Der Safe Harbor-K.O. und die Folgen: Jetzt machen die Landesdatenschutzbeauftragten Ernst.

Wie berichtet, geht der Europäische Gerichtshof (EuGH) davon aus, dass aus der EU exportierte personenbezogene Daten in den USA nicht sicher vor dem willkürlichen und massenhaften Zugriff durch Behörden sind. Die obersten Richter haben daher am 06.10.2015 das so genannte Safe Harbor-Abkommen gekippt, das bislang Datenübermittlungen zwischen Europa und den USA geregelt hatte.

Ob alternativ nunmehr auf die EU-Standardvertragklauseln zur Auftragsdatenverarbeitung zurückgegriffen werden kann, erscheint sehr zweifelhaft. Hiernach muss der Datenimporteur gegenüber dem europäischen Datenexporteur unter anderem garantieren, dass er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen. Genau diese vertragliche Pflicht können US-amerikanische Vertragspartner mit Blick auf das in den USA geltende Recht aber nicht einhalten.

Die Landesdatenschutzbeauftragten setzen nun um, was ihnen der EuGH mit seinem Urteil de facto vorgibt: zu kontrollieren, ob beim US-Datenimporteur ein angemessenes, der EU vergleichbares Datenschutzniveau herrscht und entsprechende Schutz- und Rechtsweggarantien für die Betroffenen bestehen.

Nachdem dies derzeit evident nicht der Fall ist, wovon auch die EU-Kommission ausgeht, werden die EU-Datenexporteure nun direkt in die Pflicht genommen:

– Wie etwa der SWR berichtet, müssen rheinland-pfälzische Unternehmen, die persönliche Daten in die USA übermitteln, sich diese Exporte vom Datenschutzbeauftragten genehmigen lassen. Dies ergibt sich aus einer Verfügung des rheinland-pfälzischen Datenschutzbeauftragten an die größten 120 Unternehmen im Land. Bei solchen persönlichen Daten kann es sich beispielsweise um Daten von Kunden oder Beschäftigten handeln. Die Firmen müssen dem Datenschutzbeauftragten mitteilen, wie sie künftig Daten schützen wollen, die sie in die USA übermitteln. Bei unzulässigen Datentransfers drohen hohe Bußgelder (s.u.).

– Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) geht sogar noch einen Schritt weiter und bezieht Unternehmen, die Daten auf der Grundlage der so genannten EU-Standardvertragsklauseln austauschen, in die “post safe harbor-Überprüfungen” mit ein. Im Bereich der Standardvertragsklauseln können die Aufsichtsbehörden Datenübermittlungen in die USA per Verwaltungsanordnung verbieten oder aussetzen. Die Anordnung ist möglich, wenn der Datenimporteur nach den geltenden US-Vorschriften sich nicht an europäisches Datenschutzrecht bzw. die Vorgaben der Standardvertragsklauseln halten kann. Die Datenexporteure aus Europa, so nun das ULD, können dies nur abwenden, indem sie von ihrem vertraglich bestehenden Recht Gebrauch machen, den Standardvertrag mit dem US-Datenimporteur aufzukündigen. Und weiter: Die Übermittlung personenbezogener Daten in die USA ohne Rechtsgrundlage erfülle den Bußgeldtatbestand nach § 43 Abs. 2 Nr. 1 BDSG (und kann hiernach mit einem Bußgeld in Höhe von bis zu 300.000 € für jede Tatbestandsverwirklichung geahndet werden, Anm.). Das ULD werde prüfen, ob Anordnungen gegenüber nichtöffentlichen Stellen getroffen werden müssen, auf deren Basis Datenübermittlungen in die USA ausgesetzt oder verboten werden müssen. Ferner werde geprüft, ob nichtöffentliche Stellen infolge der Datenübermittlung in ein Drittland mit fehlendem angemessenem Datenschutzniveau Ordnungswidrigkeiten verwirklicht haben.