• Datenschutz

Datenschutzrecht: Safe-Harbor-Abkommen rechtswidrig – Keine Datenübermittlungen mehr in die USA!

 14. Dezember 2015

 Safe-Harbor-Abkommen – Was?

 Das Safe-Harbor-Abkommen ist eine Entscheidung vom 27.07.2000, entschieden von der Europäischen Kommission, aufgrund derer es den Unternehmen aus der europäischen Union bisher möglich machte personenbezogene Daten an die Vereinigten Staaten zu transferieren. Hintergrund dieses Abkommens ist die Datenschutzrechtlinie 95/46/EG, die es EU-Mitgliedsstaaten verbietet, personenbezogene Daten in Nicht-EU-Mitgliedsstaaten, welche kein mit dem EU-Recht vergleichbares Datenschutzrecht pflegen, zu übermitteln. Zu solch einem Staat zählt die USA und daraus resultiert, dass ein Datenverkehr zwischen der EU und den USA bloß auf rechtswidrigen Wege möglich war.  Deshalb schloss die USA in Absprache mit der Europäischen Kommission ein Abkommen – dem Safe Harbor. Aufgrund dieses Abkommens war es den US-Unternehmen bis zuletzt (06.10.2015) möglich, dem „Safe Harbor“ beizutreten, indem sie sich auf einer Liste des US-Handelsministeriums eintragen ließen und sich damit verpflichteten, ausreichenden Datenschutzrecht für personenbezogene Daten zu gewährleisten (Selbstzertifizierung). Bis zu Letzt gab es also eine rechtliche Grundlage, mit der die, von Datenschutzrechtlern stark kritisierte, Übermittlung personenbezogener Daten in die USA, legitimiert wurde.

Hintergrund der aktuellen Safe-Harbor-Entscheidung

 Facebook und der Datenschutz ist ein langwidriges Thema, welches immer wieder von Datenschutzrechtlern aufgegriffen wird. Ein Österreicher, Max Schrems, wollte im Jahre 2013 nicht mehr tatenlos akzeptieren, dass eine Übermittlung seiner Facebook Nutzerdaten, durch die Irland ansässige europäische Facebook-Zentrale, an US-Server geschieht. Er wandte sich an die irische Datenschutzbehörde, welche jedoch auf das Safe-Harbor-Abkommen verwies und die Beschwerde des Herrn Schrems nicht weiter prüfte. Herr Schrems wandte sich sodann an den Europäischen Gerichtshof.

Die Vereinigten Staaten bieten kein mit der EU vergleichbares Datenschutzniveau!

 Mit der aktuellen Entscheidung des Europäischen Gerichtshofes vom 06.10.2015 wurde nun ein historisches datenschutzrechtes Urteil getroffen. Das Safe-Harbor-Abkommen zwischen den Vereinigten Staaten und der EU ist nicht mehr länger gültig.

Eine Voraussetzung dieses Abkommens war jene, dass US-Unternehmen ein Mindestniveau im Umgang mit personenbezogenen Daten einhalten müssen. Es muss also ein Schutz für diese Daten gewährleistet sein, ohne jegliche Einschränkungen. Da die „Selbstzertifizierung“ von den US-Unternehmen selbst vorgenommen wird und keiner ordentlichen Kontrolle unterliegt, kann kein ausreichendes Schutzniveau gewährleistet werden. Die Einhaltung des europäischen Datenschutzniveaus in den USA ist auch aufgrund der Regelungen zur „nationalen Sicherheit, dem öffentlichen Interesse und der Durchführung von Gesetzen nach amerikanischen Recht“ nicht möglich, da das Safe-Harbor-Abkommen lediglich für US-Unternehmen, die sich dieser unterwerfen, und nicht für die staatlichen US-Behörden, gilt.

Grundrecht: Achtung des Privatlebens

 In Europa gibt es das Grundrecht „Achtung des Privatlebens“. Durch die Enthüllungen des Edward Snowden im Jahre 2013 und dem entfachten NSA-Überwachungs-Skandal geriet die USA und deren Umgang mit personenbezogenen Daten massiv in Kritik. Durch die Gestattung des Zugriffs auf den Inhalt elektronischer Kommunikation für US-Sicherheitsbehörden und der fehlenden rechtsstaatlichen Überwachung, ist die Entscheidung zur Ungültigkeit des Safe-Harbor-Abkommens die einzig richtige Entscheidung zur Wahrung des europäischen Datenschutzes, der Privatsphäre und der Persönlichkeitsrechte.

