13.10.2015 |
Mit seinem aufhebenden Urteil zum sogenannten „Safe-Harbor-Abkommen“ über die Datenschutzregeln zwischen der EU und den USA stellt der Europäische Gerichtshof (EuGH) die Wirtschaft in Europa vor kaum lösbare Datenschutzprobleme.
Eine Übermittlung personenbezogener Daten ist gerade in der heute wirtschaftlich eng verflochtenen, globalisierten Wirtschaft nahezu unverzichtbar. Mit dem Urteil des EuGH ist legale der Datenaustausch jedoch kaum noch möglich. Lediglich innerhalb multinationaler Konzerne bestehen noch Möglichkeiten. Jenseits davon ist die Lage diffizil.
Im Jahr 2000 wurde zwischen der EU-Kommission und dem amerikanischen Handelsministerium (Department of Commerce) das Safe-Habor Abkommen geschlossen. Dieses Abkommen eröffnete Unternehmen die Möglichkeit, personenbezogene Daten legal an bestimmte Unternehmen (bis Oktober 2015 waren 5483 US-Unternehmen dem Abkommen beigetreten*) in die USA zu übermitteln, obwohl die USA als unsicheres Drittland gilt. Unsichere Drittländer sind Nicht-europäische Länder, in denen kein äquivalentes Datenschutzniveau zu Europa existiert.
Keine Kontrollen
Nach dem Safe-Harbor-Abkommen konnten sich amerikanische Unternehmen selbst die „Garantie“ ausstellen, dass sie ein vorgegebenes Datenschutzniveau einhalten. Dies wurde aber weder von öffentlicher amerikanischer Seite kontrolliert, noch war eine Überprüfung von deutscher Seite möglich bzw. wirtschaftlich für einzelne Unternehmen vertretbar.
Die Übertragung an Unternehmen in die USA im Rahmen von Safe-Habor stand deshalb schon immer auf schwachen Füßen, da amerikanische Gesetze (z.B. Patriot Act) diese „Garantien“ unterlaufen.
Das Safe-Harbour-Abkommen war deshalb aus meiner Sicht schon immer ein „Feigenblatt“, um die Datenübertragung zu legitimieren. Aber kein wirklicher Schutz der personenbezogenen Daten. Dies wurde jetzt vom EUGH bestätigt.
Wirkliche Alternativen gibt es nicht, mit denen Unternehmen den Transfer und die Verarbeitung von personenbezogenen EU-Nutzerdaten in den USA datenschutzrechtlich absichern können.
Die sogenannten EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten im Rahmen der Auftragsdatenverarbeitung sind keine Alternative, da sie quasi – wie das Safe-Harbor Abkommen – nur eine Willenserklärung darstellen, die kaum nachprüfbar ist und auch amerikanisches Recht (siehe oben) nicht aushebeln kann.
Eine weitere Alternative wären die Binding Corporate Rules, auch BCR abgekürzt. Die BCR sind ein Rahmenwerk für den Umgang mit personenbezogener Daten, welches von einer Gruppe aus Vertretern der Datenschutzbehörden, ihrer Kontrollstellen und der EU-Kommission (Artikel 29 Datenschutzgruppe) entwickelt wurde.
BCR nur für Multis
Die BCR erlauben es aber nur multinationalen Konzernen, internationalen Organisationen und Firmengruppen nach geltendem europäischem Recht, innerhalb des Konzerns, Organisation oder Gruppe personenbezogene Daten in Drittstaaten mit nicht angemessenem Datenschutzniveau zu transferieren.
Es gibt einige internationale Konzerne, wie z.B. Siemens, GE oder First Data Corperation, die BCR eingeführt haben. In Vortragsreihen haben Unternehmensvertreter aber bestätigt, dass die Einführung der BCR einen erheblichen finanziellen Aufwand und Ausdauer erfordert.
Die letzte Alternative ist die proaktive Einwilligung der betroffenen Person in die Übertragung. Doch wie soll dies im Rahmen einer Auftragsdatenverarbeitung funktionieren? Ein einfacher Hinweis in den AGB oder im Datenschutzhinweis reicht dafür nicht. Ein dezidierter Hinweis mit einem OK-Button wird nicht funktionieren, da nicht hinreichend bekannt ist und beschrieben werden kann, worin die Einwilligung überhaupt besteht.
Hierzu äußerte sich Peter Schaar (ehemaliger Bundesdatenschutzbeauftragter) in der „Zeit online“ am 8.10.2015: „Der Verzicht auf Rechtsschutz und auf Auskunftsrechte über die zur eigenen Person gespeicherten Daten verstößt gegen die EU-Grundrechtecharta. So etwas wäre nach europäischem Recht unzulässig.“
Damit sind m.E. alle Möglichkeiten weitestgehend versperrt. Jetzt bin ich gespannt, wie die deutschen Datenschutzbehörden damit zukünftig umgehen werden.
Aus meiner Sicht hilft nur noch pseudonymisieren oder anonymisieren der zu übertragenden Daten. Das lässt sich bei Unternehmensdaten realisieren, jedoch nicht bei Facebook & Co.
Quelle: Roland von Gehlen auf Xing und LinkedIn