Safe Harbor ist tot – lang lebe das Privacy Shield
Safe Harbor ist tot – lang lebe das Privacy Shield
Was bedeutet das für deutsche Marketers?
von Dr. Martin Schirmbacher, HÄRTING Rechtsanwälte
Safe Harbor ist tot. Das hat der Europäische Gerichtshof vor mehr als einem Jahr am 6. Oktober 2015 entschieden. Die Aufregung war groß und jetzt soll das Privacy Shield für einen rechtssicheren Datentransfer in die USA sorgen. Worum es dabei geht und was das für das Marketing in Deutschland bedeutet, erläutert dieser Blog-Beitrag.
Warum ist eine Datenübertragung in die USA problematisch?
Das deutsche Datenschutzrecht geht davon aus, dass eine Übermittlung von personenbezogenen Daten an Stellen außerhalb des Europäischen Wirtschaftsraums nicht erfolgen darf, wenn bei dem Unternehmen, an das die Daten übermittelt werden sollen, kein angemessenes Datenschutzniveau gewährleistet ist. Es gibt einige Länder außerhalb Europas, bei denen die EU-Kommission ein angemessenes Datenschutzniveau anerkannt hat. Diese werden datenschutzrechtlich als so genannte sichere Drittländer bezeichnet. Dazu zählen etwa Argentinien und Australien, nicht aber die USA. Ein Datentransfer in die USA ist daher grundsätzlich verboten und bedarf einer zusätzlichen Rechtfertigung.
Was geht das deutsche Marketers an?
Das betrifft deutsche Unternehmen nur scheinbar nicht. Nahezu jedes größere Unternehmen transferiert regelmäßig personenbezogene Daten in die USA. Im Konzern ist das selbstverständlich, wenn etwa mit Schwestergesellschaften gemeinsame Datenbanken geführt werden. Doch auch niedersächsische Mittelständler übertragen Daten über den Atlantik, etwa wenn sie Amazons Cloud oder Googles Analytics nutzen. Jede Agentur, die den Einsatz von Mailchimp für das E‑Mail-Marketing empfiehlt (oder duldet), sollte sich damit auseinandersetzen. Und Unternehmen, die Sales Force oder Sage einsetzen, müssen auch damit rechnen, dass Daten auch in den USA gespeichert werden, wenn nichts anderes vereinbart ist. Im Übrigen genügt bereits, dass Unternehmen aus den USA auf personenbezogene Daten zugreifen können. Die Regeln zum transatlantischen Datentransfer gehen also alle an.
Was war Safe Harbor?
Um einen Datentransfer in die USA überhaupt zu ermöglichen, schuf die Europäische Kommission gemeinsam mit den U.S.-Kollegen das Safe-Harbor-Regime. US-Unternehmen, die sich den Safe Harbor-Prinzipien unterwarfen, galten als Unternehmen mit einem angemessenen Datenschutzniveau. Eine Berufung auf Safe-Harbor ist jedoch seit dem EuGH-Urteil ausgeschlossen.
Und was ist das Privacy Shield?
Nach der Gerichtsentscheidung musste schnell ein Nachfolgeabkommen her. Die EU-Kommission befand sich bereits seit Jahren in Verhandlungen mit den USA über eine neue Version eines Safe-Harbor-Abkommens, das den EU-Bürgern mehr Kontrolle über ihre Daten gibt. Diese Gespräche bekamen eine neue Dynamik und mündeten in der Errichtung des Privacy Shield. Das funktioniert letztlich nach dem gleichen Prinzip. U.S.-Unternehmen können sich selbst zertifizieren und den – deutlich strengeren – Standards unterwerfen. Wer den Prinzipien unterworfen ist, gilt datenschutzrechtlich als sicheres Unternehmen. Das Privacy Shield soll einmal im Jahr von der EU-Kommission kritisch geprüft werden.
Inzwischen haben sich bereits viele amerikanische Unternehmen dem Privacy Shield unterworfen. Wer genau, lässt sich hier anschauen.
Was ist jetzt zu tun?
Deutsche Unternehmen können das Thema nicht einfach ignorieren. Die Safe-Harbor-Privilegierung ist weggefallen. Eine Übertragung von personenbezogenen Daten an amerikanische Unternehmen ist ohne eine Alternativlösung illegal. Gleiches gilt für den Zugriff auf solche Daten durch U.S.-Dienstleister. Die betroffenen Unternehmen – und zwar sowohl der deutsche Datenexporteur, als auch der U.S.-Dienstleister – verstoßen damit gegen die einschlägigen Datenschutzgesetze.
Deutsche Datenschutzbehörden haben bereits Bußgelder gegen Unternehmen verhängt, die Daten an Unternehmen in den USA übertragen haben, wenn die einzige Rechtfertigung ein veraltetes Safe-Harbor-Zertifikat war.
