Der Europäische Gerichtshof (EuGH) hat entschieden, dass der Transfer von personenbezogenen Daten in die USA nicht mehr auf Grundlage des Safe Harbor-Abkommens erfolgen darf (Urteil vom 6.10.2015, Az. C-362/14).
Datentransfer an Drittstaaten
Personenbezogene Daten von Kunden, Nutzern oder Mitarbeitern an Dritte dürfen grundsätzlich nicht übermittelt werden, wenn die Betroffenen nicht eingewilligt haben oder das Unternehmen eine Übermittlung im Rahmen einer Auftragsdatenverarbeitung gem. § 11 BDSG vornimmt. In einem Vertrag zur Auftragsdatenverarbeitung verpflichten sich die Auftragnehmer (z.B. Provider, Cloud-Anbieter, Software-Unternehmen, Werbeagenturen, etc.) die erhaltenen Daten vor allem nicht für andere Zwecke zu nutzen sowie notwendige technisch-organisatorische Schutzmaßnahmen vorzuhalten.
Auftragsdatenverarbeitung ist auch mit Unternehmen denkbar, die nicht in der EU ansässig sind (§ 3 Abs. 8 BDSG). Hier ist es erforderlich, dass mit Hilfe sog. Standardvertragsklauseln eine Verpflichtung auf den Datenschutz erfolgt, wenn das beauftragte Unternehmen die Datenverarbeitung in einem Land mit einem hinreichenden Datenschutzniveau vornimmt (§§ 4 b, 4 c BDSG).
Über ein hinreichendes Datenschutzniveau verfügen außerhalb der EU jedoch nur wenige andere Staaten. Die USA gehören nicht dazu, weswegen die EU-Kommission im Jahr 2000 mit den USA das sog. Safe Harbor-Abkommen zur Sicherung des Datenschutzniveaus abgeschlossen hat. Nach diesem Abkommen verpflichten sich US-Unternehmen den EU-Datenschutzstandards zu genügen, um eine Safe Harbor-Zertifizierung zu erhalten. Damit galt ihre Datenverarbeitung als dem EU-Datenschutzniveau entsprechend, so dass die Übermittlung von Daten grundsätzlich rechtmäßig war.
Die EuGH-Entscheidung
Der EuGH bestätigte nun, dass die Selbstverpflichtung der Unternehmen nicht der Realität entsprach. Es war allgemein bekannt, dass z.B. die Selbstverpflichtung nicht geprüft wurden und nicht geprüft werden konnten, dass US-Unternehmen personenbezogene Daten datenschutzwidrig auswerteten und Zugriffe staatlicher Behörden üblich waren. Daher entschied der EuGH nunmehr konsequent, dass das Safe Harbor-Abkommen für die Zukunft keine Wirksamkeit besitzt und die bisher angewandten Standardvertragsklauseln zweifelhaft sind.
Konsequenzen
Unternehmen müssen zukünftig eine Einwilligungen der betroffenen Kunden, Nutzer oder Mitarbeiter einholen, um Daten rechtmäßig in die USA übermitteln zu dürfen.
Die Praxis sieht bislang anders aus, da wohl die Mehrheit der Unternehmen Plugins von US-Social Media-Anbietern auf ihrer Website verwenden, Analysewerkzeuge aus den USA nutzen oder personenbezogene Daten in der Cloud eines US-Anbieters lagern. Hier bleibt nun abzuwarten, wie die Aufsichtsbehörden Wettbewerber und Betroffene reagieren.
Unternehmen müssen prüfen, ob die Datenübermittlung ins außereuropäische Ausland durch wirksame Einwilligungen der betroffenen Kunden gedeckt ist oder ob alternativ anstelle eines US-Anbieters ein europäischer Anbieter gewählt werden kann.
