Safe Har­bor ist tot – lang lebe das Pri­va­cy Shield

datenschutz
Was ist eigent­li­ch mit dem Daten­schutz?
28. November 2016
nextomg-referent-dr-martin-schirmbacher
Daten­schutz – Refe­rent Dr. Mar­tin Schirm­ba­cher
1. Dezember 2016

Safe Har­bor ist tot – lang lebe das Pri­va­cy Shield

safeharbor

Was bedeu­tet das für deut­sche Mar­ke­ters?

von Dr. Mar­tin Schirm­ba­cher, HÄRTING Rechts­an­wäl­te

Safe Har­bor ist tot. Das hat der Euro­päi­sche Gerichts­hof vor mehr als einem Jahr am 6. Okto­ber 2015 ent­schie­den. Die Auf­re­gung war groß und jetzt soll das Pri­va­cy Shield für einen rechts­si­che­ren Daten­trans­fer in die USA sor­gen. Wor­um es dabei geht und was das für das Mar­ke­ting in Deutsch­land bedeu­tet, erläu­tert die­ser Blog-Bei­trag.

War­um ist eine Daten­über­tra­gung in die USA pro­ble­ma­ti­sch?
Das deut­sche Daten­schutz­recht geht davon aus, dass eine Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten an Stel­len außer­halb des Euro­päi­schen Wirt­schafts­raums nicht erfol­gen darf, wenn bei dem Unter­neh­men, an das die Daten über­mit­telt wer­den sol­len, kein ange­mes­se­nes Daten­schutz­ni­veau gewähr­leis­tet ist. Es gibt eini­ge Län­der außer­halb Euro­pas, bei denen die EU-Kom­mis­si­on ein ange­mes­se­nes Daten­schutz­ni­veau aner­kannt hat. Die­se wer­den daten­schutz­recht­li­ch als so genann­te siche­re Dritt­län­der bezeich­net. Dazu zäh­len etwa Argen­ti­ni­en und Aus­tra­li­en, nicht aber die USA. Ein Daten­trans­fer in die USA ist daher grund­sätz­li­ch ver­bo­ten und bedarf einer zusätz­li­chen Recht­fer­ti­gung.

Was geht das deut­sche Mar­ke­ters an?
Das betrifft deut­sche Unter­neh­men nur schein­bar nicht. Nahe­zu jedes grö­ße­re Unter­neh­men trans­fe­riert regel­mä­ßig per­so­nen­be­zo­ge­ne Daten in die USA. Im Kon­zern ist das selbst­ver­ständ­li­ch, wenn etwa mit Schwes­ter­ge­sell­schaf­ten gemein­sa­me Daten­ban­ken geführt wer­den. Doch auch nie­der­säch­si­sche Mit­tel­ständ­ler über­tra­gen Daten über den Atlan­tik, etwa wenn sie Ama­zons Cloud oder Googles Ana­lytics nut­zen. Jede Agen­tur, die den Ein­satz von Mail­chimp für das E-Mail-Mar­ke­ting emp­fiehlt (oder dul­det), soll­te sich damit aus­ein­an­der­set­zen. Und Unter­neh­men, die Sales Force oder Sage ein­set­zen, müs­sen auch damit rech­nen, dass Daten auch in den USA gespei­chert wer­den, wenn nichts ande­res ver­ein­bart ist. Im Übri­gen genügt bereits, dass Unter­neh­men aus den USA auf per­so­nen­be­zo­ge­ne Daten zugrei­fen kön­nen. Die Regeln zum trans­at­lan­ti­schen Daten­trans­fer gehen also alle an.

Was war Safe Har­bor?
Um einen Daten­trans­fer in die USA über­haupt zu ermög­li­chen, schuf die Euro­päi­sche Kom­mis­si­on gemein­sam mit den U.S.-Kollegen das Safe-Har­bor-Regime. US-Unter­neh­men, die sich den Safe Har­bor-Prin­zi­pi­en unter­war­fen, gal­ten als Unter­neh­men mit einem ange­mes­se­nen Daten­schutz­ni­veau. Eine Beru­fung auf Safe-Har­bor ist jedoch seit dem EuGH-Urteil aus­ge­schlos­sen.

