Auf den Punkt.

Unternehmen sind aufgerufen, ihre Ver- fahren zur Übermittlung personenbezoge- ner Daten in die USA und andere Drittstaa- ten zu überprüfen und datenschutzgerecht zu gestalten. Übermittlungen auf Basis der EU-Standardvertragsklauseln bleiben bis auf weiteres zulässig. Soweit deutsche Datenexpor teure Anhaltspunkte dafür haben, dass im Rahmen von EU-Stan- dardvertragsklauseln ein US-Datenimpor- teur seinen vertraglichen Verpflichtungen aufgrund bestehender gesetzlicher Ver- pflichtungen nicht nachkommen kann, sind weitere Schutzmaßnahmen umzusetzen.

Inhalt und Hintergrund des DSK-Positionspa- piers und der EU-Kommissions-Leitlinien

Nach dem Safe-Harbor-Urteil des EuGH vom 6. Oktober 2015 ist eine Datenübermittlung auf der Grundlage der Safe- Harbor-Entscheidung der Kommission vom 26. Juli 2000 (2000/520/EG) nicht mehr zulässig. Die Art. 29 Arbeitsgruppe hat die EU-Kommission aufgefordert, bis zum 31. Januar 2016 eine Nachfolgeregelung für die Safe Harbor Entscheidung mit den zuständigen US-Behörden zu verhandeln. Nach Ablauf dieser Frist würden die zuständigen Datenschutzbehörden der EU-Mitgliedsstaaten notwendige und angemessene Maßnah- men zur Durchsetzung des Urteils des EuGH einleiten.

Die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) haben am 26. Okto- ber 2015 in einem Positionspapier konkretisiert, wie sie das Urteil bis auf weiteres in der Praxis umsetzen werden. Die EU- Kommission hat am 6. November 2015 eigene Leitli- nien zum Umgang mit dem Urteil veröffentlich und teilt mit, dass sie anstrebt, die Verhandlungen mit den USA über den Abschluss eines Safe Harbor Nachfolgeabkommens binnen 3 Monaten abzuschließen.

Gemäß dem DSK-Positionspapier und den EU-Kommissions- Leitlinien sind die deutschen Datenschutzbehörden nicht gehindert, die Angemessenheit des Datenschutzniveaus in Drittstaaten im Einzelfall in völliger Unabhängigkeit zu beur- teilen. Soweit deutsche Datenschutzbehörden Kenntnis über ausschließlich auf Safe-Harbor gestützte Datenübermitt- lungen in die USA erlangen, werden sie diese untersagen. Zudem werden sie derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbind- lichen Unternehmensregelungen (BCR) oder Datenexportver- trägen erteilen. Die EU-Kommission stellt klar, dass die EU- Standardvertragsklauseln sowie BCR bis auf weiteres wirk- same Mittel zur Legitimierung von Übermittlungen in die USA sind, und dass EU-Standardvertragsklauseln in den meisten Mitgliedsstaaten bei unveränderter Übernahme nicht geneh- migungspflichtig sind. Datenexporteure sind aber aufgerufen, ggf. angemessene ergänzende Schutzmaßnahmen umzuset- zen, wenn Anhaltspunkte bestehen, dass der Datenimpor- teur seinen vertraglichen Verpflichtungen nicht nachkommen kann. Diese reichen von technischen Schutzmaßnahmen über Geschäftsmodellbezogene oder rechtliche Maßnahmen bis hin zur Aussetzung der Übermittlungen im Einzelfall.

Datenexporteure sollen sich gemäß dem DSK-Positionspa- pier u.a. an der Entschließung der DSK vom 27. März 2014 „Gewährleistung der Menschenrechte bei der elektronischen Kommunikation“ und an der Orientierungshilfe „Cloud Compu- ting“ vom 9. Oktober 2014 orientieren. Eine Einwilligung zum Transfer personenbezogener Daten kann gemäß dem DSK- Positionspapier unter engen Bedingungen eine tragfähige Grundlage sein. Grundsätzlich dürfe der Datentransfer jedoch nicht wiederholt, massenhaft oder routinemäßig er folgen. Beim Export von Beschäftigtendaten oder wenn gleichzeitig auch Daten Dritter betroffen sind, soll die Einwilligung nur in Ausnahmefällen eine zulässige Grundlage für eine Datenüber- mittlung in die USA sein können. Das DSK-Positionspapier enthält zudem die Aufforderung an die EU-Kommission, in ihren Verhandlungen mit den USA auf die Schaffung ausrei- chend weitreichender Garantien zum Schutz der Privatsphäre zu drängen. Dies betrifft insbesondere das Recht auf gericht- lichen Rechtsschutz, die materiellen Datenschutzrechte und den Grundsatz der Verhältnismäßigkeit. Die Kommissionsent- scheidungen zu den Standardvertragsklauseln sollen zeitnah an die Vorgaben des EuGH Urteils angepasst werden.

Unser Kommentar

Sowohl das DSK-Positionspapier wie auch die EU Kommissi- ons-Leitlinien enthalten Vorgaben zur Umsetzung des EuGH Urteils. Die Vorgaben des DSK-Positionspapiers sind teil- weise weiterreichend als die der EU-Kommissions-Leitlinien, insbesondere in Bezug auf die Tragfähigkeit von Einwilligun- gen als alternative Grundlage zur Legitimierung von Übermitt- lungen. Die Kommissions-Leitlinien stellen klar, dass die EU- Standardvertragsklauseln weiterhin eine wirksame Grundlage für die Übermittlung darstellen, und dass bei unveränderter Übernahme derselben in den meisten Mitgliedsstaaten keine Genehmigungspflicht besteht. Dies entspricht der Anwen- dungspraxis der Mehrheit der deutschen Datenschutzbe- hörden, so dass die angekündigte Nicht-Erteilung weiterer Genehmigungen im DSK-Positionspapier in ihren praktischen Auswirkungen begrenzt ist. Unmissverständlich haben jedoch sowohl die Kommission wie die deutschen Datenschutzbe- hörden zum Ausdruck gebracht, dass auch bei Abschluss der EU-Standardvertragsklauseln eine Prüfungsbefugnis der Datenschutzbehörden besteht und bei Anhaltspunkten für die Nichteinhaltung der vertraglichen Zusagen weitere Maßnah- men erforderlich sind.

Vor dem Hintergrund der seitens der Datenschutzbehörden angekündigten Maßnahmen zur Durchsetzung des EuGH Urteils empfiehlt es sich, bis auf weiteres die Standardver- tragsklauseln einzusetzen, wo derzeit eine andere rechtliche Grundlage für die Datenübermittlung in die USA nicht mehr besteht. Davon unabhängig sollten Unternehmen sich einen Überblick über die Datenaustauschbeziehungen mit US - Dienstleistern und US-Ver tragspar tnern und deren Safe- Harbor Registrierung als Grundlage für die Datenübermittlung verschaffen und die Rechtmäßigkeit der Übermittlungen auf andere Weise sicherstellen. Dies gilt auch für die Einschaltung von Subunternehmern durch deutsche Dienstleister oder Ver- tragspartner. Dienstleister sollten sich darauf einstellen, dass ihre Auftraggeber verstärkt entsprechende Bestätigungen einfordern werden.