Update: Folgen der Ungültigkeit von Safe Harbor – was bleibt noch übrig?
Von RA/Fachanwalt IT-Recht Dr. Jens Bücking, Stuttgart
Wir hatten auf Kanzlei.de News berichtet:
Mit Urteil vom 06.10.2015 hat der Europäische Gerichtshof (EuGH) den Datenaustausch mit den USA auf personenbezogene bzw. personenbeziehbare Daten – und dies sind letztlich fast alle unternehmensrelevanten Datensätze, da auch kaufmännische Unterlagen in der Regel Rückschlüsse auf eine natürliche Person (auf Empfänger- oder Absenderseite oder bei der Leistungserbringung) zulassen oder in sonstiger Weise eine in den kaufmännischen Prozess eingeschaltete Person identifizierbar machen – faktisch außer Kraft gesetzt.
Schon zuvor waren massive Zweifel an der Effektivität dieser Selbstzertifizierung aufgekommen, der sich nahezu alle großen amerikanischen Unternehmen, die im Geschäftsverkehr mit den EU-Mitgliedsstaaten stehen, angeschlossen hatten. Zuletzt waren ca. 4000 US-Firmen nach Safe-Harbor zertifiziert, darunter die großen IT-Konzerne wie Microsoft, IBM, Apple, Adobe und Google.
Expertengremien aus den Bereichen Datenschutz und Datensicherheit wie beispielsweise die von der EU-Kommission eingesetzte Artikel 29-Gruppe forderten etwa, dass sich der Datenexporteur bei Datentransfers in die USA nicht mehr auf das Vorliegen einer Zertifizierung nach Safe-Harbor verlassen dürfe sondern die Zertifizierungskriterien eigens oder durch eine geeignete Auditierung prüfen und fortlaufend auf fortbestehende Rechtgültigkeit hin überwachen müsse.
Grundlage des Safe Harbor-Abkommens war eine Entscheidung der EU-Kommission aus dem Jahre 2000, die auf vom US-Handelsministerium aufgestellten Regelungen zur Gewährleistung des Schutzes personenbezogener Daten beruht. Einen entsprechenden Austausch solcher Daten zwischen den USA und der EU hat der EuGH nun faktisch für unzulässig erklärt. Den Urteilsgründen zufolge hätte die EU-Kommission die Befugnisse der nationalen Datenschutzaufsichtsbehörden nicht durch einen Beschluss, wie jedoch geschehen, beschränken dürfen. Die persönlichen Daten europäischer Nutzer seien in den USA nicht ausreichend vor staatlichen Zugriffen geschützt. Überdies stünden für europäische Nutzer gegen eine unrechtmäßige Datenverarbeitung in den USA auch keinerlei Rechtswege zur Überprüfung solcher Verarbeitungen offen, was der EuGH ebenfalls als unverhältnismäßigen Eingriff in Grundrechte beurteilte. Die Datenschutzbehörden müssten losgelöst von jeder staatlichen Aufsicht und Eingriffsmöglichkeit prüfen können, ob bei der Datenübermittlung alle gesetzlichen Anforderungen erfüllt würden, dies unabhängig von den Entscheidungen der EU-Kommission. Das Urteil stärkt damit also auch die Rechte der nationalen Datenschutzaufsichtsbehörden.
Ein Datenaustausch mit den USA war bis zum 6.10.2015 unter jeder der folgenden 4 Voraussetzungen möglich:
1. Safe Harbor-Abkommen
Die EU-Kommission hatte mit der US-Regierung ein Verfahren vereinbart, dass US-Unternehmen eine Selbstverpflichtungserklärung abgeben können, sich an EU-Datenschutzgrundsätze zu halten und sich in eine Liste beim US-Handelsministerium eintragen können, die im Internet veröffentlicht wurde. Im Laufe der Jahre stellte sich heraus, dass viele US-Unternehmen sich nur in die Liste eingetragen haben, ohne gleichzeitig die Anforderungen der Selbstverpflichtungserklärung zu erfüllen. Die amerikanische Regierung hatte Verstöße gegen die Selbstverpflichtungserklärung weder kontrolliert noch geahndet. Das hatte die deutschen Datenschutzaufsichtsbehörden schon 2010 veranlasst, von deutschen Unternehmen zu verlangen, sich nicht nur auf Safe Harbor zu verlassen sondern eine eigene Datenschutzprüfung durchzuführen.
