Gastbeitrag: Safe Harbor – Datentransfer in die USA

Durch die jüngsten Entwicklungen in der europäischen Rechtssprechung, hat das Thema Datentransfer in die USA noch mehr an Bedeutung gewonnen. Im folgenden Gastbeitrag gibt Florian Schirm, Geschäftsführer der Great Oak Datenschutz GmbH & Co. KG, einige Informationen rund um dieses Thema.

Hintergrund des Safe Harbor Abkommens

Bei der Übertragung von personenbezogenen Daten in das außereuropäische Ausland ist sicherzustellen, dass der Datenschutzstandard in diesem Drittland das gleiche oder ein besseres Niveau hat, als innerhalb der europäischen Union. Dies gilt sowohl für den technischen und organisatorischen Schutz, als auch für die Anwendung der Betroffenenrechte. Das Safe Harbor Abkommen sollte sicherstellen, dass alle Unternehmen, die sich in den USA diesem Abkommen anschließen, den geforderten Mindeststandard bieten. In seinem Urteil vom 06.10.2015 hat der europäische Gerichtshof das Abkommen rückwirkend für nichtig erklärt, da auf Grund der mangelhaften und konsequenzlosen Umsetzung des Abkommens bei den Unternehmen und insbesondere der Verletzung der Betroffenengrundrechte durch die amerikanischen Geheimdienste und die gesetzlichen Vorgaben der USA, ein gleichwertiges Datenschutzniveau in den USA nicht gegeben ist.

Folgen für den Datenschutz

Mit der Veröffentlichung des Urteils ist jeder Datenverkehr in die USA, der als Grundlage Safe Harbor nutzte, illegal. Da fast jeder Datentransfer auf Safe Harbor beruhte, hätte eigentlich sofort der gesamte Datenverkehr eingestellt werden müssen. Da dies jedoch einen riesigen Schaden bedeutet hätte, haben sich die Aufsichtsbehörden intern darauf verständigt, eine Übergangsfrist bis zum 01.02.2016 zu gewähren. Ab diesem Zeitpunkt werden alle Datentransfers in die USA, die keine andere Rechtsgrundlage als das ehemalige Safe Harbor haben, geahndet.

Welche Dienste sind betroffen

Alle betroffenen Dienste hier aufzuzählen würde den Rahmen dieses Dokuments sprengen. Prominente Beispiele sind die Microsoft Cloud Dienstleistungen, Amazon Cloud, Google Analytics, Facebook, Dropbox, Apple iCloud, WhatsApp, aber auch Buchungsportale von Reiseanbietern und Mietwagen, die ihr Portal in den USA hosten.

Was sind die Alternativen zu Safe Harbor

BCR (Binding Corporate Rules)

Die BCR sind Regeln, die ein Konzern intern für alle seine Töchter erlässt und die den Umgang mit personenbezogenen Daten festlegen. Diese gelten dann auch für Tochterunternehmen in den USA. Der Grundgedanke hinter diesem Ansatz ist, dass ein Konzern sicherstellen kann, dass in allen Standorten der gleiche Datenschutzstandard herrscht. Bevor die BCR einen Transfer in die USA (oder in ein anderes Land außerhalb der EU) legalisieren können, müssen die BCR von der für den Konzern zuständigen Aufsichtsbehörde geprüft werden. Derzeit werden alle Anträge auf Prüfung von den Aufsichtsbehörden negativ beschieden. Bestehende und zugelassene BCR behalten jedoch vorläufig ihre Gültigkeit.

EU-Standardvertragsklauseln

Der Standardvertrag, ist ein Vertrag der zwischen dem Auftraggeber in der EU und dem Auftragnehmer in den USA geschlossen wird. Hierbei darf vom Mindestinhalt der EU-Vorgabe nicht abgewichen werden. Wird dieser Vertrag geschlossen, ist eine Datenübertragung derzeit noch legal. Da aber die Vorgaben im Vertrag von Unternehmen in den USA nicht erfüllt werden können (und sie es teilweise auch nicht wollen) ist damit zu rechnen, dass diese rechtliche Basis auch bald wegfallen wird.

