Text

Wir hatten bereits direkt nach dem Urteil des Europäischen Gerichtshofes darüber berichtet, dass die Nutzung von Clouddiensten und der Datenaustausch mit den USA komplizierter werden würde. Nachdem inzwischen erste Reaktion von Aufsichtsbehörden und aus der Industrie vorliegen, bestätigen sich die ursprünglichen Befürchtungen. 

Der Hessische Datenschutzbeauftragte hat am 26. Oktober 2015 eine Stellungnahme  der Datenschutzbehörden des Bundes und der Länder zum zukünftigen Export von personenbezogenen Daten in die USA veröffentlicht. Darin werden die verbleibenden durch das Bundesdatenschutzgesetz vorgesehenen Rechtfertigungsgründe für ein Übertragung von Daten in die USA kommentiert.

  • Einwilligung:
    Wie auch schon durch uns angedeutet, sieht der Hessische Datenschutzbeauftragte nur wenig Raum für eine Einwilligung in die Übertragung in die USA und wenn dann nur in Einzelfällen und nicht in massenhaften Verfahren. Eine wirksame Aufklärung über die tatsächlichen und rechtlichen Risiken ist kaum möglich. Insbesondere weist er darauf hin, dass die Einwilligung in den Export von Beschäftigtendaten z.B. an eine zentrale Personalverwaltung in den USA oder zur Speicherung in der Cloud in den USA nur in ganz seltenen Fällen wirksam sein dürfte. Dies beruht wohl auch darauf, dass die Einwilligung in die Datenverarbeitung im Rahmen von Arbeitsverhältnissen wegen drohender Repressalien im Verweigerungsfall meist nicht als "freiwillig" angesehen werden. 
  • Verbindliche Unternehmensregeln:
    Der Hessische Datenschutzbeauftragte weist darauf hin, dass er auch die Anwendung von verbindlichen Unternehmensregeln für den Datenschutz im Sinne des Bundesdatenschutzgesetzes vor dem Hintergrund des EuGH Urteils und des fehlenden Rechtsschutz in den USA als unzureichend ansieht und vorerst keine neuen verbindlichen Unternehmensregeln mehr genehmigen wird. Bisher war es möglich, dass ein US Unternehmen, wenn es sich zu verbindlichen Unternehmensregeln für den Datenschutz verpflichtete und diese Regeln durch den behördlichen Datenschutzbeauftragten genehmigen liess, als sicherer Empfänger galt. Damit entfällt eine weiter Möglichkeit des legalen Datenexports für Unternehmen mit Sitz in Deutschland.
  • Standardklauseln der EU-Kommission:
    In den meisten Kommentierungen, so auch bei uns, wurden die Standardklauseln als "rettende Ausnahme" dargestellt. Die wohl einzige rechtssichere Lösung für den Datenexport. Danach ist der Datenexport legal, wenn die Parteien einen von der EU-Kommission vorgegebenen Vertragstext (die Standardklauseln) in unveränderter Form benutzen. Nunmehr verweist der Hessische Datenschutzbeauftragte auf sein Prüfrecht auch bei der Verwendung der Standardklauseln. Danach kann eine nationale Aufischtsbehörde trotz Nutzung der Standardklauseln eine Übertragung untersagen, wenn bekannt ist, dass die importierende Partei sich nicht daran halten wird oder wenn bekannt ist, dass die Behörden im Empfangsstaat den Empfänger dazu zwingen können von den Grundprinzipien des Europäischen Datenschutzes abzuweichen. Im Hinblick auf dieses Prüfungsrecht verweist der Hessische Datenschutzbeauftragte ausdrücklich darauf, dass der EuGH genau dies in seiner Entscheidung den USA vorgeworfen hat.

Mehr oder weniger direkt teilen die deutschen Datenschutzbehörden also mit, dass Sie derzeit keinen rechtlich unbedenklichen Fall des Exports von Daten in die USA erkennen können und auch nicht willens ist einen solchen Export im Einzelfall zu genehmigen. Faktisch heißt dies für Unternehme mit Sitz in Deutschland, dass vor allem die Nutzung von Clouddiensten unter Verwendung personenbezogener Daten nur noch in extrem seltenen Fällen zulässig sein dürfte, z.B. wenn Daten schon verschlüsselt in die Cloud gegeben werden. Die Verschlüsselung von Daten vor der Übertragung in die Cloud wird zumindest nach dem Leitfaden des Hessischen Datenschutzbeauftragten zur Cloud-Nutzung eine mögliche Option darstellen. Das Problem dabei bleibt, dass Cloudlösungen, die eine lokale Ver- und Entschlüsselung erfordern, häufig nicht performant sind.

Google selbst schreibt derzeit seine B2B Cloudkunden an und bietet ihnen bei Bedarf den Abschluss eines Vertrages nach den Standardklauseln der EU-Kommission an. Dabei ist allerdings anzumerken, dass der Entwurf im Hinblick auf die Haftungsregelungen im Vergleich zu den Standardklauseln der EU-Kommission modifiziert wurde. Es ist daher zumindest fraglich, ob das Privileg der Standardklauseln dann überhaupt zur Anwendung kommen kann, auch wenn die Ergänzung nicht den sonstigen Regelungen widerspricht. In jedem Fall aber dürfte die Verwendung der Standardklauseln nach der Äußerung der Datenschutzkonfrenz auch keine sichere Lösung mehr darstellen.

Wir werden über die weiteren Entwicklungen berichten.

Mehr Artikel zu: Medien-IT-Recht