facebook Ltd.. Die irische Datenschutzbehörde (DPC) lehnte die Beschwerde unter Verweis auf eine existierende und verbindliche EU-Kommissionsentscheidung (2000/520/EC vom 26. Juli 2000) zur Zulässigkeit von Datenübermittlungen in die USA ab. Gegen diese Entscheidung klagte der Student zunächst vor dem irischen High Court. 

Dieser legte dem EuGH schließlich folgende Fragen zur Beantwortung vor:

  • 1. Ist eine Datenschutzbehörde, an die eine Beschwerde gerichtet wird, dass bestimmte Praktiken keinen angemessenen Datenschutz gewährleisten, immer an verbindliche EU-Entscheidungen (in diesem Fall die EU-Komm-Entscheidung (2000/520/EC vom 26.Juli 2000) gebunden?

  • 2. Oder muss/kann die Datenschutzbehörde aufgrund der tatsächlichen Entwicklungen selbst Nachforschungen anstellen, die sich seit der Veröffentlichung der EU-Komm-Entscheidung in der Zwischenzeit ergeben haben?

Die Befugnis der EU-Kommission, über das Vorliegen der Voraussetzungen für ein angemessenes Datenschutzniveau zu entscheiden, leitet sich aus Art. 25 (6) der Richtlinie 95/46/EG (EU-Datenschutzrichtlinie) ab. Darin ist bestimmt, dass:

  • „Die Kommission … nach dem Verfahren des Artikels 31 Absatz 2 feststellen [kann], dass ein Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die es insbesondere infolge der Verhandlungen gemäß Absatz 5 eingegangen ist, hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes Schutzniveau im Sinne des Absatzes 2 gewährleistet.“

Die Kommission kann feststellen, dass ein Drittland ein angemessenes Schutzniveau gewährleistet. In diesem Fall können personenbezogene Daten aus den Mitgliedstaaten übermittelt werden, ohne dass zusätzliche Garantien erforderlich sind.

In ihrer Entscheidung im Jahre 2000 hatte die EU-Kommission festgelegt, dass die vom US-Handelsministerium (Department of Commerce) am 21. Juli 2000 herausgegebenen "Grundsätze des 'sicheren Hafens' zum Datenschutz", für alle unter die Richtlinie 95/46/EG fallenden Tätigkeiten ein im Sinne des Artikels 25 Absatz 2 dieser Richtlinie angemessenes Schutzniveau für personenbezogene Daten gewährleisten, die von der Europäischen Union an in den Vereinigten Staaten niedergelassene Organisationen übermittelt werden.

Bezogen auf die Entscheidung der EU-Kommission zu Safe Harbor stellt das Gericht fest, dass der Entscheidung der EU-Kommission nicht zu entnehmen sei, dass sie ausreichende Gründe, die für die Sicherung eines den europäischen Datenschutzvorgaben entsprechenden Schutzniveaus feststellen konnte. Die amerikanische Safe-Harbor-Regelung ermöglicht Eingriffe der amerikanischen Behörden in die Grundrechte der Personen, wobei in der Entscheidung der Kommission weder festgestellt wird, dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt. Der Gerichtshof fügt hinzu, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt. Die Entscheidung sei daher wegen Verstoßes gegen die Vorgaben des Art. 25 (6) der EU-Datenschutzrichtlinie unwirksam. In seinem Urteil kommt der EuGH weiter zu dem Schluss, dass die Europäische Kommission auch nicht befugt ist, die Kontrollbefugnisse der Datenschutzbehörden einzuschränken. Dies leitet das Gericht ebenfalls aus Art. 8 Abs. 3 der EU-Grundrechtscharta ab, der sich mit dem Schutz personenbezogener Daten beschäftigt.

Den Volltext des Urteils in deutscher Sprache finden Sie hier.

 
 

Worin besteht die Besonderheit des Urteils?

Das Urteil des EuGH enthält – auch nach Aussage des juristischen Dienstes des EU-Parlaments im LIBE-Ausschuss – keine Feststellungen zu Datenschutzrechten in den USA bzw. den dortigen gesetzlichen Zugriffsvoraussetzungen.

