Zwischen Safe Harbor und Privacy Shield

Das Safe Harbor-Abkommen ist seit mehr als einem halben Jahr Geschichte und sein vermeintlicher Nachfolger Privacy Shield wartet aktuell auf Zustimmung in den EU-Mitgliedsstaaten. In den deutschen Datenschutzbehörden gibt es aber dennoch schon Bewegung. Zum Stand der Dinge.

Aktuell beobachten wir eine verstärkte Aktivität bei den deutschen Datenschutzbehörden. So hat das Landesamt für Datenschutz in Bayern im Januar und danach Anfragen zur Selbstauskunft beim Datenschutz versendet.

EuGH erklärte im Oktober 2015 Safe Harbor für ungültig

Im Herbst 2015 hatte der EuGH in einer Entscheidung zum Datenschutz bei Facebook in Irland das sogenannte Safe Harbor-Abkommen zwischen der EU und den USA für ungültig erklärt. Dieses Urteil sorgte für einige Aufregung in der Datenschutzszene. So stellte dies für viele Unternehmen die rechtliche Grundlage für einen Datentransfer ihrer personenbezogenen Daten in die USA in Frage. Denn obwohl sich das Urteil nur auf das Safe Harbor-Abkommen bezieht, strahlt es auf sämtliche Instrumente aus, die zur Herstellung eines angemessenen Datenschutzniveaus in den USA herangezogen werden können, zum Beispiel EU-Standardvertragsklauseln. Dies stellt sich als Herausforderung dar, denn US-Datentransfers sind oftmals aus betriebswirtschaftlichen Gründen sinnvoll oder notwendig, etwa weil die Unternehmen Tochtergesellschaften in den USA haben oder die Muttergesellschaft dort ihren Sitz hat, oder einfach nur weil sie dort IT-Services wie Google-Analytics oder Cloud-Services nutzen.

Ohne weitere Vereinbarungen fehlt rechtliche Grundlage für Transfer von personenbezogenen Daten in die USA

Anfangs wurde von Seiten der EU-Kommission zur Schadensbegrenzung noch argumentiert, dass die von ihr herausgegebenen Standardvertragsklauseln zum Datenschutz ausreichende Sicherheit bezüglich der Anforderungen der europäischen Datenschutzregelungen bieten würden. Von Seiten der staatlichen Datenschützer wurde dagegen aber sehr schnell darauf aufmerksam gemacht, dass die Begründungen des Gerichts in Bezug auf die Ungültigkeit des Safe Harbor-Abkommens auch bei den Standardklauseln zuträfen und damit auch diese einer gerichtlichen Prüfung kaum standhalten könnten. Dasselbe soll im Übrigen für Einwilligungserklärungen gelten, wenn diese darauf abzielen, wiederholte, massenhafte oder routinemäßige Datenübermittlungen in die USA zu legitimieren. Damit bewegen sich seither sehr viele deutsche wie europäische Unternehmen in einer rechtlichen Grauzone. Haben sie keine weitere Rechtsgrundlage vereinbart (und das dürfte für die meisten zutreffen), gibt es aktuell keine rechtliche Grundlage, auf deren Basis sie ihre datenschutzrelevanten betrieblichen Daten in die USA übertragen können.

Auf zwei Ebenen setzten nun Aktivitäten ein: Zum einen verhandelt die EU-Kommission mit den USA, um eine neue Vereinbarung zu treffen. Zum anderen wurden in Europa die nationalen, staatlichen Datenschutzbehörden aktiv. Sie erklärten zunächst ein Moratorium, nach dem sie bis Ende Januar 2016 keine Überprüfungen von US-Datentransfers durchführen würden, die auf andere Da-tenschutzinstrumente als Safe Harbor gestützt werden. Parallel fragt beispielsweise das Bayerische Landesamt für Datenschutzaufsicht seit Dezember 2015 bis heute in signifikantem Umfang bei den Unternehmen an, ob und auf Grund welcher rechtlichen Basis diese datenschutzrelevante Daten in den USA speichern und damit verarbeiten lassen.

EU und USA vereinbaren Privacy Shield, aber Zustimmung der Mitgliedstaaten steht noch aus

Der EU-Kommission gelang es Ende Februar 2016, ein neues Abkommen mit den USA auszuhandeln, das sogenannte Privacy Shield. Das Abkommen liegt aktuell bei den EU-Staaten, die dem neuen Datenschutzrahmen zustimmen müssen. Es ist eigentlich geplant, diese Vereinbarung bis zum Juni dieses Jahres abzuschließen. Doch wurde bereits bemängelt, dass wesentliche Kritikpunkte des EuGH bislang nicht ausreichend gewürdigt seien und damit die große Gefahr eines erneuten Scheiterns vor den europäischen Gerichten bestünde. So auch die Bundesdatenschutzbeauftragte Andrea Voshoff und jüngst die Artikel-29-Datenschutzgruppe. Die wesentliche Problematik bleibt an dieser Stelle, dass nach dem Verständnis des EuGH die Bürger vor der anlasslosen Ausspähung durch die US-Nachrichten geschützt werden müssen, die USA aber auf dieses Privileg trotz massiven Drucks ihrer eigenen IT-Anbieter nicht ausnahmslos verzichten wollen. Hier wartet eine Herausforderung auf die Unterhändler.

Nationale Datenschutzbehörden prüfen Umsetzung

Die nationalen Datenschutzbehörden sind unterdessen aktiv dabei, den Status der Situation zu Rechtsgrundlagen wie Safe Harbor beziehungsweise künftig Privacy Shield in den Unternehmen aufzunehmen (siehe die Aufforderungen zur Selbstauskunft) und diese Auskünfte wohl auch in gewissem Umfang zu überprüfen. Die Diskussionen um mehr Mittel für den Datenschutz in den Länderbudgets, wie zum Beispiel in Hamburg im Februar dieses Jahres, können als ein Indiz hierfür gesehen werden. Damit erscheint es nicht unwahrscheinlich, dass die Aufsichtsbehörden in näherer Zukunft von ihren Kontrollrechten intensiv Gebrauch machen werden. Sollten die Aufsichtsbehörden bei entsprechenden Kontrollen feststellen, dass personenbezogene Daten in die USA übertragen werden, obwohl ein angemessenes Datenschutzniveau nicht sichergestellt ist, drohen neben empfindlichen Geldbußen vor allem auch Unterlassungsverfügungen. Gerade letztere dürften Unternehmen in praktischer Hinsicht vor erhebliche Herausforderungen stellen, da diese eine sehr kurzfristige Umstrukturierung der IT-Infrastruktur und -Prozesse erforderlich machen können.

Erhöhte Bußgelder mit der kommenden EU-Datenschutzgrundverordnung

Insofern lohnt es sich, die eigene Handhabung des Compliance-Themas Datenschutz im Unternehmen zu betrachten – und dies auch über die Safe Harbor- und Privacy Shield-Thematik hinaus. So tritt bereits in zwei Jahren die EU-Datenschutzgrundverordnung in Kraft, was zu einer erheblichen Verschärfung der datenschutzrechtlichen Anforderungen führen wird. Vor dem Hintergrund der in der Verordnung vorgesehenen massiven Erhöhung der Bußgelder für Datenschutzverstöße auf bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes ist ein frühzeitiges Handeln nicht nur zu empfehlen, es ist in aller Regel geboten.