Was bedeutet das Safe-Harbor-Urteil des EuGH für Sie?

Die Entscheidung des EuGH ist global gesehen richtungsweisend. Aber was bedeutet es für Websitebetreiber, Agenturen oder Unternehmen?

30
SHARES

Der Europäische Gerichtshof (EuGH) hat heute entschieden, dass Transfers von personenbezogenen Daten in die USA nicht mehr auf Grundlage des „Safe Harbor”-Abkommens erfolgen dürfen (EuGH, 06.10.2015 – C-362/14; Pressemitteilung; Volltext).

Das Urteil mag eine große Bedeutung für viele Unternehmen haben. Für die meisten von Ihnen wird es sich jedoch kaum auswirken, da Sie auch vorher rechtswidrig gehandelt haben.

In dem folgenden Beitrag fasse ich die rechtlichen Fragen zu der EuGH-Entscheidung zusammen. Zwecks Verständlichkeit gehe ich nicht auf alle Details ein und vereinfache ein wenig. Details und Hintergründe zu dem, von Max Schrems angestoßenen Verfahren, finden Sie in der Linkliste am Ende des Beitrags.

Was muss bei Datentransfers an Dritte beachtet werden?

Bevor das Safe-Harbor-Verfahren überhaupt relevant wird, müssen die Grundsätze für Datentransfers betrachtet werden.

Sie dürfen personenbezogene Daten Ihrer Kunden, Nutzer oder Mitarbeiter (so genannte „Betroffene“) an Dritte grundsätzlich nicht übermitteln. Es sei denn, die Betroffenen haben eingewilligt oder Sie haben mit den Dritten einen Auftragsdatenverarbeitungsvertrag gem. § 11 BDSG abgeschlossen (ich kürze das als ADV-Vertrag ab).

In einem ADV-Vertrag verpflichten sich die Dritten (z.B. Anbieter von Webservern, Software as a Service, Werbeagenturen, Online-Tools, etc.), die erhaltenen Daten u.a. nicht für andere Zwecke zu nutzen sowie notwendige technisch-organisatorische Schutzmaßnahmen zu befolgen (dazu mein Beitrag im t3n-Magazin).

Solche ADV-Verträge sind aber nur mit Dritten möglich, die in der EU ansässig sind (§ 3 Abs.8 BDSG). Jedoch können vergleichbare Verträge mit Hilfe so genannter Standardvertragsklauseln zumindest mit Unternehmen abgeschlossen werden, die Daten in einem Land mit einem hinreichenden Datenschutzniveau verarbeiten (§§ 4b, 4c BDSG).

Über ein hinreichendes Datenschutzniveau verfügen außerhalb der EU jedoch nur wenige andere Staaten, wie z.B. Australien, Neuseeland, Kanada, Israel, Schweiz, oder Uruguay. Die USA gehören nicht dazu, weswegen das Safe-Harbor-Abkommen im Sinne eines „sicheren Hafens für Daten“ abgeschlossen wurde.

Ausnahmen im Rahmen von Geschäftsbeziehungen: Die Übermittlung von personenbezogenen Daten in die USA ist ebenfalls zulässig, wenn sie notwendig ist, um vertragliche Verpflichtungen zu erfüllen. Das kann z.B. der Fall sein, wenn ein Shopanbieter die Lieferadresse eines Käufers in Deutschland an den Lieferanten der Ware in den USA übermittelt (s. § 4 c Abs.3 Nr.1 BDSG).

Welche Vorteile bot das Safe-Harbor-Abkommen?

Die EU-Kommission hat mit den USA im Jahr 2000 ein Abkommen unterzeichnet, wonach sich US-Unternehmen verpflichten konnten den EU-Datenschutzstandards zu genügen, um eine Safe-Harbor-Zertifizierung zu erhalten. Damit galt ihr Datenverarbeitung als dem EU-Datenschtzniveau entsprechend, so dass die Übermittlung von Daten erleichtert war.