Das Gericht hat allein konkret zu der in Rede stehenden EU-Kommissionsentscheidung betreffend die Safe Harbor Grundsätze Stellung zu den europäischen Mindeststandards im Datenschutz genommen und das Abkommen wegen fehlender Prüfungen der EU-Kommission gemessen an diesen Standards für ungültig erklärt. Die Feststellungen betreffen also die Fragen zu Rechtsschutzmöglichkeiten und Geheimdienstzugriff innerhalb der EU. Natürlich dürften Anlass für diese Erörterung nicht zuletzt die aufgedeckten Geheimdienstpraktiken weltweit sein. Mit Blick darauf ist Voraussetzung, dass

  • „dass das betreffende Drittland aufgrund seiner innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen tatsächlich ein Schutzniveau der Grundrechte gewährleistet, das dem in der Rechtsordnung der Union garantierten Niveau, wie es sich insbesondere aus den vorstehenden Randnummern des vorliegenden Urteils ergibt, der Sache nach gleichwertig ist.“

Diese Voraussetzung sah der EuGH bei der EU-Kommissionsentscheidung als nicht erfüllt an, weshalb diese für Safe Harbor ungültig sei.

Die Erlaubnis, die Gewährleistung des Datenschutzniveaus bei Datenübermittlungen in die USA über Safe Harbor zu sichern, ist nun weg. Betroffen sind in allererster Linie Kundengeschäfte, große Kundendatenbanken, CRMs etc. deren Daten in den USA lagern (entweder weil das Unternehmen dort sitzt oder der Cloud-Dienstleister dort Server hat) und diese Daten allein aus praktische Gründen – nicht wegen einer gesetzlichen Ausnahmeerforderlichkeit – dorthin übermittelt und gespeichert werden. 

 
 

Was gilt grundsätzlich für Datentransfers in Drittländer, speziell in die USA?

Für die Frage der Zulässigkeit ist zunächst zwischen Transfers innerhalb der EU und an andere Drittstaaten zu unterscheiden. Gemäß der Richtlinie 95/46/EG haben die Mitgliedstaaten vorzusehen, dass die Übermittlung personenbezogener Daten in ein Drittland nur zulässig ist, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet und die einzelstaatlichen Rechtsvorschriften zur Umsetzung anderer Bestimmungen der Richtlinie vor der Übermittlung beachtet werden.

Übermittlungen von in Deutschland erhobenen, personenbezogenen Daten an Länder innerhalb des Europäischen Wirtschaftsraumes (EWR) sind wie Übermittlungen im Inland zu behandeln. Neben den EU-Mitgliedsstaaten sind dies auch die Länder Island, Norwegen und Liechtenstein. Hier geht der Gesetzgeber auf Grundlage der Regelungen der EU-Datenschutzrichtlinie von 1995 (95/46/EG) davon aus, dass wegen der europaweit gleichen Prinzipien das gleiche Datenschutzniveau wie in Deutschland herrscht.

In den meisten Fällen werden Daten von Unternehmen an Dienstleister transerfriert, welche die Daten nach den Weisungen und Vorstellungen des Unternehmens verwaltet (Outsourcing). In diesem Falle bleibt das Unternehmen als verantwortliche Stelle „Herr“ der Daten. Es handelt sich nicht um eine Datenübermittlung sondern eine so genannte „Auftragsdatenverarbeitung (ADV)“. Für diese Fälle muss das Unternehmen einen Auftragsdatenverarbeitungsvertrag gemäß § 11 BDSG – der alle gesetzlich vorgeschriebenen Regelungen über den Datenumgang und die Datensicherheit enthält – schließen. Dies gilt allerdings nur für Verarbeitungen in Deutschland oder der EU bzw. ein Land, für welches ein angemessenes Datenschutzniveau attestiert wurde. 

In Drittländer ist die Übermittlung von Daten indes nur unter eingeschränkten Voraussetzungen möglich. Hier ist von Bedeutung, ob es sich bei dem betreffenden Land um ein nach Ansicht der EU-Kommission „sicheres“ oder „unsicheres“ Drittland handelt. Die Entscheidung darüber trifft die EU-Kommission (sog. Angemessenheitsentscheidung). Für Länder, denen die Einhaltung eines angemessenen Datenschutzniveaus ((§ 4b Abs. 2 Satz 2 BDSG)) attestiert wurde, gelten dann keine besonderen Regelungen mehr. Derzeit sind dies Andorra, Argentinien, Kanada, Schweiz, Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland und Uruguay.

