Der Europäische Gerichtshof (EuGH) hat heute entschieden, dass Transfers von personenbezogenen Daten in die USA nicht mehr auf Grundlage des „Safe Harbor”-Abkommens erfolgen dürfen (EuGH, 06.10.2015 – C-362/14; Pressemitteilung; Volltext).
Das Urteil mag eine große Bedeutung für viele Unternehmen haben. Für die meisten von Ihnen wird es sich jedoch kaum auswirken, da Sie auch vorher rechtswidrig gehandelt haben.
In dem folgenden Beitrag fasse ich die rechtlichen Fragen zu der EuGH-Entscheidung zusammen. Zwecks Verständlichkeit gehe ich nicht auf alle Details ein und vereinfache ein wenig. Details und Hintergründe zu dem, von Max Schrems angestoßenen Verfahren, finden Sie in der Linkliste am Ende des Beitrags.
Was muss bei Datentransfers an Dritte beachtet werden?
Bevor das Safe-Harbor-Verfahren überhaupt relevant wird, müssen die Grundsätze für Datentransfers betrachtet werden.
Sie dürfen personenbezogene Daten Ihrer Kunden, Nutzer oder Mitarbeiter (so genannte „Betroffene“) an Dritte grundsätzlich nicht übermitteln. Es sei denn, die Betroffenen haben eingewilligt oder Sie haben mit den Dritten einen Auftragsdatenverarbeitungsvertrag gem. § 11 BDSG abgeschlossen (ich kürze das als ADV-Vertrag ab).
In einem ADV-Vertrag verpflichten sich die Dritten (z.B. Anbieter von Webservern, Software as a Service, Werbeagenturen, Online-Tools, etc.), die erhaltenen Daten u.a. nicht für andere Zwecke zu nutzen sowie notwendige technisch-organisatorische Schutzmaßnahmen zu befolgen (dazu mein Beitrag im t3n-Magazin).
Solche ADV-Verträge sind aber nur mit Dritten möglich, die in der EU ansässig sind (§ 3 Abs.8 BDSG). Jedoch können vergleichbare Verträge mit Hilfe so genannter Standardvertragsklauseln zumindest mit Unternehmen abgeschlossen werden, die Daten in einem Land mit einem hinreichenden Datenschutzniveau verarbeiten (§§ 4b, 4c BDSG).
Über ein hinreichendes Datenschutzniveau verfügen außerhalb der EU jedoch nur wenige andere Staaten, wie z.B. Australien, Neuseeland, Kanada, Israel, Schweiz, oder Uruguay. Die USA gehören nicht dazu, weswegen das Safe-Harbor-Abkommen im Sinne eines „sicheren Hafens für Daten“ abgeschlossen wurde.
[sc name=“tshinweisboxBEGIN“]Ausnahmen im Rahmen von Geschäftsbeziehungen: Die Übermittlung von personenbezogenen Daten in die USA ist ebenfalls zulässig, wenn sie notwendig ist, um vertragliche Verpflichtungen zu erfüllen. Das kann z.B. der Fall sein, wenn ein Shopanbieter die Lieferadresse eines Käufers in Deutschland an den Lieferanten der Ware in den USA übermittelt (s. § 4 c Abs.3 Nr.1 BDSG).[sc name=“tshinweisboxEND“]
Welche Vorteile bot das Safe-Harbor-Abkommen?
Die EU-Kommission hat mit den USA im Jahr 2000 ein Abkommen unterzeichnet, wonach sich US-Unternehmen verpflichten konnten den EU-Datenschutzstandards zu genügen, um eine Safe-Harbor-Zertifizierung zu erhalten. Damit galt ihr Datenverarbeitung als dem EU-Datenschtzniveau entsprechend, so dass die Übermittlung von Daten erleichtert war.
Diese Selbstverpflichtung war lt. EU-Datenschützern jedoch praktisch nicht das „Papier“ wert auf dem sie stand. Es stellte sich heraus, dass die Zertifikate nicht geprüft wurden oder dass die US-Unternehmen die Daten wider den EU-Datenschutzvorgaben auswerteten. Das Fass brachten letztendlich die Datenzugriffe der Geheimdienste zu überlaufen (NSA-Skandal).
Was bedeutet das Ende von Safe Harbor?
Als Folge entschied der EuGH nun, dass das Safe-Harbor-Abkommen für die Zukunft keine Wirksamkeit besitzt, weshalb auch die bisher angewandten Standardvertragsklauseln angezweifelt werden müssen. Das Ergebnis ist eine große Unsicherheit bei den Unternehmen.
