Safe Harbour – Was beim Datentransfer mit den USA und Drittstaaten nun zu beachten ist.
Der Europäische Gerichtshof (EuGH) erklärt „Safe-Harbor“ in seinem Urteil vom 06.10.2015 (EuGH 06.10.2015 – C-362/14) für unwirksam. Daten europäischer Internetnutzer sind in den USA nicht ausreichend vor dem Zugriff der amerikanischen Geheimdienste sicher. Fortan dürfen daher keine Transfers von personenbezogenen Daten in die USA mehr auf Grundlage des sogenannten „Safe-Harbor“-Abkommens erfolgen.
Ausgangspunkt der Entscheidung war die Klage des österreichischen Facebook-Kritikers Max Schrems gegen den Internetgiganten Facebook. Nach den Enthüllungen des Whistleblowers Edward Snowden war Schrems der Ansicht, dass seine Facebook-Daten in den USA, bzw. auf in den USA liegenden Servern, nicht vor dem Zugriff durch staatliche Geheimdienste, wie beispielsweise der NSA, geschützt sind. Dieser Ansicht Schloss sich der EuGH an.
Was besagte das Safe-Harbor-Abkommen?
Das Safe-Harbor-Abkommen war die Rechtsgrundlage für rechtmäßige Transfers von personenbezogenen Daten aus der EU in die USA. Aber warum bedurfte es eines solchen Abkommens zwischen der EU und den USA?
Gemäß europäischem Datenschutzrecht ist es Unternehmen grundsätzlich verboten personenbezogene Daten ihrer Nutzer, Mitarbeiter oder Kunden (sogenannte „ Betroffene“) an Dritte zu übermitteln. Von diesem Verbot gibt es lediglich zwei Ausnahmen. So dürfen die Unternehmen die Daten an Dritte übermitteln, wenn der Betroffene in den Datentransfer eingewilligt hat oder er mit dem Dritten einen sogenannten Auftragsdatenverarbeitungsvertrag (ADV-Vertrag) geschlossen hat. Die überwiegende Mehrzahl von Unternehmen arbeitet aus praktischen Gründen mit ADV-Verträgen. Solche können jedoch nur mit Dritten geschlossen werden, welche ihren Sitz in der EU oder einem Land mit vergleichbarem hinreichendem Datenschutzniveau haben. Während Länder wie z.B. Uruguay, Israel oder Kanada ein solches Niveau bieten, konnte man dies den USA nicht zusprechen.
Mit Ausnahme von einzuholender Einwilligungen der Betroffenen, wäre es daher keinem Unternehmen möglich gewesen, rechtswirksam personenbezogene Daten an Unternehmen in den USA zu übermitteln.
Hiergegen bot das Safe-Harbor-Abkommen Abhilfe. Nunmehr mussten sich Unternehmen trotz nicht vorhandenen Datenschutzniveaus in den USA, lediglich durch das Eintragen in eine Liste beim US-Handelsministerium (FTC) dazu verpflichten; den EU-Datenschutzstandards zu entsprechen. Eine tatsächliche Kontrolle der Unternehmen fand hingegen nicht statt. Wenig überraschend stellte sich insbesondere durch die Enthüllungen von Edward Snowden heraus, dass die Daten europäischer Nutzer entgegen den EU-Standards verwertet bzw. ausgewertet wurden.
Als Folge dieser unrechtmäßigen Datenverwertung in den USA entschied der EuGH nun in seinem Urteil, dass das Abkommen ab sofort unwirksam ist. ADV-Verträge mit Unternehmen in den USA sind folglich nicht mehr wirksam und können nicht mehr wirksam geschlossen werden. Der Transfer von personenbezogenen Daten an Dritte mit Sitz in den USA ist nunmehr ohne ausdrückliche Einwilligung des Betroffenen rechtswidrig.
Was bedeutet das Urteil des EuGH für deutsche Unternehmen?
Unternehmen sollten zunächst prüfen, ob sie personenbezogene Daten an Dritte mit Sitz in den USA übermitteln. Dies könnte der Fall sein, wenn sie beispielsweise Kunden- oder Nutzerdaten oder Daten über eigene Angestellte bei einem Cloud-Anbieter wie z.B. Dropbox, Google Drive oder Apple iCloud speichern. Die Server dieser Anbieter befinden sich in den USA, wohin die Daten trotz der EU-Tochterfirmen hin weitergeleitet werden. Durch das Speichern der personenbezogenen Daten würde das Unternehmen diese rechtswidrig transferieren. Wer diesbezüglich datenschutzrechtlich auf der sicheren Seite sein möchte, sollte zeitnah zu einem Cloud-Storage-Anbieter mit Sitz in der EU wechseln. Auch möglich ist der Wechsel zu einem Cloud-Storage-Anbieter, der auf die Weitergabe von Daten an Dritte ausdrücklich verzichtet. Für beide Alternativen gibt es zuverlässige und etablierte Anbieter.
Sollte sich das Unternehmen externer Dienstleister zur Verarbeitung personenbezogener Daten bedienen, sollte sich Auskunft erteilt werden lassen, inwiefern die Daten beim Dienstleister weiterverarbeitet werden.
Eine weitere Möglichkeit sich als Unternehmen datenschutzrechtlich abzusichern besteht darin, sich vom Kunden bzw. Nutzer eine ausdrückliche Einwilligung erteilen zu lassen. Diese könnte ähnlich der Einwilligung zum Erhalt von Newslettern durch das Setzen eines entsprechenden Hakens im Rahmen der Datenerfassung erteilt werden.
Und was ist mit Facebook und Co. ?
Die so genannten Social Plug-Ins, die Seitenbetreiber auf Ihrer Internetseite für Nutzer installieren, damit diese Artikel sharen, empfehlen etc. können, waren auch nach bisheriger Rechtslage höchst umstritten. Hier bot und bietet die so genannte Zwei-Klick Lösung wenigstens etwas mehr Schutz vor unliebsamen Datentransfer. Die Nutzung des Plug-Ins ohne jegliche einschränkende Maßnahme kann dazu führen, dass selbst Daten von Besuchern, die nicht in einem der diversen Social-Media Netzwerke verlinkt sind, an die jeweiligen Netzwerkbetreiber übermittelt werden. Mit einer Zwei-Klick Lösung wird wenigstens verhindert, dass Daten „Unbeteiligter“ übersendet werden. Da jedoch nicht klar ist, welche Daten genau von Facebook & Co. über die Share-Buttons übertragen werden, ist Datenschützern deren Nutzung ohnehin ein Dorn im Auge. Insofern ist diese Situation durch das EugH-Urteil nicht wesentlich verschlechtert worden. Meines Erachtens lässt sich auch durchaus argumentieren, dass derjenige, der den zweiten Klick bewusst macht, um einen Inhalt zu teilen, freiwillig in eine ungewisse Nutzung seiner Daten einwilligt. Letzten Endes geschieht dies mit jeder Facebook-Nutzung. Ob sich die Datenschutzbeauftragten einer derart pragmatischen Argumentation anschließen, kann ich nicht abschließend beurteilen. Insofern bleibt für Unternehmen, die eine wasserdichte Lösung anstreben, momentan nur die Entfernung der Social Share Buttons von ihrer Internetpräsenz.
Bildquelle: ©fotolia.com/lukeluke68
[:]