Für die USA hat die EU-Kommission indes keine eigene Angemessenheitsentscheidung getroffen. Da in den USA keine gesetzlichen Regelungen existieren, die europäischem Datenschutzniveau entsprechen, ist ein Datentransfer grundsätzlich verboten. Die USA gelten diesbezüglich also als unsicherer Drittstaat. Um dennoch Datentransfers zu ermöglichen, wurde das so genannte Safe Harbor Abkommen geschlossen. 

 
 

Was gilt nach deutschem Recht für Übermittlungen personenbezogener Daten ins Ausland?

Es muss zunächst klargestellt werden, dass datenschutzrechtliche Regelungen nur dann greifen, wenn es sich bei den zu übermittelten Daten tatsächlich um personenbezogene Daten im Sinne des Datenschutzrechts handelt. Gemäß § 3 Abs. 1 des deutschen Bundesdatenschutzgesetzes (BDSG) sind personenbezogene Daten [sind] Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Zudem sind eine Reihe von Datenübermittlungen – wie zuvor auch - auch ohne Safe Harbor weiterhin zulässig. Übermittlungen in Drittstaaten richten sich in Deutschland nach § 4b BDSG. Achtung: Für die Übermittlung reicht auch die Zugriffsmöglichkeit. Eine Datenübermittlung liegt also auch dann vor, wenn der US-Dienstleister Zugriff auf Kunden- oder Mitarbeiterdaten eines deutschen Unternehmens hat. Es ist darüber hinaus wichtig zu wissen, dass nicht alle Datenübermittlungen in unsichere Drittstaaten immer unzulässig sind.

Nach § 4b Abs. 2 BDSG muss die Datenübermittlung in Drittstaaten unterbleiben

  • „soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den in Satz 1 genannten Stellen ein angemessenes Datenschutzniveau nicht gewährleistet ist“.

Der Nachweis war bislang z. B. durch Safe-Harbor-Zertifizierungen aber auch die Verwendung von EU-Standardvertragsklauseln mit dem Anbieter möglich.

Das Gesetz kennt aber auch Ausnahmen. Auch ohne Nachweis ist die Übermittlung nämlich in folgenden Fällen zulässig, nämlich:

  • „….sofern 

  • 1.der Betroffene seine Einwilligung gegeben hat,

  • 2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist,

  • 3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll,….“

Diese Ausnahmen betreffen eine ganze Reihe von Geschäftsmodellen, etwa einwilligungsbasierte Nutzer-Services, Direktverträge mit Nutzern oder den Datenaustausch mit angeschlossenen Dienstleistern, etwa bei der Zurverfügungstellung vertraglich geschuldeter Zusatzleistungen.

 
 

Worin bestanden bislang die „Safe Harbor“ Grundsätze?

Das „Safe Harbor“ genannte Abkommen betrifft alle Datenübermittlungen in die USA und beruht im Wesentlichen auf einem Fragenkatalog den jedes nordamerikanische Unternehmen, welches europäische Daten auf seinen Servern verarbeiten möchte. Es handelt sich im Grunde um eine Verständigungserklärung über die Akzeptanz der seitens des Departments of Commerce eigenständig entwickelten Kriterien zur Einhaltung bestimmter Datenschutzkriterien (daher Abkommen).

Das Abkommen sah bislang die Einhaltung der folgenden 7 Prinzipien vor, um von der Gewährleistung eines angemessenen Datenschutzniveaus ausgehen zu können:

  • 1. Informationspflicht: die Unternehmen müssen die Betroffenen darüber unterrichten, welche Daten sie für welche Zwecke erheben und welche Rechte die Betroffenen haben.

  • 2. Wahlmöglichkeit: die Unternehmen müssen den Betroffenen die Möglichkeit geben, der Weitergabe ihrer Daten an Dritte oder der Nutzung für andere Zwecke zu widersprechen.

  • 3. Weitergabe: wenn ein Unternehmen Daten an Dritte weitergibt, muss es die Betroffenen darüber und die unter 2. aufgeführte Wahlmöglichkeit informieren.

  • 4. Zugangsrecht: die Betroffenen müssen die Möglichkeit haben, die über sie gespeicherten Daten einzusehen und sie ggfs. berichtigen, ergänzen oder löschen können.

  • 5. Sicherheit: die Unternehmen müssen angemessene Sicherheitsvorkehrungen treffen, um die Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch zu schützen.