Individuelle Einwilligung nach Aufklärung

Hierbei wird der Benutzer eines Dienstes gefragt, ob er mit der Datenverarbeitung einverstanden ist. Vorab muss er darüber aufgeklärt werden, wo seine Daten gespeichert werden sollen, wie sie dort verwendet werden und an wen sie weitergegeben werden bzw. wer Zugriff auf diese Daten haben könnte. Hier ist insbesondere darauf hinzuweisen, dass die Daten des Benutzers von Geheimdiensten der USA analysiert werden, mit anderen Daten kombiniert werden und für den Benutzer dadurch wirtschaftliche und persönliche Nachteile entstehen können. Des Weiteren ist er darüber zu unterrichten, dass er keinerlei Möglichkeit hat, dieses juristisch zu unterbinden, zu prüfen oder auch nur davon zu erfahren. Wenn der Benutzer nun noch eine echte freiwillige Wahl hat nein zu sagen, und er trotzdem ja sagt, ist die Voraussetzung für einen legalen Transfer erfüllt. Es bleibt dabei noch anzumerken, dass der Benutzer jederzeit seine Zustimmung widerrufen kann und auch die Löschung seiner Daten verlangen kann.

Weitere Entwicklung der Datentransfers ins Ausland

Derzeit versuchen die USA und die EU sich auf einen Nachfolger von Safe Harbor zu einigen. Ob und bis wann dies geschieht, ist derzeit nicht abzuschätzen. Allerdings droht weiterer Ärger mit den Datentransfers auf Basis der zurzeit noch zugelassenen Verfahren. Liest man das Urteil des EuGH und dessen Begründung, kommt man unweigerlich zu dem Schluss, dass auch die anderen Verfahren nicht legal sein können. Diese Erkenntnis wird sich auch bei den Aufsichtsbehörden durchsetzen und was dann noch an Möglichkeiten bleibt, ist derzeit unvorhersehbar.
Was muss konkret getan werden:

• Zuerst sollten Sie alle Datenverarbeitungen im Unternehmen dahingehend prüfen, ob Daten in die USA transferiert werden. Wenn dies der Fall ist, sollten Sie das Verfahren
  dokumentieren und die Rechtsgrundlage für den Datentransfer ermitteln.
• Im zweiten Schritt sollten Sie prüfen, ob die ermittelten Verarbeitungen mit Datentransfer in die USA wirklich notwendig sind; oder ob es nicht europäische Alternativen gibt bzw. auf den Einsatz verzichtet werden kann.
• Kann auf einen Dienst in den USA nicht verzichtet werden, sollten Sie prüfen, ob Sie die Daten nicht verschlüsseln können, so dass es sich nicht mehr um einen Transfer von personenbezogenen Daten handelt.
• Ist eine Verschlüsselung nicht möglich, müssen Sie entscheiden, welche der noch legalen Transferarten Sie bis zum 01.02.2016 umsetzen können.
• Klappt dies nicht, müssen Sie spätestens ab 01.02.2016 die Übertragung einstellen, um nicht Gefahr zu laufen in einem Ermittlungsverfahren der Kontrollinstanzen zu enden und am Ende gar ein hohes Bußgeld bezahlen zu müssen.

Autor

Florian Schirm, Geschäftsführer von Great Oak Datenschutz GmbH & Co. KG
Das Unternehmen Great Oak Datenschutz GmbH & Co. KG bietet Ihnen das gesamte Paket der Datenschutzdienstleistungen. Mit den beiden Standorten in Mecklenburg-Vorpommern und Nordrhein-Westfalen stellt das Unternehmen einen betrieblichen Datenschutzbeauftragten zur Verfügung, berät Sie im technischen und organisatorischen Datenschutz und führt Datenschutzschulungen in Ihrem Unternehmen durch. Haben Sie Interesse an Datenschutz aus dem Hause Great Oak? Hier finden Sie weitere Informationen.