Wie ist die aktuelle Situation?

Anfang Oktober 2015 entschied der EuGH in einem viel diskutierten Urteil die Ungültigkeit des Safe Harbor-Abkommens.

Durch das Safe Harbor-Abkommen sollte es ursprünglich ermöglicht werden, personenbezogene Daten aus der EU in die USA zu übermitteln, obwohl die USA aus EU-Sicht nicht über ein angemessenes Datenschutzniveau verfügt. Seit dem Jahr 2000 hatten US-Unternehmen so die Möglichkeit, selbst ein ausreichendes Datenschutzniveau herzustellen, in dem diese sich gegenüber der Federal Trade Commission zur Einhaltung bestimmter Datenschutzkriterien und -prinzipien verpflichteten.

Mit dem obengenannten Urteil stellte der EuGH jedoch fest, dass auch das Safe Harbor-Abkommen nicht geeignet ist, ein angemessenes Datenschutzniveau zu gewährleisten und damit eine Datenübertragung in die USA zu rechtfertigen. Dies bedeutet für betroffene Unternehmen in der EU, dass eine Übertragung personenbezogener Daten in die USA, die sich bislang auf eine Safe Harbor Zertifizierung des Empfängers stützte, seither gegen geltendes Datenschutzrecht verstößt. In der Reisebranche kann sich das Problem verschärfen, da einige typsicherweise abgefragte Daten auch besondere Arten personenbezogener Daten sind, die etwa Gesundheit oder Religion betreffen können (hypoallergene Zimmer, koschere oder halal Speisen im Flugzeug).

Was ist neu ab 1. Februar 2016?

Um Unternehmen die Möglichkeit zu geben, sich auf die neue rechtliche Situation einzustellen, verständigten sich die europäischen Datenschutzbehörden auf eine Übergangsfrist, innerhalb derer Datenschutzverstöße aufgrund des Wegfalls von Safe Harbor in der Regel nicht verfolgt werden. Dieser Schonfrist endet jedoch bereits am 31. Januar 2016.

Die deutschen Landesdatenschutzbeauftragten haben bereits angekündigt, ab dem 1. Februar 2016 diesbezügliche Verstöße nunmehr zu ahnden.

Damit drohen betroffenen Unternehmen in Fällen des unrechtmäßigen Datentransfers in die USA insbesondere Bußgelder von bis zu EUR 300.000 (unter bestimmten Voraussetzungen sogar darüber).

Wer ist betroffen?

Das EuGH-Urteil betrifft sämtliche Unternehmen, die personenbezogene Daten in die USA weitergeben oder den Abruf solcher Daten aus den USA zulassen. Dies ist schon immer dann der Fall, wenn ein deutsches Unternehmen einen Dienstleister mit Sitz in den USA einsetzt, der bei seinen Leistungen Zugriff auf solche Daten haben kann (z.B. CRM Service Provider, Cloud-Anbieter oder Marketingdienstleister). Aber auch Konzernunternehmen, die Daten an ein US-Mutterunternehmen übermitteln stehen nunmehr vor einer erheblichen Herausforderung, da auch für eine konzerninterne Datenübermittlung die normalen datenschutzrechtlichen Vorgaben gelten.

Auch Vermittler, die Daten über ihre Systeme in die USA oder an Unternehmen, die Daten in den USA verarbeiten oder speichern, sind betroffen. Die bloße Weiterleitung von Daten, die im eigenen System erhoben werden, verletzt diese datenschutzrechtlichen Bestimmungen bereits.

Was ist zu tun?

Derzeit ist es nach wie vor nicht abschließend geklärt, ob eine Datenübermittlung in die USA überhaupt noch rechtskonform möglich ist und – wenn ja – welche Maßnahmen Unternehmen hierfür ergreifen müssen

Die rechtlich sicherste Lösung zur Vermeidung eines Rechtsverstoßes ist daher, auf die Übermittlung von personenbezogenen Daten in die USA vorläufig ganz zu verzichten, indem beispielsweise auf Dienstleister zurückgegriffen wird, die eine Datenverarbeitung innerhalb der EU vertraglich zusichern.

Soweit dies keine Option ist, gibt es derzeit letztlich keine Strategie, die zu 100% als datenschutzkonform angesehen werden kann.

So gibt es zwar alternative Übermittlungsgrundlagen, wie die Verwendung von EU-Standardvertragsklauseln (EU Model Clauses) oder sog. Binding Corporate Rules, eine eindeutige Aussage der Datenschutzbehörden, ob diese Alterativen angesichts der EuGH-Rechtsprechung (noch) zulässig sind, gibt es derzeit jedoch nicht. Betrachtet man die Gründe des EuGH für die Unwirksamkeit von Safe Harbor, so ist durchaus zu befürchten, dass auch diese anderen von Unternehmen bislang zur Legitimierung einer Datenübermittlung in die USA eingesetzten Instrumente zumindest rechtlich unsicher sind.

Auch die ausdrückliche Einwilligung des Dateninhabers in die Datenübertragung in die USA reicht nicht mit Sicherheit aus; die Gründe der Entscheidung des EuGH legen es nahe, eine solche Einwilligung angesichts der festgestellten Verstöße in den USA als nicht hinreichend anzusehen.

Wie geht es nun weiter?

Unternehmen, die ab Februar 2016 weiterhin personenbezogene Daten in die USA übermitteln, müssen ein diesbezügliches rechtliches Risiko in Kauf nehmen.

Die EU-Kommission ist zwar bemüht, ein neues Safe Harbor Abkommen mit den USA zu verhandeln, das die Vorgaben des EuGH erfüllt. Es wird aber auch in EU-Kreisen nicht erwartet, dass diese Verhandlungen innerhalb der nächsten Wochen erfolgreich abgeschlossen werden können.

Bis dahin gibt es neben dem völligen Verzicht auf den Datentransfer in die USA für deutsche Unternehmen keine rechtssichere Lösung. Betroffene Unternehmen können daher in erster Linie hoffen, dass die deutschen Datenschutzbehörden, das EuGH-Urteil ab Februar 2016 doch nicht in dem Umfang durchsetzen und Verstöße ahnden, wie dies derzeit angekündigt ist.

Zumindest sollte jedoch die weitere Entwicklung zu diesem Thema genau im Auge behalten werden.