Tipps vom Anwalt: Welche Folgen hat das Safe Harbor Urteil für mich?

EuGH Urteil zu Safe Harbor

Der Europäische Gerichtshof (EuGH) hat am 6. Oktober 2015 entschieden, dass die Safe Harbor Entscheidung 2000/520/EG der EU-Kommission zur Übermittlung von personenbezogenen Daten in die USA ungültig ist. Aufgrund der erheblichen Resonanz, die dieses Urteil in der Presse gefunden hat, haben wir die Rechtsanwälte Dr. Jörg Alshut und Kathrin Helbig, LL.M. (Wellington), beide tätig für die Luther Rechtsanwaltsgesellschaft mbH, gebeten, uns die wesentlichen rechtlichen Folgen dieser Entscheidung zu erläutern.

Dr. Jörg Alshut und Kathrin Helbig

Das sind unsere Experten

Dr. Jörg Alshut und Kathrin Helbig, LL.M. (Wellington) sind als Rechtsanwälte im Bereich Intellectual Property/Information Technology im Berliner Büro der Luther Rechtsanwaltsgesellschaft mbH tätig. Sie beraten seit Jahren Mandanten in allen Fragen des IT- und Datenschutzrechts.

Management Summary: Das Wichtigste in Kürze

Am 6. Oktober 2015 hat der EuGH entschieden, dass die Safe Harbor Entscheidung – mit sofortiger Wirkung – ungültig ist. Das hat weitreichende Folgen für europäische Unternehmen, die personenbezogene Daten in die USA übermitteln und die Angemessenheit des Datenschutzniveaus in den USA bislang über die Safe Harbor Zertifizierung des in den USA ansässigen datenempfangenden Unternehmens gewährleistet haben.

Die Legalisierung der Datenübermittlungen erfordert nun andere Instrumente. Eine Alternative besteht im Abschluss der sog. EU-Standardvertragsklauseln, die angemessene Garantien bei der Übermittlung personenbezogener Daten von der EU in Drittländer gewährleisten und von den nationalen Datenschutzaufsichtsbehörden anzuerkennen sind. Für konzerninterne Datenübermittlungsvorgänge in großen oder global aufgestellten Unternehmen sind sog. Binding Corporate Rules eine weitere Alternative. Sie bedürfen jedoch der Genehmigung der zuständigen Datenschutzbehörde. Die Einholung der Einwilligung der von den Datenübermittlungen Betroffenen stellt grundsätzlich auch eine denkbare Alternative dar. Insofern bestehen jedoch Zweifel an der Wirksamkeit und der Praktikabilität.

Davon abgesehen wäre es am sichersten, wenn der Dienstleister (sei es im Bereich des E-Mail-Marketings, des Datenhostings oder in jedem anderen Bereich) seinen Sitz in einem Staat hat, der innerhalb der EU oder in einem von der EU als sicheres Drittland anerkannten Staat hat und auch nur von dort auf die Daten der deutschen Nutzer zugegriffen wird.

Finden Sie hier mehr Informationen zur Aufhebung des Abkommens.

Safe Harbor: Bleiben Sie auf dem Laufenden

Nicht erst seit Safe Harbor ist Datenschutz ein wichtiges Thema. Unser Newsletter informiert Sie regelmäßig über aktuelle Entwicklungen im Datenschutz und Online-Marketing.

JETZT NEWSLETTER ABONNIEREN

Formular wird geladen ...

1. Seit dem Safe Harbor Urteil bin ich verunsichert, was die Entscheidung für mein Unternehmen bedeutet. Wie finde ich heraus, ob ich betroffen bin?

Die Entscheidung des EuGH betrifft alle europäischen Unternehmen, die personenbezogene Daten in die USA übermitteln und die Legitimation dafür durch eine Safe Harbor Zertifizierung des in den USA ansässigen datenempfangenden Unternehmens gewährleistet haben.

Dies gilt vor allem für konzerninterne Übermittlungen von Personal- und Kundendaten – etwa wenn europäische Tochterunternehmen Daten mit ihrer US-amerikanischen Konzernzentrale austauschen – genauso wie für Übermittlungen von Daten an US-amerikanische IT Dienstleister und Social Media Plattformen. Insbesondere bei cloudbasierten Diensten gehört der globale Datenaustausch zum Geschäftsmodell, so dass diese von der Entscheidung des EuGH besonders betroffen sind.