Diese Selbstverpflichtung war lt. EU-Datenschützern jedoch praktisch nicht das „Papier“ wert auf dem sie stand. Es stellte sich heraus, dass die Zertifikate nicht geprüft wurden oder dass die US-Unternehmen die Daten wider den EU-Datenschutzvorgaben auswerteten. Das Fass brachten letztendlich die Datenzugriffe der Geheimdienste zu überlaufen (NSA-Skandal).

Was bedeutet das Ende von Safe Harbor?

Als Folge entschied der EuGH nun, dass das Safe-Harbor-Abkommen für die Zukunft keine Wirksamkeit besitzt, weshalb auch die bisher angewandten Standardvertragsklauseln angezweifelt werden müssen. Das Ergebnis ist eine große Unsicherheit bei den Unternehmen.

Als einzig sichere Alternative kommen daher die Einwilligungen der betroffenen Kunden/Nutzer/Mitarbeiter in Frage, die jedoch praktisch schwer umzusetzen sind. Sie dürfen z.B. nicht in den AGB „versteckt“ werden, müssen also ähnlich wie Newsletteranmeldungen per Kontrollkästchen erklärt werden. Ferner muss den Einwilligungen eine ausführliche Darstellung der übermittelten Daten, ihrer Zwecke und der mit ihrer Übermittlung verbundenen Risiken vorgehen. Daneben sind auch „Binding Corporate Rules“ möglich, d.h. selbstverpflichtende Unternehmensrichtlinien.

In den meisten Fällen, wird der Wegfall von Safe Harbor jedoch bedeuten, dass rechtswidrige Praktiken „lediglich“ ein Stück mehr rechtswidrig werden.

Haben Sie bisher rechtmäßig gehandelt?

Wenn Sie auch bisher mit US-Dienstleistern keine Verträge über eine den EU-Vorgaben entsprechende Datenverarbeitung im Auftrag abgeschlossen hatten, dann handelten Sie ohnehin rechtswidrig. Das wird m.E. bei 99,99% der Datentransfers der Fall sein, da US-Unternehmen außerhalb von größeren unternehmerischen Kooperationen, keine solchen Verträge anboten. In vielen Fällen waren die Unternehmen nicht mal Safe-Harbor-zertifiziert (das waren nur größere Anbieter wie Facebook, Google, Dropbox, Automattic, etc.).

Das heißt, wenn Sie Social Plugins auf Ihrer Website einsetzen, Analysewerkzeuge aus den USA verwenden, Kundendaten in der Dropbox lagern oder Workflows Ihrer Mitarbeiter mit US-Tools optimieren, handelten Sie ohnehin in den meisten Fällen rechtswidrig und müssen sich nun überlegen, ob Sie wie bisher weiter machen wollen.

Wie soll man nun reagieren?

Wenn Sie also so weiter verfahren wie bisher, dürfte sich praktisch nicht viel ändern. Es ist durchaus möglich, dass die Datenschutzbehörden härter durchgreifen, doch deren beschränkten finanziellen Mittel wurden trotz der nun auf sie zukommenden Arbeit, nicht erhöht. Ferner nehmen Datenschutzbehörden in der Regel auch auf die Nachteile der plötzlichen Änderungen Rücksicht. Auch Abmahnungen sind möglich und nun wahrscheinlicher, wobei es weiterhin unsicher bleibt, ob und im welchen Umfang Datenschutzverstöße abgemahnt werden können.

Die Datenschutzanforderungen werden Sie ohnehin kaum alle perfekt erfüllen können. Das heißt jedoch nicht, dass Sie es gleich lassen sollten. Ganz im Gegenteil, sollten Sie rechtlich so viel wie möglich richtig machen. D.h. je sicherer Ihre Datenverarbeitung rechtlich ist, desto geringer ist das Gesamtrisiko beim Einsatz von rechtlich fragwürdigen US-Anbietern.