Der EuGH war der Auffassung, dass die EU-Kommission mit dem Abschluss des Safe Harbor-Abkommens zu weitgehend in die Aufgaben der nationalen Datenschutzbehörden eingegriffen hat und durch die NSA-Überwachung eine Einhaltung des Datenschutzes durch US-Unternehmen kaum möglich ist.
2. Einzelfallprüfung
Eine Möglichkeit besteht darin, dass Datentransfers in die USA im Einzelfall nach Maßgabe einer Verhältnismäßigkeitsprüfung erlaubt sein können, wenn die Betroffenen ausdrücklich und freiwillig einem solchem Transfer zugestimmt haben, dieser zudem die strengen Voraussetzungen einer rechtlichen Notwendigkeit erfüllt und die Wahrung der Firmeninteressen bei Abwägung mit den berechtigten Interessen der Betroffenen dazu führt, dass die Firmeninteressen die Betroffenen-Interessen überwiegen. Dies bedeutet letztlich nach der Interpretation des „Düsseldorfer Kreises“ (als des führenden Gremiums der Datenschutzbeauftragten des Bundes und der Länder), dass ein schriftlicher Vertrag für die Auftragsdatenverarbeitung unter Einschluss einer Zuverlässigkeitsprüfung des Anbieters und seiner IT-Infrastruktureinrichtungen und Prozesse erfolgen muss und im Vertrag die technisch-organisatorischen Maßnahmen aufgeführt und vom Anbieter entsprechend zugesichert werden müssen. Auch während des laufenden Auftragsdatenverarbeitungsverhältnisses ist die Einhaltung der Kriterien und Maßnahmen regelmäßig zu überprüfen. Die Nutzer, die US-Rechenzentren nutzen und hierfür Daten aus der EU exportieren, müssen mithin die Übermittlungsanforderungen jedes einzelnen Datums sichern. Hierzu gehört, dass an der Übermittlung ein vertragliches oder sonstiges berechtigtes Interessen besteht und diese Übermittlung auch erforderlich ist. An der Erforderlichkeit spätestens scheitert in der Regel die Übermittlung. Es ist kaum begründbar, dass eine Nutzung personenbezogener Daten zwingend außerhalb der EU oder des EWR erfolgen müsse, da es auf der anderen Seite kaum zu widerlegen sein wird, dass es auch adäquate Rechenzentrumsstrukturen innerhalb Europas gibt. Zusätzlich zu diesen generell für die Datenübermittlung geltenden Anforderungen müssen bei Übermittlungen ins Drittausland, also außerhalb des EU-/EWR- Raumes, die Voraussetzungen der §§ 4b, 4c BDSG erfüllt sein. Danach muss in jedem Fall der Datenübertragung eine Einzelfallprüfung nach § 28 BDSG zur Zulässigkeit der Datenübertragung stattfinden, die zu dokumentieren ist.
Dies führt nicht zu einem generellen Verbot, jedoch zu einem deutlich verkomplizierten Verfahren beim Austausch von Daten mit den USA:
3. EU-Standardvertragsklauseln
Ist eine Rechtfertigung der Ausnahmeerlaubnistatbestände im vorgenannten Sinne nicht möglich, sondern soll generell ein entsprechender Geschäftsprozess zum Datenaustausch aufgesetzt oder fortgeführt werden, so kann sich der europäische Nutzer amerikanischer Rechenzentrumsdienstleistungen der speziellen EU- Standardvertragsklauseln bedienen, die vertraglich die Einhaltung ausreichender Datenschutzgarantien beim US-Auftragnehmer sicherstellen soll. Ein Blick auf die Datensicherheit genügt jedoch auch bei den EU- Standardvertragsklauseln nicht. Nach Interpretation der Artikel 29-Gruppe müssen neben der jederzeitigen Verfügbarkeit, Vertraulichkeit und Integrität, also einer Datensicherheit im Sinne des Mindestumfanges des TOM-Kataloges der Anlage 1 zu § 9 BDSG, Zutrittskontrollen erfolgen und die Datenschutzziele der Transparenz, Nichtverkettbarkeit und Intervenierbarkeit umgesetzt werden. Auch hier ist also Voraussetzung, dass neben dem Abschluss des Standardvertrages die verbindlichen Vorgaben des § 11 BDSG hinsichtlich der Auswahl des Anbieters und der Prüfung der Eignung der eingesetzten technischen und organisatorischen Maßnahmen zu erfolgen hat, mit anderen Worten ein Auftragsdatenverarbeitungsvertrag mit dem Katalog zugesicherter technisch- organisatorischer Maßnahmen erforderlich ist.