Unternehmen sollten spätestens jetzt alle Dienstleister und Partner in den USA durchgehen und prüfen, ob es eine Rechtsgrundlage für eine Datenübermittlung gibt. Steht das Unternehmen nicht unter dem Privacy Shield, muss die Datenübertragung nicht illegal sein.
Welche Handlungsalternativen gibt es?
Es gibt verschiedene Möglichkeiten, für eine datenschutzkonforme Datenübermittlung an U.S.-Dienstleister zu sorgen. In vielen Fällen werden nicht alle Varianten in Betracht kommen.
Sitz innerhalb der EU oder in einem sicheren Drittland
Große U.S.-Dienstleister, allen voran Microsoft, bauen massiv Serverstandorte innerhalb der EU (meist Irland oder Schweden) und sogar in Deutschland aus, die von lokalen Gesellschaften betrieben werden. Ist gewährleistet, dass Mitarbeiter von U.S.-Gesellschaften auf diese Daten keinen Zugriff haben, liegt keine Übermittlung in die USA vor.
Abschluss von EU-Standardvertragsklauseln
Möglich ist auch der Abschluss gesonderter die Datenverarbeitung betreffender Verträge mit dem Dienstleister auf Basis der EU-Standardvertragsklauseln, die dem deutschen Unternehmen auf vertraglichem Wege einen hinreichenden Datenschutz gewährleisten. Dann sollten allerdings auch wirklich die Standards der Kommission verwendet werden und nicht irgendeine Vorlage. Für Online-Marketing-Dienstleister sind in der Regel die Standardvertragsklauseln für Auftragsdatenverarbeiter die richtige Vorlage. Unterzeichnet der Dienstleister und hält er sich anschließend an die Vorgaben des Vertrages, stehen einer Übermittlung der Daten ins Ausland Interessen der Kunden nicht entgegen.
Allerdings ist damit zu rechnen, dass sich der EuGH in nicht allzu ferner Zukunft auch mit den Standardvertragsklauseln beschäftigen wird.
Einwilligung in die Datenübermittlung in die USA
Stets zulässig ist die Übertragung von Daten an Unternehmen in den USA, wenn der Betroffene wirksam eingewilligt hat. Dies ergibt sich aus § 4c BDSG. Die Anforderungen an eine transparente Information und darauf beruhende Einwilligung sind jedoch hoch. Eine bloße Änderung der Datenschutzbestimmungen genügt jedenfalls nicht. Es bedarf einer transparenten Information des Kunden auch über die Risiken der Übermittlung von Daten in die USA, zudem muss dem Kunden eine echte Wahlmöglichkeit gegeben werden. Eine „untergeschobene Einwilligung“ würden die Datenschutzbehörden nicht akzeptieren. Willigt der Kunde nicht ein, muss der Datentransfer unterbleiben.
Zusätzliche Anforderungen beim Privacy Shield
Die europäischen Datenschutzbehörden haben bekundet, das Privacy Shield zunächst zu akzeptieren, behalten sich aber eine Detailprüfung vor. Außerdem haben einzelne Behörden erkennen lassen, dass sie stets eine Prüfung im Einzelfall vorbehalten.
Insgesamt kommt es darauf an, belastbare Garantien des Dienstleisters zu bekommen und einen Katalog an technischen und organisatorischen Maßnahmen aufzunehmen, der dem entspricht, was deutsche Unternehmen aus der Anlage zu § 9 BDSG kennen. Erforderlich ist also, dass der U.S.-Dienstleister konkrete Zusagen zum Umgang mit den Daten und zu Datensicherungsmaßnahmen macht.
Fazit
Safe Harbor ist tot. Das Privacy Shield ist jedoch ein von der Technik her vergleichbares Konstrukt. Wichtig ist, dass sich deutsche Unternehmen mit dem Thema befassen. Deutlich wahrscheinlicher als früher ist, dass Datenschutzbehörden kritisch nachfragen und belastbare Aussagen zum Einsatz ausländischer Dienstleister fordern. Dies läuft darauf hinaus, eine Vereinbarung über die Datenverarbeitung im Auftrag mit dem Partner in den USA zu schließen.
Dr. Martin Schirmbacher ist Fachanwalt für IT-Recht bei HÄRTING Rechtsanwälte in Berlin. Er berät Mandanten im E‑Commerce, beim Datenschutz und bei Softwareprojekten. Stets aktuelle Informationen zu Safe Harbor und EU-US Privacy Shield finden sich hier.
Wir danken Herrn Dr. Schirmbacher für diesen Beitrag über Safe Harbor und das Privacy Shield. Wir freuen uns auf seinen Vortrag “5 Fakten, die man als Online-Marketer über den Datenschutz wissen muss“ am 09.12.16 auf der Medienfachtagung “OMG – What’s next?”.