Und was ist das Pri­va­cy Shield?
Nach der Gerichts­ent­schei­dung mus­s­te schnell ein Nach­fol­ge­ab­kom­men her. Die EU-Kom­mis­si­on befand sich bereits seit Jah­ren in Ver­hand­lun­gen mit den USA über eine neue Ver­si­on eines Safe-Har­bor-Abkom­mens, das den EU-Bür­gern mehr Kon­trol­le über ihre Daten gibt. Die­se Gesprä­che beka­men eine neue Dyna­mik und mün­de­ten in der Errich­tung des Pri­va­cy Shield. Das funk­tio­niert letzt­li­ch nach dem glei­chen Prin­zip. U.S.-Unternehmen kön­nen sich selbst zer­ti­fi­zie­ren und den – deut­li­ch stren­ge­ren – Stan­dards unter­wer­fen. Wer den Prin­zi­pi­en unter­wor­fen ist, gilt daten­schutz­recht­li­ch als siche­res Unter­neh­men. Das Pri­va­cy Shield soll ein­mal im Jahr von der EU-Kom­mis­si­on kri­ti­sch geprüft wer­den.
Inzwi­schen haben sich bereits vie­le ame­ri­ka­ni­sche Unter­neh­men dem Pri­va­cy Shield unter­wor­fen. Wer gen­au, lässt sich hier anschau­en.

Was ist jetzt zu tun?
Deut­sche Unter­neh­men kön­nen das The­ma nicht ein­fach igno­rie­ren. Die Safe-Har­bor-Pri­vi­le­gie­rung ist weg­ge­fal­len. Eine Über­tra­gung von per­so­nen­be­zo­ge­nen Daten an ame­ri­ka­ni­sche Unter­neh­men ist ohne eine Alter­na­tiv­lö­sung ille­gal. Glei­ches gilt für den Zugriff auf sol­che Daten durch U.S.-Dienstleister. Die betrof­fe­nen Unter­neh­men – und zwar sowohl der deut­sche Daten­ex­por­teur, als auch der U.S.-Dienstleister – ver­sto­ßen damit gegen die ein­schlä­gi­gen Daten­schutz­ge­set­ze.
Deut­sche Daten­schutz­be­hör­den haben bereits Buß­gel­der gegen Unter­neh­men ver­hängt, die Daten an Unter­neh­men in den USA über­tra­gen haben, wenn die ein­zi­ge Recht­fer­ti­gung ein ver­al­te­tes Safe-Har­bor-Zer­ti­fi­kat war.
Unter­neh­men soll­ten spä­tes­tens jetzt alle Dienst­leis­ter und Part­ner in den USA durch­ge­hen und prü­fen, ob es eine Rechts­grund­la­ge für eine Daten­über­mitt­lung gibt. Steht das Unter­neh­men nicht unter dem Pri­va­cy Shield, muss die Daten­über­tra­gung nicht ille­gal sein.

Wel­che Hand­lungs­al­ter­na­ti­ven gibt es?
Es gibt ver­schie­de­ne Mög­lich­kei­ten, für eine daten­schutz­kon­for­me Daten­über­mitt­lung an U.S.-Dienstleister zu sor­gen. In vie­len Fäl­len wer­den nicht alle Vari­an­ten in Betracht kom­men.

Sitz inner­halb der EU oder in einem siche­ren Dritt­land
Gro­ße U.S.-Dienstleister, allen vor­an Micro­soft, bau­en mas­siv Ser­ver­stand­or­te inner­halb der EU (meist Irland oder Schwe­den) und sogar in Deutsch­land aus, die von loka­len Gesell­schaf­ten betrie­ben wer­den. Ist gewähr­leis­tet, dass Mit­ar­bei­ter von U.S.-Gesellschaften auf die­se Daten kei­nen Zugriff haben, liegt kei­ne Über­mitt­lung in die USA vor.

Abschluss von EU-Stan­dard­ver­trags­klau­seln
Mög­li­ch ist auch der Abschluss geson­der­ter die Daten­ver­ar­bei­tung betref­fen­der Ver­trä­ge mit dem Dienst­leis­ter auf Basis der EU-Stan­dard­ver­trags­klau­seln, die dem deut­schen Unter­neh­men auf ver­trag­li­chem Wege einen hin­rei­chen­den Daten­schutz gewähr­leis­ten. Dann soll­ten aller­dings auch wirk­li­ch die Stan­dards der Kom­mis­si­on ver­wen­det wer­den und nicht irgend­ei­ne Vor­la­ge. Für Online-Mar­ke­ting-Dienst­leis­ter sind in der Regel die Stan­dard­ver­trags­klau­seln für Auf­trags­da­ten­ver­ar­bei­ter die rich­ti­ge Vor­la­ge. Unter­zeich­net der Dienst­leis­ter und hält er sich anschlie­ßend an die Vor­ga­ben des Ver­tra­ges, ste­hen einer Über­mitt­lung der Daten ins Aus­land Inter­es­sen der Kun­den nicht ent­ge­gen.
Aller­dings ist damit zu rech­nen, dass sich der EuGH in nicht all­zu fer­ner Zukunft auch mit den Stan­dard­ver­trags­klau­seln beschäf­ti­gen wird.

