06.10.2015 | Datenschutz

Unsafe Harbor – Was deutsche Unternehmen jetzt tun müssen

Das EuGH-Urteil hat gravierende Auswirkungen auf die Online-Marketing-Branche, meint Rechtsanwalt Martin Schirmbacher.
Bild: Bernd Jaworek

Paukenschlag im Datenschutz: Der Europäische Gerichtshof (EuGH) hat die Kommissionsentscheidung zu Safe Harbor für ungültig erklärt. Er folgte damit seinem Generalanwalt Yves Bot. Alle Datentransfers in die USA, die allein auf die Geltung dieser Regeln gestützt werden, sind nun illegal. Das hat dramatische Folgen für Unternehmen, die Online-Marketing-Tools aus den USA einsetzen oder Cloud-Dienste nutzen. Sofern der US.-Anbieter Zugriff auf personenbezogene Daten erhält, ist dies ohne anderweitige Rechtfertigung datenschutzwidrig. Doch es gibt Alternativen.

Worum ging es in dem Urteil?

Der zugrunde liegende Fall ist ein Ausläufer des Streits zwischen dem Österreichischen Anti-Facebook-Aktivisten Max Schrems und Facebook. Schrems hatte den Irischen Datenschutzbeauftragten aufgefordert, die irische Niederlassung von Facebook anzuweisen, den Datentransfer in die USA zu stoppen. Daran sah sich die Behörde gehindert, weil Facebook den Safe Harbor-Regeln unterworfen sei und die dortigen Bedingungen auch einhalte. Die Behörde sah sich gehindert überhaupt zu prüfen, ob eine sichere Datenverarbeitung vorlag. Der anschließend angerufene High Court von Irland hat dem EuGH im Anschluss im Rahmen eines sogenannten Vorabentscheidungsverfahrens diverse Fragen zur Beantwortung vorgelegt.

Datenschutz-Aufsicht konnte und musste prüfen

Der EuGH hat entschieden, dass die Behörde durchaus prüfen durfte (und musste) ob im konkreten Einzelfall die ein hinreichendes Datenschutzniveau gegeben ist. Bisher konnte von einem angemessenen Datenschutzniveau ausgegangen werden, wenn sich der Dienstleister den Safe-Harbor-Regelungen unterworfen hat. Er erhielt dann ein Zertifikat von einer Gültigkeitsdauer von einem Jahr, das ihnen die Einhaltung der EU-Standards bescheinigt. Rechtsgrundlage dafür waren die Kommissionsentscheidungen zu Safe Harbor, aus denen sich ergibt, dass von einem hinreichenden Datenschutzniveau auszugehen ist, wenn sich der Anbieter den Safe-Harbor-Regeln unterworfen hat.

Diese Entscheidungen der EU-Kommission hat der EuGH nun für ungültig erklärt. Die Kommission habe nicht derart weitreichende Befugnisse habe und die in den Safe Harbor Regeln vorgesehenen Öffnungsklauseln seien viel zu weitgehend. Die Vereinbarungen über Safe-Harbor mit den USA schlössen einen Zugriff von Behörden nicht aus und griffen damit womöglich in Grundrechte von EU-Bürgern ein. Zudem stünden den Betroffenen keine Rechtsbehelfe gegen solche Eingriffe zur Verfügung. Mit diesem Urteil entfällt die Vermutung der Einhaltung der EU-Datenschutzregeln für diese Unternehmen.

Neue Wege zum angemessenen Datenschutzniveau

Die Zulässigkeit des Transfers personenbezogener Daten in das EU-Ausland setzt stets voraus, dass ein angemessenes Datenschutzniveau gegeben ist. Bisher war Safe Harbor eine hinreichende Grundlage von einem solchen Datenschutzniveau auszugehen. Dies entfällt jetzt.

Allerdings ist damit eine Beauftragung eines US-Unternehmens nicht schlechterdings ausgeschlossen. Es gibt mehrere Möglichkeiten, zu einem angemessenen Datenschutzniveau des Dienstleisters zu kommen:

1.       Der Staat, in dem der Dienstleister seinen Sitz hat, liegt innerhalb der EU oder ist von der EU als sicheres Drittland anerkannt. Das ist derzeit zum Beispiel für die Schweiz, Kanada und Israel, nicht jedoch für die USA der Fall. Hat der Diensteanbieter seinen Sitz also innerhalb der EU, der Schweiz oder Kanada und kann auch nur von dort auf die Daten der deutschen Nutzer zugegriffen werden, ist ein ausreichendes Datenschutzniveu gegeben.

2.       Ohne eine ausdrückliche Safe-Harbour-Zertifizierung kann ein angemessenes Datenschutzniveau auch dadurch sichergestellt werden, dass sich der Dienstleister vertraglich den wesentlichen geltenden Regelungen der EU zum Datenschutz unterwirft. Die EU hat zu diesem Zweck zwei Standardvertragswerke entwickelt, derer sich die Unternehmen bedienen können. Für Dienstleister im Bereich des Online-Marketing bietet sich die Verwendung der Standardvertragsklauseln für Auftragsdatenverarbeiter an. Unterzeichnet der Dienstleister und hält er sich anschließend an die Vorgaben des Vertrages stehen einer Übermittlung der Daten ins Ausland Interessen der Kunden nicht entgegen. Erste Unternehmen (z.B. Salesforce) bieten ihren Kunden bereits ausdrücklich den Abschluss entsprechender Vereinbarungen an. Hier ist nun aber ebenfalls Vorsicht geboten. Nach der EuGH-Entscheidung dürften die Datenschutzbehörden auch bei Vorliegen solcher Vereinbarungen berechtigt sein, die Rechtmäßigkeit des Datentransfers in die USA zu prüfen.