  • 6. Datenintegrität: die Unternehmen müssen sicherstellen, dass die von ihnen erhobenen Daten korrekt, vollständig und zweckdienlich sind.

  • 7. Durchsetzung: die dem Safe Harbor beigetretenen Unternehmen verpflichten sich zudem, Streitschlichtungsmechanismen beizutreten, so dass die Betroffenen ihre Beschwerden und Klagen untersuchen lassen können und ihnen im gegebenen Fall Schadensersatz zukommt.

Die Unternehmen mussten zudem die in einem Fragenkatalog zusammengestellten Anforderungen, die die genannten Prinzipien erläutern (FAQs) beachten und verbindliche Erklärungen gegenüber dem Department of Commerce über die Einhaltung all dieser Regelungen abgeben. Dieses veröffentlichte eine stetig aktualisierte Online-Liste aller demgemäß zertifizierten US-Unternehmen.

 
 

Wer ist betroffen und was ist nun zu tun?

Zunächst einmal müssen Unternehmen der digitalen Wirtschaft ihre Datenverarbeitungsprozesse darauf hin überprüfen, ob diese von den Auswirkungen der Safe Harbor Rechtsprechung des EuGH überhaupt betroffen sind. Das ist längst nicht überall der Fall und sollte nicht daher nicht zu vollständiger Verunsicherung führen.

Dazu gilt es folgende Fragen vorab zu klären:

  • 1. Erhebt bzw. übermittelt und verarbeitet das Unternehmen überhaupt personenbezogene Daten im Rahmen des konkreten Geschäftsvorgangs/konkreten Geschäftsmodells?

  • 2. Falls ja, ist für den konkreten Geschäftsvorgang/das konkrete Geschäftsmodell eine der im Gesetz auch für unsichere Drittsaaten gelten Ausnahme (siehe oben) einschlägig?

In allen verbleibenden Fällen, insbesondere, wo der Angemessenheitsnachweis allein auf Safe Harbor gestützt wurde ist nun dazu zu raten, auf andere anerkannte Maßnahmen zur Rechtfertigung des Datentransfers in die USA zurückzugreifen, etwa auf die sog. EU-Standardvertragsklauseln oder auf (von den Datenschutzbehörden zu genehmigende) verbindliche Konzernrichtlinien, sog. Binding Corporate Rules (BCR).

Es gibt also die folgenden Optionen:

  • 1. Abschluss eines Vertrages mit dem Dienstleister nach den EU-Standardvertragsklausen

  • 2. Entwicklung von BCR (Binding Corporate Rules) für Konzernunternehmen

  • 3. Einwilligung des Betroffenen einholen

All diese Alternativen sind jedoch nicht gleichwertig für jedes Geschäftsmodell anwendbar. So sind diejenigen Geschäftsmodelle, die keine Einwilligungsabfrage wegen der Natur des Dienstes vorsehen (Web-Analyse, Werbung) nicht in der Lage, solche zu generieren. Zudem sind für Information, Erhebung und Nachweis zur Einwilligung erhebliche Anforderungen zu beachten. Auch Binding Corporate Rules sind nur für große Unternehmen denkbar. Soweit noch nicht geschehen, müssen solche erst erstellt, mit den Datenschutzbehörden abgestimmt und schließlich umgesetzt werden. Ein langer, aufwändiger und kostenintensiver Prozess. 

Der Abschluss von Individualvereinbarungen nach EU-Standard ist hier also zunächst wohl die einzige Möglichkeit für die überwiegende Vielzahl der unmittelbar betroffenen Unternehmen. Praktischer Nachteil hier: Der ausländische Vertragspartner muss sich dann deutschem Recht und der deutschen Datenschutzaufsicht unterstellen, was eventuell auf Widerstand stoßen könnte.

 

Wie können Datenschutzbehörden reagieren?

Hat sich ein Unternehmen bislang nur auf Safe Harbor verlassen, ist diese Rechtsgrundlage für Datenübermittlungen in die USA nun ersatzlos entfallen. Sind keine anderweitigen Maßnahmen getroffen, dürfen Daten ab sofort nicht mehr an Server in den USA übertragen werden.