Facebook, Google Analytics, Amazon & Co

 Natürlich stellt sich nach dem Untergang des Safe-Harbor-Abkommens, aufgrund dessen Datenübermittlungen in die USA nicht mehr zulässig sind, die Frage, was sich nun ändert für all die US-Unternehmen, die sich diesem Abkommen unterworfen haben, wie Facebook, Amazon, Google usw., aber auch für deutsche Unternehmen, die Dienste und Daten in und aus der USA genutzt und transferiert haben. Für die Riesen wie Facebook oder Google ist der Untergang des Safe-Harbor-Abkommens nicht weiter schlimm, denn sie haben sich sowieso nicht nur auf das Safe-Harbor-Abkommen verlassen oder diese Unternehmen die nötigen rechtlichen Abteilungen besitzen, die die nötigen Datenschutzverträge nach EU-Recht, unabhängig von Safe Harbor, aufsetzen können, um die Daten legal zu übermitteln. Da dürften es kleinere Unternehmen schwerer haben, da sich diese komplett auf das Abkommen verließen, da diese nicht solche Kapazitäten haben und ihnen auch nicht möglich ist ihre Daten kurzfristig in der EU zu speichern. Verzichten müssen sie auf den Datentransfer jedoch nicht, schließlich gab und gibt es neben dem Safe-Harbor-Abkommen weiterhin Alternativen für die rechtmäßige Übermittlung von Daten an Stellen, die kein angemessenes Datenschutzniveau gewährleisten (§4c BDSG):

  • Gesetzliche Ausnahmen: „zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen“, bedeutet dass Daten transferiert werden dürfen zum Zwecke eines Vertrages, der zwischen der exportierenden Stelle und dem Betroffenen gilt. Die Übertragung ist erforderlich, bspw. In einem ausländischen Onlineshop oder bei einer Hotelzimmerbuchung oder wenn der Arbeitgeber zugunsten des Arbeitnehmers die Daten an eine Versicherungsgesellschaft weitergibt, die die Daten benötigt für den Abschluss einer Versicherung.
  • Die Einwilligung (§4a BDSG): Liegt seitens der betroffenen Personen eine individuelle Einwilligung vor, steht der rechtmäßigen Nutzung der Daten nichts mehr im Wege. Allerdings muss eine solche Einwilligung den Voraussetzungen „Transparenz, Freiwilligkeit und Widerruflichkeit“ entsprechen. Da die individuelle Einholung und den entsprechenden Informationspflichten über Sinn und Zweck, Widerruf usw. einer Einwilligung eines Einzelnen sehr aufwendig ist, ist diese Art der Datenerhebungserlaubnis seltener.
  •  Standardvertragsklauseln: Die EU-Kommission hat als Alternative zum Safe Harbor Standardvertragsklauseln für das Übermitteln von Daten in Drittländer festgelegt. Eine unveränderte Nutzung dieser Standardklauseln in einem Vertrag berechtigen auch auf Datentransfer in die USA. Der vor allem für US-Unternehmen nur schwer akzeptable Nachteil liegt aber darin, dass sich der Datenimporteur im Ausland dem Recht und der Datenschutzaufsicht des Partnerlandes unterwerfen muss
  •  Binding Corporate Rules: Internationale Unternehmen haben die Möglichkeit, so genannte „Binding Corporate Rules“, verbindliche Konzernregeln zum Datenschutz zu generieren. Zusammengehörige Unternehmen binden sich datenschutzrechtsverbindliche Regelungen auf, die den internen Umgang mit den Daten auf EU- datenschutzrechtlichem Niveau regeln. Dies benötigt jedoch die Zustimmung der Datenschutzbehörden jeden Landes, in denen das Unternehmen einen Sitz hat.

 Google Analytics rechtskonform nutzen

Das aus den USA stammende online Analyse-Tool wird bereits seit Jahren von deutschen Datenschutzrechtlern kritisiert, da Google nicht den Anforderungen des deutschen Datenschutzes entsprochen hat.