Als einzig sichere Alternative kommen daher die Einwilligungen der betroffenen Kunden/Nutzer/Mitarbeiter in Frage, die jedoch praktisch schwer umzusetzen sind. Sie dürfen z.B. nicht in den AGB „versteckt“ werden, müssen also ähnlich wie Newsletteranmeldungen per Kontrollkästchen erklärt werden. Ferner muss den Einwilligungen eine ausführliche Darstellung der übermittelten Daten, ihrer Zwecke und der mit ihrer Übermittlung verbundenen Risiken vorgehen. Daneben sind auch „Binding Corporate Rules“ möglich, d.h. selbstverpflichtende Unternehmensrichtlinien.
In den meisten Fällen, wird der Wegfall von Safe Harbor jedoch bedeuten, dass rechtswidrige Praktiken „lediglich“ ein Stück mehr rechtswidrig werden.
Haben Sie bisher rechtmäßig gehandelt?
Wenn Sie auch bisher mit US-Dienstleistern keine Verträge über eine den EU-Vorgaben entsprechende Datenverarbeitung im Auftrag abgeschlossen hatten, dann handelten Sie ohnehin rechtswidrig. Das wird m.E. bei 99,99% der Datentransfers der Fall sein, da US-Unternehmen außerhalb von größeren unternehmerischen Kooperationen, keine solchen Verträge anboten. In vielen Fällen waren die Unternehmen nicht mal Safe-Harbor-zertifiziert (das waren nur größere Anbieter wie Facebook, Google, Dropbox, Automattic, etc.).
Das heißt, wenn Sie Social Plugins auf Ihrer Website einsetzen, Analysewerkzeuge aus den USA verwenden, Kundendaten in der Dropbox lagern oder Workflows Ihrer Mitarbeiter mit US-Tools optimieren, handelten Sie ohnehin in den meisten Fällen rechtswidrig und müssen sich nun überlegen, ob Sie wie bisher weiter machen wollen.
Wie soll man nun reagieren?
Wenn Sie also so weiter verfahren wie bisher, dürfte sich praktisch nicht viel ändern. Es ist durchaus möglich, dass die Datenschutzbehörden härter durchgreifen, doch deren beschränkten finanziellen Mittel wurden trotz der nun auf sie zukommenden Arbeit, nicht erhöht. Ferner nehmen Datenschutzbehörden in der Regel auch auf die Nachteile der plötzlichen Änderungen Rücksicht. Auch Abmahnungen sind möglich und nun wahrscheinlicher, wobei es weiterhin unsicher bleibt, ob und im welchen Umfang Datenschutzverstöße abgemahnt werden können.
Die Datenschutzanforderungen werden Sie ohnehin kaum alle perfekt erfüllen können. Das heißt jedoch nicht, dass Sie es gleich lassen sollten. Ganz im Gegenteil, sollten Sie rechtlich so viel wie möglich richtig machen. D.h. je sicherer Ihre Datenverarbeitung rechtlich ist, desto geringer ist das Gesamtrisiko beim Einsatz von rechtlich fragwürdigen US-Anbietern.
Sie sollten daher:
- Nach Möglichkeit EU, statt US-Anbieter wählen (bzw. US-Anbieter die ADV-Verträge anbieten und Daten in der EU verarbeiten, wie es z.B. bei Amazon Web Services oder Microsoft möglich ist)
- Dienstleister, die Nutzer/Kunden/Mitarbeiter-Daten in Ihrem Auftrag verarbeiten, nach ADV-Verträgen fragen.
- Betroffene im Zweifel um eine Einwilligung bitten.
- Eine Datenschutzerklärung anbieten, die über Ihre Datenverarbeitung Auskunft gibt.
Fazit
Die Entscheidung des EuGH zu Safe Harbor gilt vor allem für Unternehmen, die auf Grundlage von Datenschutzverträgen personenbezogene Daten in die USA transferierten. Betroffen sind vor allem Anbieter wie Facebook, deren EU-Tochter Nutzerdaten an die USA-Muttergesellschaft übermittelt. Aber auch viele andere US-Unternehmen, die Datengeschäfte in der EU machen, werden wirtschaftlich beeinträchtigt.
Das Urteil ist als eine Antwort auf die aus EU-Sicht unzulässigen Datenschutzpraktiken der US-Unternehmen und der US-Regierung zu werten. Wo unmittelbare politische Mittel nicht helfen, soll ein mittelbarer wirtschaftlicher Druck dazu führen, dass die USA sich der EU-Vorstellung des Datenschutzes nähern. Das wäre m.E. aus Sicht der zunehmenden Bedürfnisse nach ungehinderten Informationsflüssen wünschenswert, weswegen das Urteil insoweit zu begrüßen ist.
Wenn Sie bisher auf vertraglicher Ebene personenbezogene Daten an Dienstleister die USA übermittelten, besteht für Sie ein Grund zu handeln. In den meisten Fällen waren die Datentransfers ohne Datenschutz-Verträge jedochh ohnehin rechtswidrig und daran wird sich vorerst nichts ändern.