3.       Denkbar ist auch, mit dem Dienstleister einen individuellen Vertrag zu schließen, der von den Standardvertragsklauseln abweicht. Ein solcher Vertrag muss ein angemessenes Datenschutzniveau garantieren. Darin muss sich der Dienstleister auf die Einhaltung der wesentlichen Bestimmungen des deutschen Datenschutzrechts verpflichten und die Einhaltung in geeigneter Weise garantieren. Dies hilft aber nur, wenn die zuständige Datenschutzbehörde in Deutschland den Vertrag ausdrücklich genehmigt hat. Ein solches Prozedere ist mit erheblichen Aufwand und der Unsicherheit verbunden, dass die Behörde die Freigabe erteilt, und dürfte sich nur anbieten, wenn es anderer Weg nicht zum Erfolg führt.

4.       Die EU-Kommission verhandelt derzeit mit den USA über eine Novelle der Safe-Harbor-Regelungen. Es ist nicht auszuschließen, dass es hier in der Zukunft eine neue Vereinbarung gibt. Darauf zu warten, erscheint aber derzeit nicht als probates Mittel.

Sonstige Möglichkeiten?

Die Übermittlung personenbezogener Daten in unsichere Drittländer ist grundsätzlich verboten. Allerdings sieht das Bundesdatenschutzgesetz in § 4c auch Ausnahmen vor.

1.       Stets zulässig ist die Übertragung von Daten n Dritte – auch im Ausland – wenn der Betroffene, also der Nutzer des Angebotes des deutschen Unternehmens, eingewilligt hat. Soweit das nicht bisher schon geschehen ist, müssten also alle Kunden um ihre Einwilligung der Übertragung der Daten in die USA gebeten werden. Willigt der Kunde nicht ein, muss der Datentransfer unterbleiben. Die Anforderungen an eine transparente Einwilligung sind hoch, mit der Änderung der Datenschutzbestimmungen ist es nicht getan. Es bedarf einer transparenten Information des Kunden, zudem muss dem Kunden eine echte Wahlmöglichkeit gegeben werden. Eine „untergeschobene Einwilligung“ würden die Datenschutzbehörden nicht akzeptieren.

2.       Zulässig ist die Datenübermittlung ins EU-Ausland auch, wenn dies "zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen" erforderlich ist. Dies ist etwa gegeben, wenn ein Kunde direkt mit einem Online-Händler in den USA einen Vertrag schließt oder ein deutsches Reisebüro die Passagierdaten an eine U.S.-Airline weitergibt. Für den Einsatz von online-basierten Marketing-Tools gilt dies nicht.

Konsequenzen aus dem Datenschutz-Urteil

Auch wenn der derzeitige Medienrummel um Safe-Harbor übertrieben scheint, deutsche Unternehmen dürfen das Thema nicht ignorieren. Die Privilegierung, die Safe Harbor bot, ist weggefallen. Die Übertragung von personenbezogenen Daten an amerikanische Unternehmen ist ohne eine Alternativlösung illegal. Gleiches gilt für den Zugriff auf solche Daten durch U.S.-Dienstleister. Die betroffenen Unternehmen – und zwar sowohl der deutsche Datenexporteur, als auch der U.S.-Dienstleister – verstoßen damit gegen die einschlägigen Datenschutzgesetze.

Dabei ergeben sich insbesondere für die Betroffenen bestimmte Rechte, gegebenenfalls sogar Schadensersatzansprüche. Zudem drohen Bußgelder der deutschen Datenschutzbehörden. Diese können theoretisch bis zu 300.000,- Euro betragen, liegen in der Regel aber deutlich darunter. Die bayerische Datenschutzbehörde hat allerdings zuletzt in einem Fall, in dem bei einem Auftragsdatenverarbeitungsvertrag die technischen und organisatorischen Maßnahmen nicht hinreichend beschrieben waren, immerhin ein fünfstelliges Bußgeld verhängt. Ein Kavaliersdelikt wäre das jedenfalls nicht.

Schnelle Lösung: Standardvertragsklauseln

Deutsche Unternehmen sollten mit den amerikanischen Partnern auf schnelle Alternativlösungen drängen. Der Abschluss eines Vertrages, der den Standvertragsklauseln entspricht, ist eine solche Lösung. Verweigert sich der U.S.-Anbieter kommt eine fristlose Kündigung des Vertrages in Betracht. Längerfristig muss das Datenschutzmodell des Anbieters auf den Prüfstand.

Das EuGH-Urteil hat gravierende Auswirkungen auf die Online-Marketing-Branche, insbesondere im Umfeld von Analytics, Customer Data, E-Mail Marketing und Marketing Automation sowie für das Cloud Computing. Die amerikanischen Dienstleister und ihre deutschen Kunden müssen nun schnell reagieren und rechtmäßige Alternativen zu Safe Harbor suchen.


Autor:

Dr. Martin Schirmbacher ist Fachanwalt für IT-Recht in der auf Medien und Technologie spezialisierten Kanzlei Härting Rechtsanwälte und Autor des Buches Online-Marketing und Recht. Seinen Blog zum Recht im Online Marketing finden Sie unter www.online-marketing-recht.de. 

Schlagworte zum Thema:  Datenschutz, Kundendaten, Nutzung personenbezogener Daten, Online-Marketing

Aktuell

Meistgelesen