2. Das Safe Harbor Abkommen wurde schon oft kritisiert, nun wurden die Vorwürfe bestätigt. Was genau hat sich dadurch geändert?

Als Safe Harbor wird eine Entscheidung der EU-Kommission aus dem Jahr 2000 bezeichnet. Die war seinerzeit nötig geworden, weil personenbezogene Daten nur dann in Nicht-EU-Staaten übermittelt werden dürfen, wenn dort ein angemessenes Datenschutzniveau besteht. Für die USA hat die EU-Kommission in der sog. Safe Harbor Entscheidung aus dem Jahr 2000 mit EU-weiter Gültigkeit festgestellt, dass ein „angemessenes Schutzniveau“ für dorthin übermittelte Daten besteht.

So funktionierte Safe Harbor bisher

US-Unternehmen im Zuständigkeitsbereich des US-Handelsministeriums können Safe Harbor beitreten und sich auf der entsprechenden Liste des US-Handelsministeriums eintragen lassen, wenn sie sich verpflichten, die Safe Harbor Principles (englisch für „Grundsätze des sicheren Hafens“) und die dazugehörenden – verbindlichen – FAQ zu befolgen.

Übermittlungen von personenbezogenen Daten aus einem EU-Staat an „Safe Harbor“ zertifizierte Unternehmen in den USA bedurften damit bis dato keiner weitergehenden Vorkehrungen mehr. Mehrere tausend US-Unternehmen, unter ihnen Microsoft, IBM, Google und Facebook, sind „Safe Harborzertifiziert.

Deutliche Kritik an Safe Harbor

Die Safe Harbor Entscheidung steht allerdings seit langem in der Kritik. Der Düsseldorfer Kreis als Zusammenschluss der deutschen Datenschutz-Aufsichtsbehörden hat bereits im Jahr 2010 festgestellt, dass die Umsetzung und Einhaltung des Safe Harbor Standards mangelhaft ist.

Vor dem Hintergrund der massiven Überwachungstätigkeit ausländischer Geheimdienste hat schließlich auch die Konferenz der Datenschutzbeauftragten des Bundes und der Länder die EU-Kommission im Jahr 2013 aufgefordert, ihre Entscheidungen zu Safe Harbor bis auf Weiteres zu suspendieren. Ungeachtet dessen war die Safe Harbor Entscheidung bis zur aktuellen Entscheidung des EuGH in Kraft.

Das Urteil und die Folgen

Nun hat der EuGH die Safe Harbor Entscheidung für unwirksam erklärt. Safe Harbor kann eine Übermittlung von Daten in die USA ab sofort nicht mehr legitimieren. Denn nach Ansicht des EuGH enthalte die Safe Harbor Entscheidung keine hinreichenden Garantien im Sinne der EU-Datenschutzrichtlinie.

Persönliche Daten von europäischen Internetnutzern sind in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt, was einen Eingriff in die Grundrechte auf Achtung der Privatsphäre und Datenschutz bedeute. Die Überwachung sei massiv, nicht zielgerichtet und umfasse auch die Inhalte der Kommunikation ohne jede Differenzierung. EU-Bürger verfügten über keinen effektiven Rechtsschutz gegen derartige Abhör- und Überwachungsmaßnahmen der US-Sicherheitsbehörden.

Die Legalisierung von Datenübermittlungen in die USA erfordert nun andere Instrumente.

3. Bedeutet das Urteil, dass ich nun gar keine amerikanischen Services und Tools mehr nutzen darf?

Nein.

Am sichersten wäre es zwar, wenn der in Anspruch genommene Dienstleister seinen Sitz in einem Staat hat, der innerhalb der EU oder in einem von der EU als sicheres Drittland anerkannten Staat (z.B. Schweiz, Kanada und Israel, nicht jedoch die USA) hat und auch nur von dort auf die Daten der deutschen Nutzer zugegriffen wird.

Doch ist die Datenübermittlung in die USA auch in Zukunft nicht schlechthin ausgeschlossen. Es gibt andere Möglichkeiten, zu einem angemessenen Datenschutzniveau des Dienstleisters zu kommen, und zwar durch

  • EU-Standardvertragsklauseln,
  • Binding Corporate Rules oder
  • die Einwilligung der betroffenen EU-Bürger.