Das Gesetz schreibt eine Reihe von Einzelheiten vor, die zum Schutz der personenbezogenen Daten darin ausdrücklich festgelegt werden müssen. Von besonderer Bedeutung sind dabei die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die in Deutschland mit Geldbuße von bis zu 50.000,- EUR geahndet werden kann. Welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen, kann nicht pauschal beantwortet werden, sondern richtet sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen (vgl. Pressemitteilung des BAYERISCHES LANDESAMTES FÜR DATENSCHUTZAUFSICHT vom 20.08.2015).
4. Binding Corporate Rules
Möglich ist auch, dass sich die beteiligten Unternehmen verbindlichen Unternehmensregeln, sogenannten Binding Corporate Rules (BCR) unterwerfen. Auch hier wird ein angemessenes Schutzniveau per Vertrag hergestellt. Dieses ursprünglich für internationale Konzerndatenverarbeitungen entwickelte Instrumentarium lässt sich auch auf Cloud- und Ressourcenanbieter übertragen. Nach den Empfehlungen der Artikel 29-Datenschutzgruppe in der EU muss im Rahmen von BCR die Hauptniederlassung oder ein von der Unternehmensgruppe benanntes Gruppenmitglied für die Verstöße aller verbundenen Unternehmen außerhalb der EU einstehen. Die BCR bedürfen der Genehmigung durch die zuständigen Datenschutzaufsichtsbehörden. Auch in BCR gehören zwingend verbindliche und zugesicherte Regelungen nach den Maßstäben der §§ 11 Abs. 2, 9 i. V. mit Anlage 1 BDSG, also Garantien zur Zuverlässigkeit des Anbieters und zur Eignung der von ihm eingesetzten Systeme und flankiert durch hinreichende und dem Stand der Technik entsprechende technisch-organisatorische Maßnahmen.
Es stellt sich freilich nach Auswertung der Urteilsgründe die Frage, ob ein legaler Datentransport in die USA überhaupt noch als standardisierter Geschäftsprozess ohne eine detaillierte Einzelfallabwägungsdokumentation möglich ist:
4. Übriggebliebene Möglichkeiten nach dem Safe Harbor-Urteil
Der Urteilsbegründung lässt sich entnehmen, dass der EuGH nicht nur die Safe Harbor- Regelung selbst, sondern auch die Regelungen der EU-Standardvertragsklauseln und der Binding Corporate Rules derzeit nicht für ausreichend hält, um den Schutz der personenbezogenen Daten von EU-Bürgern zu gewährleisten. Durch den Zwang der amerikanischen Unternehmen, auf Anordnung von Geheimgerichten der NSA sämtliche Daten offenzulegen, wie es unter anderem der amerikanische Patriot Act fordert, und zudem durch die weitere Verpflichtung, sogar diesen Herausgabezwang gegenüber den Betroffenen geheim zu halten, könnten europäische Datenschutzgrundsätze durch US-amerikanische Unternehmen gar nicht eingehalten werden. Dies gelte wegen der NSA-Überwachung auch dann, wenn sie selbst gewillt sind, europäische Datenschutzgrundsätze einzuhalten. Darauf weisen auch das Unabhängige Datenschutzzentrum Schleswig-Holstein und der Teletrust e.V. in ihren Stellungnahmen zum Safe Harbor-Urteil des EuGH hin.
Damit verbleibt den europäischen Unternehmen derzeit nur die Einzelfallprüfung einer Datenübertragung und die Hoffnung, schnell mit den USA eine Nachfolgeregelung zu Safe Harbor zu vereinbaren, die die Prinzipien des Europäischen Datenschutzrechtes auch in der Praxis sicherstellt und von europäischen Bürgern vor US-Gerichten auch tatsächlich durchgesetzt werden.