Schon seit längerem führt der österreichische Jurist Maximilian Schrems einen Kampf für den Datenschutz innerhalb der EU und insbesondere gegen Facebook. Er klagte zuletzt in Irland, wo Facebook in Europa ansässig ist, gegen die Weiterleitung der Daten in die USA. Der irische Datenschutzbeauftragte hielt die Weiterleitung nach dem Safe Harbor Abkommen für zulässig und lehnte ein Vorgehen gegen Facebook ab. Das irische Gericht rief nun den EuGH an, ob das Safe Harbor Abkommen, wonach sich US Unternehmen verpflichten können, sich bestimmten Datenschutzregeln zu unterwerfen, einem Vorgehen gegen Facebook wirklich im Wege steht. Der EuGH hat nicht nur erklärt, dass die Datenschutzbehörden in den Mitgliedsstaaten zu einer vollumfänglichen, eigenen Prüfung verpflichtet sind, sondern auch dass die EU Kommission mit dem Safe Harbor Abkommen rechtswidrig die Rechte dieser Datenschutzbehörden eingeschränkt hat.
Die Entscheidung des EuGH liegt bisher nicht im Volltext vor. Es ist allerdings davon auszugehen, dass das Abkommen ab sofort als unwirksam zu betrachten ist. (UPDATE: Die Entscheidung liegt inzwischen vor. Das Abkommen ist ab sofort unwirksam.) Eine Übertragung von Daten in die USA dürfte daher nicht mehr mit der Privilegierung nach dem Safe Harbor Abkommen vorgenommen werden. Bisherige Verträge auf dieser Grundlage dürften jetzt rechtswidrig sein.
Da der EuGH die Eigenständigkeit der nationalen Datenschutzbehörden und deren Unabhängigkeit betont, wird daher die Frage der Durchsetzung dieser Entscheidung ebenfalls bei nationalen Datenschutzbehörden liegen. Auch wenn dies möglich wäre, ist es kaum vorstellbar, dass die nationalen Datenschutzbehörden direkt gegen Unternehmen vorgehen, die zumindest bisher scheinbar rechtmäßig Daten in die USA übertragen haben. Wir werden hierüber aber berichten, sobald ein Verhalten der nationalen Datenschutzbehörden erkennbar wird
Title
Was bleibt einem Unternehmen, wenn Safe Harbor entfällt noch an Möglichkeiten, rechtmäßig Daten in die USA zu übertragen?
- Einwilligung:
Mit Einwilligung des Betroffenen dürfen Daten auch in die USA übertragen werden. An die Einwilligung sind jedoch erhebliche Anforderungen zu stellen, da der Betroffene über die Verarbeitung der Daten vollumfänglich aufzuklären ist. Nur dann ist die Einwilligung wirksam (siehe auch hierzu unser Beitrag zum Problemfall Datenschutz: Windows 10). - Muster-Klauseln:
Die Verarbeitung in den USA wäre auch dann zulässig, wenn das US Unternehmen sich den Muster-Klauseln der EU-Kommission zur Datenverarbeitung unterwirft. Hierbei handelt es sich um eine Vertragsvorlage, die sehr detailliert die Pflichten des Empfängers der Daten vorsieht. Insbesondere haftet der Empfänger umfänglich für die Einhaltung der Datenschutzanforderungen. Außerdem werden Pflichten zur Prüfung der Einhaltung vorgesehen. Einige größere Unternehmen haben diesen Weg bereits vorbereitet, ob kleinere Unternehmen dazu bereit oder in der Lage sind, wird sich erst zeigen. - Anonymisierung/Pseudonymisierung:
Daten könnten anonymisiert bzw. pseudonymisiert übertragen werden. In diesem Fall würden keine personenbezogenen Daten im Sinne des europäischen Datenschutzrechts mehr vorliegen. Dies kann schon technisch problematisch sein, dürfte aber gerade bei der Analyse von Nutzungsverhalten durch Kunden eine valide Alternative sein. In der Praxis wird häufig mit der Bildung von Hashes anstatt von personenbezogenen Daten gearbeitet. - Sonstige Erlaubnisnormen:
Daten können auch dann ohne Zustimmung verarbeitet und übertragen werden, wenn dies zur Vertragserfüllung zwingend notwendig ist. Diese und andere Erlaubnisnormen sind aber sehr restriktiv anzuwenden und dürften hier nur selten weiterhelfen.
Es ist den europäischen Unternehmen dringend anzuraten, noch einmal zu prüfen, auf welcher Grundlage derzeit Daten in die USA übertragen werden. Die oben genannten Alternativen müssen zügig mit den US Partnern angesprochen und umgesetzt werden. Ob und wann eine Durchsetzung durch die nationalen Behörden erfolgt bleibt abzuwarten, es ist jedoch mit einer Flut von Beschwerden und neuen Abmahnwellen zu rechnen. Ebenfalls unklar ist, ob die laufenden Verhandlungen der EU-Kommission mit den USA über ein neues Safe Harbor Abkommen nach den Vorgaben des EuGH überhaupt erfolgreich beendet werden können. Selbst wenn ein neues Abkommen rechtlich unbedenklich wäre, so wird dies sicherlich noch mehrere Monate in Anspruch nehmen. Als europäisches Unternehmen wird man sofort handeln müssen.