Nachdem der Europäische Gerichtshof das „Safe-Harbor“ Abkommen für ungültig erklärt hat, kündigten deutsche Datenschutzbehörden bereits schon jetzt an, bei auftretenden Beschwerden, den europäischen Unternehmen den Datenaustausch und die Datenübermittlung nach Amerika zu untersagen. Entscheidungen der deutschen Datenschutzbehörden sind jedoch nicht vor Februar zu erwarten.
Am 6. Oktober 2015 hat der Europäische Gerichtshof (Az C-362/14) das Safe-Harbor Abkommen, das heißt den Datenaustausch zwischen den USA und der EU, für ungültig erklärt. Die Europäische Kommission hatte im Jahre 2000 ein Abkommen auf dem Gebiet des Datenschutzrechts erlassen. Dieses ermöglichte Unternehmen, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der Europäischen Union in die USA zu übermitteln.
Safe-Habor-Urteil: Europäische Daten dürfen von Unternehmen nicht mehr in die USA übermittelt werden
Diesem Datentransfer hat der EuGH jetzt einen Riegel vorgeschoben. Europäische Daten dürfen nicht mehr ohne Prüfung nationaler Behörden an amerikanische Unternehmen, wie die Weltkonzerne Microsoft, Google und Facebook übermittelt werden. Die EU-Kommission habe durch ihr damaliges Abkommen die Befugnisse der nationalen Datenschutzbehörden nicht beschränken dürfen. Grund hierfür sei der, dass die Daten in den USA nicht ausreichend sicher vor dem Zugriff amerikanischer Behörden seien, wie zum Beispiel dem US-Geheimdienst.
Deutsche Datenschutzbehörden streben Prüfungsverfahren an: Anwendung von EU-Standardklauseln oder Einzelfallentscheidung
Jetzt sind erst mal die deutschen Datenschutzbehörden an der Reihe. Diese planen bis Ende Januar darüber zu entscheiden, ob EU-Standardvertragsklauseln sowie die Binding Corporate Rules ungültig sind. Bis zum Abschluss dieses Prüfungsverfahrens, haben sich die deutschen Datenschutzbehörden gemeinsam darauf geeinigt, nicht gegen die Unternehmen vorzugehen.
Europäische und internationale Arbeitsgruppen wollen im Prüfungsverfahren entscheiden, ob sie EU-Standardklauseln anwenden wollen, wenn die rechtsstaatliche Situation im Empfängerstaat nicht stimmt oder ob sie die Datenübermittlung nur in Einzelfällen untersagen möchten. Wird im Prüfungsverfahren die Entscheidung getroffen, dass immer Einzelfallentscheidungen stattfinden sollen, dann könnte ein Kriterium für ein Untersagen von Datenübermittlungen sein, ob das Unternehmen, das Daten übermitteln möchte, schon einmal Teil des NSA-Überwachungsprogramms PRISM war. Ist dies der Fall würde dem Unternehmen untersagt werden, Daten zu übermitteln. Die Konsequenz wäre, dass Datenübermittlungsverbote vor allem, große US-amerikanische IT-Konzerne betreffen würden.
Unternehmen sollten bis Januar 2016 nach alternativer Datenverarbeitung in Europa suchen
Bis Januar 2016 sollte dieses Prüfungsverfahren abgeschlossen sein. Bis dahin läuft die Frist für Unternehmen, alternative Möglichkeiten zu finden, ihre Daten in Europa zu verarbeiten, so der Hamburgische Datenschutzbeauftragte Johannes Caspar.
Die Bundesländer Hamburg, Bremen und auch Schleswig-Holstein gehen nicht davon aus, dass alternative Rechtsinstrumente, das für ungültig erklärte Safe-Habor-Abkommen ersetzen könnten. Das Problem liege deutlich tiefer. Eine Voraussetzung für alternative Rechtsinstrumente wäre, dass die USA für EU-Bürger ein gleichwertiges Schutzniveau im Umgang mit ihren personenbezogenen Daten zusichern müsste.
Viele Beschwerden von Bürgern über Datenschutzverstöße
Die Karenzfrist bis Abschluss des Prüfungsverfahrens Ende Januar 2016 gilt für Unternehmen jedoch dann nicht, sofern sich Kunden oder Mitarbeiter bei der Aufsichtsbehörde im Vorfeld beschweren. Dann müssen die Behörden den ihnen vorgetragenen Sachverhalt vorzeitig prüfen. Auf eine Entscheidung der Behörde müssen die Kunden jedoch aus praktischen Gründen auch bis Februar warten. Unternehmen müssen dann mit einer Abmahnung rechnen.
Marit Hansen vom Unabhängigen Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein berichtete bereits jetzt, dass viele Bürger Beschwerden einreichen und Allgemeine Geschäftsbedingungen, zum Beispiel in Krankenkassen-Apps bemängeln.
Deutsche Datenschutzbehörden wollen nach alternativen Datenübermittlungsmöglichkeiten für Unternehmen suchen
Das Landeszentrum für Datenschutz plant, Unternehmen bei der Suche nach einer alternativen Datenübermittlung zu unterstützen. Dabei werden auch die Unternehmen ihrerseits bereits tätig. Sie erkundigten sich bei Aufsichtsbehörden, welche Software sie für ihre Webinars oder Tele-Konferenzen verwenden können. Auch bei diesen Medien werden Daten von Arbeitnehmern in die USA übermittelt. Hierbei unterstützt das Landeszentrum für Datenschutz in Schleswig-Holstein die Unternehmen bei der Suche nach alternativen Handlungsinstrumenten. Als Alternative kommt zum Beispiel das EduDip in Betracht, das ohne die Übermittlung der Daten in die USA auskommt und ein Opt-out für Google Analytics bietet. Für interne Terminabsprachen in Unternehmen, sei zum Beispiel nicht Doodle nötig, sondern Alternativen wie DFN Terminplaner oder Dudle.
Andere Aufsichtsbehörden zögern hingegen noch, da jede neue Alternative wiederum Probleme mit sich bringt.
Geheimdienste vom Safe-Harbor-Urteil auch betroffen
Marit Hansen geht davon aus, dass sich das Safe-Harbor-Urteil auch auf die rechtsstaatliche Kontrolle von Geheimdiensten auswirken wird. Bis jetzt müssen Unternehmen noch nicht bei der Benutzung europäischer Cloud-Dienste darauf achten, ob europäische Geheimdienste, wie der britische Geheimdienst GCGQ, unkontrolliert Zugriff auf die dort benutzten Daten nehmen. Ob sich dies in Zukunft ändern wird bleibt abzuwarten. Bis jetzt wird der Datentransfer innerhalb der EU nicht untersagt. Jedenfalls werden solche Fragen wohl bald geklärt werden, so Marit Hansen vom Unabhängigen Landeszentrum für Datenschutz.
Unternehmen ist anzuraten zumindest bis Januar 2016 nach alternativen Möglichkeiten der Datenverarbeitung zu suchen. Ab Januar ist verstärkt mit Abmahnungen zu rechnen, sollten Unternehmen ihre Daten weiterhin in die USA übermitteln. Bis dahin dauert das Prüfungsverfahren der deutschen Datenschutzbehörden und die damit verbundene Lösungsfindung nach praktischer Umsetzung des EuGH Urteils wohl noch an. (LaR)
Sehen Sie sich zu Safe-Harbor das folgende Video an: