Safe Harbor, was nun?
Der Europäische Gerichtshof hat ein wichtiges Urteil zum Safe Harbor-Grundsatz gefällt. Alle jubeln, aber was ist eigentlich passiert?
1. Das Problem – Worüber hat der EuGH entschieden?
Grundsätzlich dürfen personenbezogene Daten nur dann in das Ausland übermittelt werden, wenn der Empfänger der Daten ein angemessenes Datenschutzniveau gewährleisten kann, § 4b Abs. 2 Bundesdatenschutzgesetz. Die EU-Kommission kann nach Art. 25 Abs. 6 der Datenschutzrichtlinie festlegen, dass in einem bestimmten Land ein angemessenes Datenschutzniveau besteht. In den USA galt das für alle Stellen, die sich den Regeln von Safe Harbor unterworfen haben. Als deutsche Stelle konnten Unternehmen also personenbezogene Daten in die USA übermitteln, wenn sich der Empfänger der Daten den Regeln von Safe Harbor unterwirft.
Eine Datenübermittlung in die USA ist schnell passiert. Viele große Anbieter von Cloud-Diensten haben ihre Rechtenzentren in den USA aufgebaut. Wenn ein Unternehmen etwa seine Kundendatenbank in einem Officepaket in der Cloud speichert, hat es die Daten bereits in die USA übermittelt.
2. Die Entscheidung – Was steht eigentlich im Urteil?
Der Europäische Gerichtshof (EuGH) hatte keinen eigentlichen Fall zu entscheiden, sondern nur eine Vorlagefrage durch den zuständigen High Court in Irland. Dieser hat den EuGH gefragt, ob der EU-Bürger überhaupt nachprüfen lassen kann, ob die Safe Harbor-Entscheidung durch die Kommission rechtmäßig ist. Dies hat der EuGH im Urteil vom 06.10.2015, Az. C-362/14 bestätigt. Gleichzeitig hat der EuGH jedoch die Entscheidung der Kommission über Safe Harbor für ungültig erklärt. Damit ist nicht mehr gewährleistet, dass in den USA – bei Unterwerfung unter die Regeln von Safe Harbor – ein ausreichendes Datenschutzniveau gewährleistet ist.
3. Die Folgen – Was bedeutet das für Unternehmen?
Nach § 4 Abs. 1 BDSG ist eine Verarbeitung personenbezogener Daten nur zulässig, wenn eine Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat. Unternehmen könnten damit die Daten auch weiterhin in die USA übermitteln, wenn sie sich hierfür das Einverständnis jedes einzelnen Betroffenen (Lieferant oder Kunde) einholen. Dies wäre ein möglicher, aber umständlicher Weg. Andernfalls wäre seit dem 06.10.2015 die Übermittlung personenbezogener Daten in die USA nicht mehr zulässig. Die Folgen, wenn man es dennoch tut, sind vielfältig: Die Betroffenen, deren Daten versandt wurden, können nach § 7 BDSG Schadensersatz verlangen, die Aufsichtsbehörde für den Datenschutz kann Maßnahmen nach § 38 BSDG verhängen, also z.B. Weisungen erteilen, wie die Datenverarbeitung stattzufinden hat und im schlimmsten Fall käme es zu einem Bußgeld- oder sogar Strafverfahren.
4. Die Lösung – Was können Unternehmen nun tun?
Nachdem Safe Harbor Geschichte ist, können Daten nicht mehr an eine Stelle in die USA übermitteln, die nur nach Safe Harbor arbeitet. Alternativen sind: entweder eine gesonderte Entscheidung für die empfangende Stelle zu erwirken, also eine eigene Genehmigung zu holen oder die Daten ausschließlich in Deutschland oder in der EU zu halten. Hier ist das Datenschutzniveau angemessen. Theoretisch könnte sich das US-Unternehmen auch direkt verpflichten, die europäischen Datenschutzstandards einzuhalten. Aufgrund der gesetzlichen Bestimmungen in den USA ist dies jedoch regelmäßig nicht möglich. Als letzter Ausweg bleibt, die Daten in Deutschland zu verschlüsseln und erst dann in die USA zu übertragen. Hierbei muss jedoch ausgeschlossen werden, dass der Diensteanbieter in den USA Zugriff auf den Schlüssel erhält.
Ein Beitrag von Rechtsanwalt Andreas Kohn, Anwaltshaus
Fachanwalt für gewerblichen Rechtsschutz und Fachanwalt für Informationstechnologierecht