Sie sollten daher:

  • Nach Möglichkeit EU, statt US-Anbieter wählen (bzw. US-Anbieter die ADV-Verträge anbieten und Daten in der EU verarbeiten, wie es z.B. bei Amazon Web Services oder Microsoft möglich ist)
  • Dienstleister, die Nutzer/Kunden/Mitarbeiter-Daten in Ihrem Auftrag verarbeiten, nach ADV-Verträgen fragen.
  • Betroffene im Zweifel um eine Einwilligung bitten.
  • Eine Datenschutzerklärung anbieten, die über Ihre Datenverarbeitung Auskunft gibt.

Fazit

Die Entscheidung des EuGH zu Safe Harbor gilt vor allem für Unternehmen, die auf Grundlage von Datenschutzverträgen personenbezogene Daten in die USA transferierten. Betroffen sind vor allem Anbieter wie Facebook, deren EU-Tochter Nutzerdaten an die USA-Muttergesellschaft übermittelt. Aber auch viele andere US-Unternehmen, die Datengeschäfte in der EU machen, werden wirtschaftlich beeinträchtigt.

Das Urteil ist als eine Antwort auf die aus EU-Sicht unzulässigen Datenschutzpraktiken der US-Unternehmen und der US-Regierung zu werten. Wo unmittelbare politische Mittel nicht helfen, soll ein mittelbarer wirtschaftlicher Druck dazu führen, dass die USA sich der EU-Vorstellung des Datenschutzes nähern. Das wäre m.E. aus Sicht der zunehmenden Bedürfnisse nach ungehinderten Informationsflüssen wünschenswert, weswegen das Urteil insoweit zu begrüßen ist.

Wenn Sie bisher auf vertraglicher Ebene personenbezogene Daten an Dienstleister die USA übermittelten, besteht für Sie ein Grund zu handeln. In den meisten Fällen waren die Datentransfers ohne Datenschutz-Verträge jedochh ohnehin rechtswidrig und daran wird sich vorerst nichts ändern.

Der Unterschied ist jedoch, dass der rechtliche Fokus auf den Datenschutz stärker wird und Sie daher noch mehr als zuvor auf die möglichst genaue Einhaltung der Datenschutzvorschriften achten sollten. Vor allem sollten Sie mit allen Dienstleistern, denen Sie personenbezogene Daten übermitteln, ADV-Verträge abschließen.

Alles andere müssen wir abwarten.

Linkliste

Wir helfen Unternehmen und Agenturen rechtliche Stolperfallen beim Onlinemarketing zu vermeiden. Wenn Sie die Prüfung von Werbekonzepten, Erstellung von AGB, Beratung in E-Commerce und Datenschutz sowie unkomplizierte und schnelle Betreuung wünschen, stehen wir gerne zu Ihrer Verfügung. Sprechen Sie uns an.

30
SHARES

Kommentare

  1. Sehr schöner und aufschlussreicher Artikel!

    Wir haben vor ca. einem Jahr den ADV-Vertrag zu Google (wegen Analytics) nach Irland geschickt, die Antwort dauerte auch nur drei Monate. :-)

    • Thomas Schwenke

      Und auch hier wird jetzt spannend, ob die Hamburger DSB sich zu dem Bestand dieses Vertrages äußern werden, er weiterhin Bestand hat oder wir wieder viel Papier nach Irland werden schicken müssen.

  2. M. BERTIG

    Ist die Kundendatenerfassung (leads) in SALESFORCE ein Risiko für den Vertriebler der die Daten eingibt oder die Firma die Salesforce vorgibt????
    Beste Grüße

  3. Thomas Kowalzik

    Was bedeutet das aber für mich, als privater Betreiber einer Community zum Beispiel? Im Forum lassen sich z.B. Beiträge per Social Button teilen. Sollte ich das besser ausbauen?