Ob es darüber hinaus zum Abschluss eines neuen Safe Harbor Abkommens zwischen der EU-Kommission und den USA kommt, bleibt abzuwarten. Entsprechende Verhandlungen werden bereits geführt.

4. In den Medien wird viel über EU-Standardvertragsklauseln und Binding Corporate Rules diskutiert. Was ist von diesen Alternativen zu Safe Harbor zu halten?

Ohne Safe Harbor kann die Rechtmäßigkeit der Datenübermittlung in die USA durch EU-Standardvertragsklauseln oder Binding Corporate Rules sichergestellt werden.

Standardvertragsklauseln der EU-Kommission

EU-Standardvertragsklauseln sind Vertragsvorgaben der EU-Kommission. Sie ergänzen und präzisieren die Vertragsbedingungen über die eigentliche Leistungserbringung hinaus durch Regelungen in Bezug auf die datenschutzrechtlich geforderten Mindeststandards.

Sie geben den Beteiligten bei einem vergleichsweise geringen Aufwand ein hohes Maß an Rechtssicherheit. Zumindest in Deutschland ist keine Genehmigung durch die Aufsichtsbehörden notwendig (vorausgesetzt die Standardvertragsklauseln werden unverändert übernommen), weil die Kommission durch Annahme der Standardvertragsklauseln bereits entschieden hat, dass sie ein angemessenes Schutzniveau garantieren.

Allerdings sind die Standardvertragsklauseln nicht besonders flexibel. Zudem könnten auch sie in Folge der aktuellen EuGH-Entscheidung zu Safe Harbor auf den Prüfstand kommen. Sie schaffen zwar ein höheres Schutzniveau als Safe Harbor, aber der Zugriff von US-Behörden ist nicht ausgeschlossen.

Binding Corporate Rules

Binding Corporate Rules sind verbindliche Unternehmensregelungen, die sich besonders für multinationale Unternehmen anbieten, um den Datenaustausch zwischen Konzernteilen in der EU und außerhalb zu gewährleisten. Eine erste Orientierung für den Inhalt von Binding Corporate Rules bieten die Standardvertragsklauseln. Im Übrigen hat die Art. 29-Datenschutzgruppe (das unabhängige Beratungsgremium der EU-Kommission in Fragen des Datenschutzes) in mehreren Arbeitspapieren detaillierte inhaltliche Vorgaben sowie Arbeitshilfen für ihre Erstellung entwickelt.

Der Vorteil der Binding Corporate Rules ist, dass sie eine einheitliche Handhabung in einem Konzern ermöglichen und flexibler sind als die EU-Standardvertragsklauseln. Dem gegenüber stehen ein erheblicher Aufwand bei ihrer Ausarbeitung und das Erfordernis der Genehmigung durch die Aufsichtsbehörde sowie die laufenden Kosten für Compliance-Maßnahmen.

Auch individuelle Verträge sind möglich

Denkbar ist schließlich auch, mit dem US-Dienstleister einen individuellen Vertrag zu schließen, der sich an den EU-Standardvertragsklauseln orientiert, von ihnen aber abweicht. Ein solcher Vertrag muss ein angemessenes Datenschutzniveau garantieren, indem sich der Dienstleister auf die Einhaltung der wesentlichen Bestimmungen des deutschen Datenschutzrechts verpflichtet und die Einhaltung in geeigneter Weise garantiert. Außerdem setzt er die Genehmigung der zuständigen Datenschutzbehörde voraus.

5. Facebook sagt, sie seien nicht betroffen, da die Nutzer in die Datenspeicherung auf amerikanischen Servern eingewilligt haben. Kann ich diesen Weg auch nutzen?

Abhängig vom betroffenen Geschäftsmodell ist die Einholung einer Einwilligung der von den Datenübermittlungen Betroffenen zwar grundsätzlich auch eine denkbare Alternative. Eine derartige Einwilligung müsste sich aber ausdrücklich auf die Übermittlung in die USA als einem Staat mit nicht angemessenem Datenschutzniveau beziehen.

Zudem bestehen häufig Zweifel an der erforderlichen Freiwilligkeit derartiger Einwilligungen und die jederzeitige Widerrufbarkeit der Einwilligung führt zu Schwierigkeiten in der praktischen Umsetzung.

