Datenschutz: Das Safe-Harbor-Urteil und seine Folgen

In den USA gelten keine angemessenen Vorgaben in Sachen Datenschutz. Das hat der Europäische Gerichtshof im Oktober entschieden und damit das sogenannte Safe-Harbor-Abkommen für ungültig erklärt. In den Unternehmen hat dies für erhebliche Unsicherheit gesorgt – stellt sich doch die Frage, unter welchen Voraussetzungen Datentransfers in die USA jetzt noch zulässig sind. Der PwC-Legal-Experte Dr. Christian Dressel erklärt im Interview, wie Unternehmen das Problem lösen und warum eine kritische Überprüfung des gesamten Datenschutzmanagements ratsam ist.

Herr Dr. Dressel, sind Datentransfers in die USA nach dem Urteil des Europäischen Gerichtshofs überhaupt noch zulässig?

Christian Dressel: Ja. Unternehmen können sich allerdings nicht mehr auf das Safe-Harbor-Abkommen berufen, wenn sie personenbezogene Daten transferieren möchten. Sie brauchen eine alternative Rechtsgrundlage.

Was kommt infrage?

Dressel: Theoretisch die Einwilligung der betroffenen Kunden, aber das ist in den seltensten Fällen praktikabel. Stattdessen kommen in der Praxis häufig Verträge zwischen dem Datenlieferanten und dem US-Unternehmen, das sie speichert oder verarbeitet, zum Einsatz. Darin müssen die Parteien ein angemessenes Datenschutzniveau vereinbaren – meist mit Hilfe der so genannten EU-Standardvertragsklauseln. Alternativen sind verbindliche Unternehmensrichtlinien, so genannte „Binding Corporate Rules“, in denen sich die Beteiligten zu einem angemessenen Datenschutzniveau verpflichten, oder individuell gestaltete Datentransferverträge. Für deutsche Unternehmen ist es derzeit jedoch in der Praxis nicht möglich, auf diese Varianten kurzfristig umzustellen.

Warum nicht?

Dressel: Der Düsseldorfer Kreis – das Abstimmungsgremium der Datenschutzbeauftragten von Bund und Ländern – hat infolge des Safe-Harbor-Urteils entschieden, vorerst keine neuen Genehmigungen für „Binding Corporate Rules“ zu erteilen. Damit haben sich die deutschen Datenschutzaufsichtsbehörden für eine besonders strenge Linie entschieden. Das Gleiche gilt für genehmigungsbedürfte individualisierte Datentransferverträge. Für diese werden von den Datenschutzaufsichtsbehörden derzeit ebenfalls keine neuen Genehmigungen mehr erteilt.

Also bleibt deutschen Unternehmen, die sich bislang auf Safe Harbor verlassen haben, abgesehen von den meist unpraktikablen Einwilligungen vorerst nur eine Möglichkeit: Sie müssen Verträge mit den Datenverarbeitern abschließen, um Transfers personenbezogener Daten rechtlich zu stützen.

Dressel: Grundsätzlich ja. Aus rein rechtlicher Sicht bleibt kurzfristig nur der Abschluss von Verträgen mit den EU-Standardvertragsklauseln. Die darin enthaltenen Verpflichtungen lassen sich in Unternehmen allerdings oft nicht ohne Weiteres implementieren. Damit geraten Unternehmen, die sich zuvor auf Safe Harbor verlassen haben, in eine sehr schwierige Situation.

Spannend wird sein, wie sich die Aufsichtsbehörden ab dem 1. Februar 2016 verhalten. Bis dahin wollen sie etwaige Übermittlungen, die zuvor auf Safe Harbor beruht haben, nicht verfolgen. In welchem Umfang ab dem 1. Februar Unternehmen aufgefordert werden, ihre Datenflüsse darzulegen und gegebenenfalls Bußgelder verhängt werden, wenn keine neue Rechtsgrundlage für die Übermittlung von Daten in die USA geschaffen worden ist, ist schwer vorherzusagen.

Was raten Sie den Unternehmen?

Dressel: Sofern nicht schon geschehen, unbedingt die bislang auf Basis von Safe Harbor gestützten Übermittlungen identifizieren und mit dem Empfänger über rechtlich zulässige Alternativen sprechen.

Stehen bald wieder mehr Alternativen für rechtssichere Datentransfers zur Verfügung?

Dressel: Eine Prognose ist schwierig, weil die Neubewertung der Rechtslage auf EU-Ebene abzuwarten ist. Derzeit finden Verhandlungen zwischen EU-Kommission und den USA über ein neues Safe Harbor-Abkommen statt. Allerdings sind die Verhandlungen bereits ins Stocken geraten, eine Einigung erscheint eher eine Frage von Monaten.

Unternehmen sollten daher die weitere Entwicklung genau beobachten und das Thema ernst nehmen. Denn die nationalen Datenschutzbehörden dürften künftig genauer hinschauen. Weil Gesetzgeber und Datenschutzaufsicht allgemein bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten zunehmend strenge Maßstäbe anlegen, sollten Unternehmen ihr gesamtes Datenschutz-Management einer kritischen Überprüfung unterziehen – gerade mit Blick auf die neue EU-Datenschutzgrundverordnung.