Google Analytics erfasste die IP-Adresse des Internetnutzers vollumfänglich und übertrug diese Daten ohne eine Einwilligung des jeweiligen Nutzers in die USA.

2011 überarbeitete Google sein Tool und ermöglicht so den Nutzern eine rechtskonforme Nutzung, die darin besteht einen Auftragsdatenverarbeitungsvertrag mit Google abzuschließen, der es durch die Auftraggeber – Auftragnehmer – Beziehung zwischen dem Webseitenbetreiber (Auftraggeber) und Google (Auftragnehmer) erlaubt die Daten in die USA zu transferieren. Weiterhin müssen die Nutzer die IP-Adressen anonymisieren, indem sie eine Code-Erweiterung anwenden, mit der die letzten 8 Bit der IP’s gelöscht werden und somit nicht mehr einer Person zugeordnet werden können. Daneben muss dem Nutzer ein Widerspruchsrecht eingeräumt werden, mit dem er der Erfassung seiner Daten widersprechen kann. Eine Datenschutzerklärung, in der die Nutzung von Google Analytics angegeben wird, darf ebenso wenig fehlen. (Anleitung: https://www.datenschutzbeauftragter-info.de/fachbeitraege/google-analytics-datenschutzkonform-einsetzen/). Damit werden lediglich anonymisierte und keine personenbezogene Daten in die USA übertragen.

Konsequenz für Facebook

 Nach dem Urteil des EuGH sind nun alle datenschutzbehördlichen Augen auf Facebook gerichtet. Bisher nutzen die Tochtergesellschaft Facebook in Irland und die Muttergesellschaft Facebook in den USA die sogenannten „Standardvertragsklauseln“, die es innerhalb des Konzerns erlauben, unter Zusicherung der Berücksichtigung der EU-Datenschutzregeln, auch in Drittländer Daten zu transferieren.  Die irische Datenschutzbehörde muss nun gegen Facebook ermitteln und prüfen ob ein ausreichender Schutz der europäischen Facebook Nutzerdaten , durch die Übermittlung der Daten in die USA, gegeben ist. Die Ermittlung wird sicherlich eine gewisse Zeit in Anspruch nehmen. Sollten im Ergebnis Verstöße gegen das EU-Datenschutzrecht erwiesen werden, so wird Facebook keine Nutzerdaten mehr an seine US-Server übertragen dürfen.

Fazit:

Es ist zu sagen, dass die Ungültigkeit des Safe-Harbor-Abkommens natürlich ein zu begrüßendes Urteil ist, da dies nun einen mittelbaren wirtschaftlichen Druck auf die US-Unternehmen und Regierung ausübt, der möglicherweise dazu führt, dass die USA sich dem EU-Datenschutzniveau nähert. Allerdings haben viele US-Unternehmen auch während des Safe-Harbor-Abkommens rechtswidrig personenbezogenen Daten transferiert und verarbeitet, indem sie die Daten wider den EU-Datenschutzvorgaben auswerteten oder sich nicht für das Abkommen zerifizierten, sodass es diese kaum stören wird, dies auch weiterhin so zu praktizieren. Der Fokus auf den Datenschutz wird jedoch immer stärker und daher ist einem Jeden zu empfehlen die Datenschutzvorschriften möglichste genau zu beachten. Abzuraten ist jedoch, weiterhin Daten mit Unternehmen in den USA, die sich auf das Safe Harbor Abkommen verlassen haben, auszutauschen. Der rechtswidrige Datenverkehr wird gem. §52 Datenschutzgesetz mit einer Strafe bis zu 10.000 Euro geahndet.                                                                                                                    Fakt ist: Es bleibt abzuwarten, ob eine neue Fassung des Safe-Harbor-Abkommens im Sinne des EU-Datenschutzniveaus ausgearbeitet wird oder welch andere Lösung für die Datenübertragung in die USA ausgearbeitet wird. Die nationalen Datenschutzbehörden halten hierfür eine Zeitspanne von 3 Monaten für angemessen (Ende Januar 2016), bevor Vollstreckungsmaßnahmen gegen die rechtswidrige Datenübermittlung vollzogen werden.