Immer topinformiert über den Datenschutz

Bleiben Sie auf dem Laufenden mit unserem Newsletter! Wir informieren Sie zuverlässig über Datenschutz, Webentwicklungen und wichtige Themen im Online-Marketing.

JETZT NEWSLETTER ABONNIEREN

Formular wird geladen ...

6. Was heißt das Urteil für mein E-Mail-Marketing, wenn ich einen US-amerikanischen Anbieter für den Versand nutze?

Die Unwirksamkeit von Safe Harbor wirkt sich auch auf das E-Mail-Marketing aus. Das bedeutet, dass Unternehmen, die für den Versand von E-Mails einen US-Anbieter nutzen, der seine Legitimation bisher über die Safe Harbor Zertifizierung gewährleistet hat, rechtmäßige Alternativen zu Safe Harbor suchen müssen.

Denkbar sind hier – wie auch im Übrigen – der Abschluss von EU-Standardvertragsklauseln oder ein individueller Vertrag mit dem US-Anbieter, über den ein angemessenes Datenschutzniveau sichergestellt wird. Binding Corporate Rules kommen dagegen in der Regel nicht in Betracht, weil sie auf konzerninterne Datenübermittlungen Anwendung finden.

7. Welche Alternative gibt es für meine Newsletter? Worauf muss ich bei der Auswahl eines neuen Anbieters achten?

Alternativ zu den vorgenannten Instrumenten, über die ein angemessenes Datenschutzniveau hergestellt wird, kann man auch über einen Wechsel des Anbieters nachdenken. Das ist dann sinnvoll, wenn ein Dienstleister beauftragt werden kann, der seinen Sitz innerhalb der EU oder in einem von der EU als sicherem Drittland anerkannten Staat hat.

So wird vermieden, dass bei der Nutzung der Newsletter-Dienste ein Datentransfer in die USA notwendig wird.

8. Auf unserer Website sind Sharing-Buttons von Facebook und Twitter eingebunden. Gibt es diesbezüglich auch Änderungen durch das Urteil?

Wer Social Plugins wie die Like-Buttons von Facebook oder Twitter in seine Website einbindet, erlaubt es Facebook, Twitter & Co. personenbezogene Daten seiner Besucher zu erheben. Das gilt insbesondere dann, wenn die Besucher zugleich bei Facebook & Co. eingeloggt sind. Dass diese Daten zum Teil auch von Besuchern erhoben werden, die nicht Mitglieder bei Facebook & Co. sind, wird immer wieder berichtet.

Es wird bereits seit langem umfangreich diskutiert, ob die Like-Buttons überhaupt datenschutzrechtlich zulässig sind. Diese Diskussion wird nicht einfacher, seitdem der EuGH die Safe Harbor Entscheidung für unwirksam erklärt hat.

Die Zwei-Klick-Lösung und die neue Sharrif-Lösung

Der Düsseldorfer Kreis als Zusammenschluss der deutschen Datenschutz-Aufsichtsbehörden hat bereits im Jahr 2011 erklärt, dass die Einbindung von Social Plugins, die eine Übertragung von Daten an den jeweiligen Anbieter auslösen, unzulässig sei.

Heise.de hatte daraufhin eine Software-Lösung programmiert, die sog. „Zwei-Klick-Lösung”, bei der verhindert wird, dass der eingebundene Social-Media Button sofort Daten senden kann, auch wenn er nicht betätigt wird. Die Funktion des Buttons muss explizit vom Nutzer aktiviert werden, was als ausdrückliche Zustimmung des Nutzers gesehen werden kann. Die „Zwei-Klick-Lösung“ wurde als ein Weg in die richtige Richtung angesehen.

Nunmehr hat Heise.de unter dem Namen „Shariff“ eine neue Lösung entwickelt, mit der nur durch einen Klick die Empfehlung an das soziale Netzwerk übermittelt wird. Es bleibt abzuwarten, ob die Datenschutzbehörden diese Lösung als datenschutzkonform ansehen werden.