Ein­wil­li­gung in die Daten­über­mitt­lung in die USA
Stets zuläs­sig ist die Über­tra­gung von Daten an Unter­neh­men in den USA, wenn der Betrof­fe­ne wirk­sam ein­ge­wil­ligt hat. Dies ergibt sich aus § 4c BDSG. Die Anfor­de­run­gen an eine trans­pa­ren­te Infor­ma­ti­on und dar­auf beru­hen­de Ein­wil­li­gung sind jedoch hoch. Eine blo­ße Ände­rung der Daten­schutz­be­stim­mun­gen genügt jeden­falls nicht. Es bedarf einer trans­pa­ren­ten Infor­ma­ti­on des Kun­den auch über die Risi­ken der Über­mitt­lung von Daten in die USA, zudem muss dem Kun­den eine ech­te Wahl­mög­lich­keit gege­ben wer­den. Eine „unter­ge­scho­be­ne Ein­wil­li­gung“ wür­den die Daten­schutz­be­hör­den nicht akzep­tie­ren. Wil­ligt der Kun­de nicht ein, muss der Daten­trans­fer unter­blei­ben.

Zusätz­li­che Anfor­de­run­gen beim Pri­va­cy Shield
Die euro­päi­schen Daten­schutz­be­hör­den haben bekun­det, das Pri­va­cy Shield zunächst zu akzep­tie­ren, behal­ten sich aber eine Detail­prü­fung vor. Außer­dem haben ein­zel­ne Behör­den erken­nen las­sen, dass sie stets eine Prü­fung im Ein­zel­fall vor­be­hal­ten.

Dr. Martin Schirmbacher

Ins­ge­samt kommt es dar­auf an, belast­ba­re Garan­ti­en des Dienst­leis­ters zu bekom­men und einen Kata­log an tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men auf­zu­neh­men, der dem ent­spricht, was deut­sche Unter­neh­men aus der Anla­ge zu § 9 BDSG ken­nen. Erfor­der­li­ch ist also, dass der U.S.-Dienstleister kon­kre­te Zusa­gen zum Umgang mit den Daten und zu Daten­si­che­rungs­maß­nah­men macht.

Fazit
Safe Har­bor ist tot. Das Pri­va­cy Shield ist jedoch ein von der Tech­nik her ver­gleich­ba­res Kon­strukt. Wich­tig ist, dass sich deut­sche Unter­neh­men mit dem The­ma befas­sen. Deut­li­ch wahr­schein­li­cher als frü­her ist, dass Daten­schutz­be­hör­den kri­ti­sch nach­fra­gen und belast­ba­re Aus­sa­gen zum Ein­satz aus­län­di­scher Dienst­leis­ter for­dern. Dies läuft dar­auf hin­aus, eine Ver­ein­ba­rung über die Daten­ver­ar­bei­tung im Auf­trag mit dem Part­ner in den USA zu schlie­ßen.

Dr. Mar­tin Schirm­ba­cher ist Fach­an­walt für IT-Recht bei HÄRTING Rechts­an­wäl­te  in Ber­lin. Er berät Man­dan­ten im E-Com­mer­ce, beim Daten­schutz und bei Soft­ware­pro­jek­ten. Stets aktu­el­le Infor­ma­tio­nen zu Safe Har­bor und EU-US Pri­va­cy Shield fin­den sich hier.

 

Wir dan­ken Herrn Dr. Schirm­ba­cher für die­sen Bei­trag über Safe Har­bor und das Pri­va­cy Shield. Wir freu­en uns auf sei­nen Vor­trag „5 Fak­ten, die man als Online-Mar­ke­ter über den Daten­schutz wis­sen muss“ am 09.12.16 auf der Medi­en­fach­ta­gung „OMG – What’s next?“.