Die Datenschutzbehörden könnten nun einzelne Unternehmen bzw. Geschäftsmodelle prüfen und Nachweise über die Einhaltung der in § 4b und 4c BDSG niedergelegten Vorgaben fordern. Dort, wo die Datenübermittlung in ein Land, in welchem ein angemessenes Datenschutzniveau nicht gewährleistet ist erfolgen, ohne dass eine Ausnahme nach §4c BDSG (Einwilligung des Betroffenen, Erforderlichkeit für Vertragserfüllung, Erforderlichkeit für Vertragsschluss mit einem Dritten) vorliegt, können Sanktionen (Bußgeldverfahren) eingeleitet werden. Zuständig sind jeweils die Datenschutzbehörden der Länder.

Anmerkung: Datenschützer werden wegen ihrer Unabhängigkeit von EU-Entscheidungen zu diesem Thema künftig selbst einschätzen, ob die erforderlichen Voraussetzungen erfüllt sind. Der EuGH hat deutlich gemacht, dass nationale Datenschutzbehörden auch bei Vorliegen einer solchen Entscheidung eigene Befugnis haben, die Sicherstellung der Angemessenheit des Datenschutzniveaus selbst zu beurteilen. 

Dies kann dann auch einen Effekt auf die Beurteilung des Ausreichens von EU-Standardklauseln haben. Diese dürften – der Logik des EuGH folgend – dann wohl auch kaum helfen. Da der EuGH dies aber nicht mitentschieden hat (nicht konnte) und es dazu einer gerichtlichen Feststellung bedarf, sind die EU-Standardvertragsklauseln ebenso wie die BCR nach heutiger Beurteilung zunächst valide rechtliche Betätigungsgrundlage für Unternehmen. 

Die Artikel-29-Datenschutzgruppe hat in einer Mitteilung vom 16.Oktober 2015 Stellung zum Safe Harbor-Urteil des EuGH genommen. Darin stellt die Gruppe zunächst heraus, dass Kernelement der Analyse des Gerichtshofs die Frage einer massiven und anlasslosen Überwachung sei und die EU-Mitgliedsstaaten zusammen mit den US-Behörden schnellstmöglich rechtliche und technische Lösungsvorschläge diskutieren müssen. Diese Erörterungen könnten in ein neues Safe Harbor-Abkommen einfließen. Währenddessen will die Gruppe auch die verbliebenen rechtlichen Möglichkeiten für Datenübermittlungen in die USA – dazu zählen EU-Standardvertragsklauseln und Binding Corporate Rules – dahingehend überprüfen, ob diese weiterhin geeignet erscheinen.

Gleichzeitig kündigen die europäischen Datenschützer an "alle notwendigen und angemessenen Maßnahmen“ ergreifen zu wollen, sollte bis Ende Januar 2016 keine zufriedenstellende Lösung gefunden  werden und sich die untersuchten Transfermöglichkeiten ebenfalls als unzulässig erweisen. Angekündigt werden "koordinierte Durchsetzungsmaßnahmen", die bei Vorliegen von Beschwerden auch ab sofort ergriffen werden sollen.

 
 

Einschätzung BVDW zu Votum ULD Schleswig-Holstein

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat ein Positionspapier mit seiner (sehr eigenen) Einschätzung zu den Auswirkungen des EuGH-Urteils veröffentlicht. Das Papier ist hier abrufbar.

Die in dem Papier vertretenen Rechtsmeinungen dürften kaum der Praxis gerecht werden. Im Grunde geht das ULD davon aus, dass wegen des grundsätzlich nicht gleichwertigen Datenschutzniveaus in den USA neben Safe Harbor auch andere legale Möglichkeiten für rechtssichere Datenübermittlungen zwischen privaten Unternehmen unwirksam sein dürften. Das ULD geht sogar so weit anzunehmen, dass selbst eine – gemäß § 4c BDSG immer mögliche – Einwilligung eines Betroffenen nicht geeignet sei, eine Datenübermittlung zu legitimieren. Nach Meinung des ULD sollte der Datenstrom in die USA also abgeschaltet werden. 

Vor dem Hintergrund der rechtlichen Ausführungen des EuGH und auch im Hinblick auf die  tatsächlichen Gegebenheiten des weltweiten Datenverkehrs ist diese Auslegung des Urteils durch das ULD viel zu weitgehend. Nach unserer Ansicht ist diese Interpretation des ULD mit dem Tenor der Entscheidung des EuGH nicht zu vereinbaren. 

 
addthis.combluedot.usdel.icio.usdigg.comgoogle.comMister WongYiggIt