Folgen des Safe Harbor-Urteils für Social Media Buttons

Welche Auswirkungen hat aber nun die Unwirksamkeit von Safe Harbor? Facebook und Twitter haben ihren Sitz in den USA, wohin die personenbezogenen Daten bei der Verwendung von Like-Buttons auch übermittelt werden. Ihre Safe Harbor Zertifizierungen sind mit der Entscheidung des EuGH aber gegenstandslos geworden.

Daher setzt die Gewährleistung eines angemessenen Datenschutzniveaus voraus, dass andere Instrumente für eine legalisierte Datenübermittlung benutzt werden. Die Binding Corporate Rules helfen nicht weiter, weil sie auf konzerninterne Datenübermittlungen beschränkt sind.

Unwahrscheinlich erscheint auch, dass EU-Standardvertragsklauseln oder individuelle Verträge Abhilfe schaffen können. Der mit ihnen verbundene Aufwand stünde in keinem Verhältnis zu dem verfolgten Zweck, Like-Buttons auf einer Website einzubinden.

Letztlich bleibt die Einwilligung der jeweils betroffenen Website-Besucher. Ob eine Einwilligung jedoch wirksam abgegeben werden kann, ist fraglich. Denn dazu müsste der Website-Betreiber den Besucher ausreichend über die Tragweite seiner Entscheidung informieren. Dafür werden ihm regelmäßig die entsprechenden Informationen von Facebook & Co. über den Zweck und die Reichweite ihrer Datenverarbeitung fehlen.

9. Ich nutze US-Server, auf denen personenbezogene Daten liegen, die nicht auf europäische Server verlagert werden können. Was sollte ich tun?

Nachdem der EuGH Safe Harbor für unwirksam erklärt hat, muss anderweitig sichergestellt werden, dass der US-Dienstleister bzw. die Datenspeicherung auf US-Servern einem angemessenen Datenschutzniveau entspricht.

In diesem Zusammenhang möchten wir darauf hinweisen, dass in der EU ansässige Unternehmen für die Zulässigkeit von Datenübermittlungen an US-Unternehmen unmittelbar verantwortlich sind. Dies gilt vor allem, wenn es sich bei den eingeschalteten (US-) Dienstleistern um sog. Auftragsdatenverarbeiter handelt, die die Daten nur im Auftrag und auf Weisung der verantwortlichen Stelle verarbeiten. Unzulässige Datenübermittlungen sind bußgeldbewehrt und Betroffene können entsprechende Abwehr- und Ersatzansprüche geltend machen.

Insofern empfehlen wir den betroffenen Unternehmen zu prüfen, ob ihre in den USA ansässigen Dienstleister bereits aus eigener Initiative Alternativmaßnahmen eingeleitet oder angekündigt haben. Wenn nicht, sollten diese ausdrücklich eingefordert und die vertraglichen Absprachen entsprechend angepasst werden.

Das EuGH Urteil ist unmittelbar wirksam. Eine Übergangsfrist, bis zu deren Ablauf der Datentransfer noch – wie bisher – stattfinden kann, wurde nicht vorgesehen.

Mit Blick auf die Rechtsfolgen sollten die betroffenen Unternehmen ganz genau prüfen, ob nicht vielleicht doch eine Verlagerung der Daten auf deutsche bzw. europäische Server (ohne Zugriff aus den USA) möglich ist.

10. Ich habe bei Amazon Webservices einen Server gebucht, der aber in Deutschland steht. Sind damit alle Datenschutzanforderungen erfüllt?

Allein der Standort eines Servers in Deutschland ist keine ausreichende Garantie. Es muss sichergestellt sein, dass kein US-Unternehmen Zugriff auf die in Deutschland gespeicherten personenbezogenen Daten hat oder, wenn dies nicht der Fall ist, dass anderweitig ein angemessenes Datenniveau gewährleistet ist (z.B. durch Binding Corporate Rules).

Safe Harbor: Bleiben Sie auf dem Laufenden

Nicht erst seit Safe Harbor ist Datenschutz ein wichtiges Thema für Unternehmen. Mit unserem Newsletter informieren wir Sie aktuell über die Entwicklungen beim europäischen Datenschutz.

JETZT NEWSLETTER ABONNIEREN

Formular wird geladen ...
×Schließen

Software für rechtssichere Newsletter

Behalten Sie jederzeit die Kontrolle über Ihre Daten dank Inhouse-Installation des Universal Messenger.

Universal Messenger kennenlernen