Der Unterschied ist jedoch, dass der rechtliche Fokus auf den Datenschutz stärker wird und Sie daher noch mehr als zuvor auf die möglichst genaue Einhaltung der Datenschutzvorschriften achten sollten. Vor allem sollten Sie mit allen Dienstleistern, denen Sie personenbezogene Daten übermitteln, ADV-Verträge abschließen.
Alles andere müssen wir abwarten.
Linkliste
- EuGH: Countdown für Safe Harbor in Verfahren C-362/14 (Teil 1, Teil 2, Teil 3) von Flemming Moos im CR-Blog
- EuGH bringt Geschäftsmodell der IT-Riesen ins Wanken von Benedikt Fuest , Thomas Heuzeroth in Die Welt
- „Safe Harbor“: EuGH erklärt Datenabkommen mit USA für ungültig im SPON
- Aus, aus, aus! Safe Harbour ist aus! – Zur Entscheidung des EuGH C-362/14 – Schrems von Nina Diercks im Social Media Recht Blog.
- Nach dem EuGH-Urteil: Alternativen zu Safe Harbor von Joerg Heidrich bei Spiegel Online
- EuGH: Entscheidung zu „Safe Harbor“ /First Reaction von Europe vs. Facebeook
- Safe Harbor-Urteil: EuGH setzt Zeichen gegen Massenausspähung mit wirrer Argumentation von Matthias Lachenmann im Blog der Kanzlei Lachenmann
- Nach dem Paukenschlag des Generalanwalts – Suche nach Alternativen von Daniel Schätzle im PinG-Blog
- EuGH zu Safe Harbor: Kein Grundrechterabatt beim internationalen Datentransfers von Peter Schaar im EAID-Blog
- Europäischer Gerichtshof: Safe Harbor ist ungültig! Schluss mit der blauäugigen Datenübertragung in die USA von Anna Biselli in Netzpolitik.org
[callto:marketing]
Sehr schöner und aufschlussreicher Artikel!
Wir haben vor ca. einem Jahr den ADV-Vertrag zu Google (wegen Analytics) nach Irland geschickt, die Antwort dauerte auch nur drei Monate. 🙂
Und auch hier wird jetzt spannend, ob die Hamburger DSB sich zu dem Bestand dieses Vertrages äußern werden, er weiterhin Bestand hat oder wir wieder viel Papier nach Irland werden schicken müssen.
Darf ich fragen warum Sie denken, dass das evtl. passieren könnte? Google sitzt doch in Irland und nicht in den USA? Muss der Analytics Vertrag auch diese „Modellklauseln“ enthalten?
Ist die Kundendatenerfassung (leads) in SALESFORCE ein Risiko für den Vertriebler der die Daten eingibt oder die Firma die Salesforce vorgibt????
Beste Grüße
Wahrscheinlich schon. Bei Schwiegervatern (EU-Weit mehrere Niederlassungen, 10.000 Mitarbeiter und Salesforcekunde) schiebt man zumindest gerade Panik. ^^
Sie schreiben:
»Als einzig sichere Alternative kommen daher die Einwilligungen der betroffenen Kunden/Nutzer/Mitarbeiter in Frage«
Ich denke Sie referenzieren auf BDSG § 4c Ausnahmen.
IMHO ist das nicht ausreichend, wenn nicht vorher BDSG § 4d Meldepflicht erfüllt ist, denn in den allermeisten Fällen dürfte (4) den (3) aushebeln?
Was bedeutet das aber für mich, als privater Betreiber einer Community zum Beispiel? Im Forum lassen sich z.B. Beiträge per Social Button teilen. Sollte ich das besser ausbauen?
Hallo,
was bedeutet das Ganze eigentlich im Bezug auf Social Media Profile von Unternehmen? Sollte man aktuell überhaupt eine neue Fanpage auf Facebook eröffnen oder erstmal abwarten was in den nächsten Monaten passiert?
Gruß
Markus
Mich interessiert die juristische Einschätzung in Bezug auf amerikanische Content Delivery Networks (CDN), die zum Beschleunigen von Websites verwendet werden. Die Website-Inhalte sind dabei verteilt auf Servern in der ganzen Welt. Die amerikanische Firma erstellt dazu eine Nutzerstatistik.
Hallo, in allen Artikeln wird immer von Datentransfer gesprochen.
Meistens geht es dann darum, dass personenbezogene Daten dann auf den US-Servern gespeichert werden. Was ist, wenn ein Supportmitarbeiter aus den USA Zugriff auf ein System erhält, dessen Daten zwar in der EU gelagert sind, er aber aus den USA heraus durch einen Support-Zugang auch personenbezogene Daten sehen kann und vielleicht muss? Ist das dann auch schon eine Transfer?