23.03.2016 |
Ein Einigungsvorschlag zum im Oktober 2015 gekippten Safe Harbor-Abkommen ist erstellt. Nun müssen EU-Parlamentarier und EU-Kommission entscheiden, ob Europas Datenschutz mit dem vorgelegten Papier gewährleistet werden kann.
Noch kein„Safe-Habor“-Nachfolger
Nachdem das EuGH-Urteil im Oktober 2015 den bislang bestehenden „Safe-Harbor“ für den Austausch und Transfer personenbezogener Daten in die USA sowie andere Drittländer kassiert hat, herrscht weiter große Unsicherheit. Immerhin konnten sich Anfang Februar in Brüssel die USA und die EU auf ein Europe – US Privacy Shield (EU-US-PS) einigen. Wesentliche Kernaussagen: Die USA haben der EU versprochen, den Zugriff ihrer Sicherheitsbehörden auf die persönlichen Daten von Europäern in amerikanischen Rechenzentren zu begrenzen. Zudem soll es einen Ombudsmann im amerikanischen Außenministerium geben und die Vereinbarung wird jährlich überprüft. Schriftliche Details dazu gibt es noch nicht. Die sollen spätestens im Mai vorliegen.
Mitte März trafen sich EU-Abgeordnete mit Vertretern der US-Regierung, um über das neue Abkommen zum Datentransfer mit den USA zu reden. Bevor die EU-Kommission in einem Beschluss festlegt, ob der Datenschutz im Vorschlag für das neue Abkommen gewährleistet ist, wird das EU-Parlament zunächst eine Stellungnahme erarbeiten. Erst danach könnte das Abkommen mit den USA in Kraft treten.
Mentalitätsunterschiede erschweren Lösung
Ob das Abkommen dann einen echten Datenschutz garantiert oder nur ein „Feigenblatt“ bleibt, sei dahin gestellt. Die grundsätzlich unterschiedlichen Mentalitätsfragen beim Datenschutz lassen sich nur bedingt mit einem Abkommen nivellieren. Eine neue EU-Datenschutz-Grundverordnung könnte künftig mehr „Druck auf den Kessel“ bringen, da die Bußgelder erstmals in empfindliche Regionen steigen und weltweit für alle Unternehmen gelten, die den EU-Markt im Visier haben.
Doch zunächst hält der Zustand der Rechtunsicherheit für Unternehmen weiter an.
Im Stich gelassen wurden die Unternehmen durch den sogenannten Düsseldorfer Kreis, dem Zusammenschluss der deutschen Datenschutzbeauftragten des Bundes und der einzelnen Länder. In einem Positionspapier vom 26.10. 2015 zündeten die Mitglieder leider nur „Nebelkerzen“. Sie sahen keine realistische Möglichkeit, personenbezogene Daten datenschutzkonform in die USA zu übertragen. Darüber hinaus wurden in dem Papier auch die bestehenden Möglichkeiten wie die konzern- oder gruppeninterne Übertragung personenbezogener Daten im Rahmen von Binding Corporate Rules (BCR) in Frage gestellt.
Betroffene Unternehmen wurden aufgerufen, „unverzüglich ihre Verfahren zum Datentransfer datenschutzgerecht zu gestalten“. „Unverzüglich“ hieß in diesem Fall, dass die Unternehmen eine Frist bis Januar 2016 hatten. Großzügig übermittelten die Datenschützer in dem Positionspapier aber auch, dass vor Februar 2016 die Einhaltung nicht geprüft werde.
Hamburgs Datenschutzbeauftragter Johannes Caspar zog daraufhin in einem Gespräch mit „heise online“ den markanten Schluss, dass die Unternehmen personenbezogene Daten datenschutzkonform zu verarbeiten hätten. Aktuell sei dies nur mit der Verarbeitung innerhalb Europas möglich.
Umständliche Hilfskonstruktionen
Nun besteht die Welt nicht nur aus Facebook und Google, sondern auch aus personenbezogenen Daten, die zu Analysezwecken von europäischen Unternehmen in die USA übertragen werden. Dort sind Spezialisten und Algorithmen vorhanden, die in Europa nicht verfügbar sind. Teilweise werden aus Zeitgründen Daten abends in die USA übertragen („Following the sun“), damit am nächsten Morgen – nach der Analyse durch US-Spezialisten – in Deutschland eine Lösung vorliegt.
Selbst eine Einwilligung Betroffener hilft den Unternehmen nicht weiter. Sie ist bei wiederholter, routinemäßiger oder massenhafter Übertragung ausgeschlossen. Für jede einzelne Übertragung personenbezogener Daten, z.B. im Rahmen einer Auftragsdatenverarbeitung, ist der Hilfsweg über die Einwilligung aber per se nicht praktikabel.
Meine Empfehlung an Unternehmen, die ihre personenbezogene Daten bisher auf Basis von Safe Harbor- oder EU-Standardverträgen in die USA übertragen: Überprüfen Sie, ob die Übertragung unerlässlich ist und es nicht vielleicht eine europäische Alternative gibt. Dokumentieren Sie das und sichern Sie dies mit ihrem Datenschutzbeauftragten ab. Lassen Sie auf jeden Fall Ihre bestehenden EU-Standardverträge durch Juristen an die Vorgaben des EuGH-Urteils anpassen.
Damit sind Sie auf eine mögliche Diskussion mit ihrer zuständigen Datenschutzbehörde vorbereitet.
Besser ist es, Sie finden – wie von Prof. Dr. Caspar empfohlen – für Ihre personenbezogenen Daten Lösungen, die nicht in den USA, sondern in Europa liegen. Auch wenn diese dann nicht mehr kostenfrei sind. Denn: „Wenn das Produkt oder die Dienstleistung nichts kostet, sind Du oder Deine Daten das Produkt“.
Eine weitere Alternative ist die „De-Personalisierung“ der Daten durch Pseudonymisierung und Verschlüsselung der zu übertragenden Daten. Wichtig dabei ist allerdings, dass der „Schlüssel“ hier in Europa bleibt.
Ihr Roland von Gehlen