  4. Markus

    Hallo,

    was bedeutet das Ganze eigentlich im Bezug auf Social Media Profile von Unternehmen? Sollte man aktuell überhaupt eine neue Fanpage auf Facebook eröffnen oder erstmal abwarten was in den nächsten Monaten passiert?

    Gruß

    Markus

  5. Stephan

    Mich interessiert die juristische Einschätzung in Bezug auf amerikanische Content Delivery Networks (CDN), die zum Beschleunigen von Websites verwendet werden. Die Website-Inhalte sind dabei verteilt auf Servern in der ganzen Welt. Die amerikanische Firma erstellt dazu eine Nutzerstatistik.

  6. Stephan Rodmann

    Hallo, in allen Artikeln wird immer von Datentransfer gesprochen.
    Meistens geht es dann darum, dass personenbezogene Daten dann auf den US-Servern gespeichert werden. Was ist, wenn ein Supportmitarbeiter aus den USA Zugriff auf ein System erhält, dessen Daten zwar in der EU gelagert sind, er aber aus den USA heraus durch einen Support-Zugang auch personenbezogene Daten sehen kann und vielleicht muss? Ist das dann auch schon eine Transfer?

Trackbacks für diesen Beitrag

  1. die ennomane » Safe Harbor: Ich verstehe da ein paar Dinge nicht
  2. Best of Content Marketing – Thema: Datenschutz, Recht und Netzpolitik
  3. WooCommerce Wochenrückblick #6: Übersetzungen, WordCamp Schweiz & Abmahnungen vermeiden » MarketPress Deutschland
  4. Wissens-Schatz Social Media: 09.10.2015 - B2N Social Media
  5. Welche Konsequenzen hat das Ende von Safe Harbor? › Henning Uhle
  6. Wochenspiegel für die 41 KW., das war NSU und das Phantom, Safe Harbour und Vollmacht nur mit Datum – Burhoff online Blog
  7. Marketingtipps der Woche 41|2015 - Der Heldenblog Der Heldenblog
  8. Safe Harbor und E-Mail-Marketing
  9. Initiative Cloud Services made in Germany begrüßt sendeffect
  10. Safe Harbor und die praktischen Folgen
  11. Safe Harbor: Neuer Hafen für Cloud-Daten gesucht - Teil I
  12. Safe Harbor und Datentransfers – Rechtsbelehrung Folge 30 (Jura-Podcast) | I LAW it
  13. Warum das Urteil zu Safe Harbor den meisten eigentlich egal sein kann – und was man als Unternehmen vielleicht doch tun sollte - Dr. Richard Schieferdecker
  14. oreillyblog » IT, Politik und Gesellschaft von A bis Z: Versuch eines Jahresrückblicks
  15. sendeffect beteiligt sich an der Initiative Cloud Services Made in Germany
  16. Die 3 besten Newsletter-Anbieter für Blogger (+ Bonus-Tipps) - BloggingUniversity
  17. Jetpack ohne WordPress.com-Verbindung und ohne Development-Mode-Hinweis › Torsten Landsiedel
  18. Safe Harbor und Datentransfers – Rechtsbelehrung Folge 30 (Jura-Podcast)
  19. WooCommerce Weekly Review #6: Translations, WordCamp Switzerland & avoiding legal warnings | MarketPress

Hinterlassen Sie bitte einen Kommentar

Ich freue mich über Ihren Kommentar. Bitte beachten Sie jedoch, dass ich an dieser Stelle nur allgemeine Fragen zum Beitrag beantworten, aber keine individuellen Fälle lösen oder beantworten kann. Falls Sie eine individuelle Beratung wünschen, stehen wir gerne hier für Sie bereit. Ferner erfolgen alle Informationen und Antworten nach bestem Wissen & Gewissen, jedoch kann für sie keine Haftung übernommen werden.

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Comments links could be nofollow free.