Der Europäische Gerichtshof hat am 06.10.2015 mit einer Entscheidung im Bereich des Datenschutzrechts für Aufsehen gesorgt. Das Gericht hat entschieden, dass das so genannte Safe-Harbor-Abkommen, welches die Datenübertragung in die USA regelt, mit europäischem Recht nicht vereinbar und somit hinfällig ist. Die Begründung: in den Vereinigten Staaten wird kein Datenschutzniveau garantiert, das den Anforderungen des europäischen Datenschutzrechts genügt, insbesondere seien die übertragenen Daten nicht ausreichend gegen den Zugriff von US-amerikanischen Behörden gesichert.
Für viele europäische Unternehmen wirft diese Entscheidung auf. Was muss ich in Zukunft bei der Datenübertragung in die USA beachten? Darf ich überhaupt noch Daten in die USA übertragen oder dort verarbeiten lassen? Oder ist dies mit dem Ende des Safe-Harbor-Abkommens gar nicht mehr möglich?
Ganz so dramatisch ist es nicht. Auch ohne das Safe-Harbor-Abkommen gibt es nach wie vor Möglichkeiten, Daten in einer Art und Weise ins Nicht-EU-Ausland zu übermitteln, die mit deutschem und europäischem Datenschutzrecht vereinbar ist.
1. Bin ich betroffen?
Betroffen sind zunächst all jene Stellen, die Daten ins Nicht-EU-Ausland übermitteln. Werden Daten also in ein Land übertragen, welches nicht Mitgliedsstaat der Europäischen Union ist und auch nicht Mitglied des Europäischen Wirtschaftsraums – wie z. B. die USA – so muss sich der Verantwortliche die Frage stellen, ob die Datenübertragung zulässig ist.
Eine Datenübermittlung liegt immer dann vor, wenn gespeicherte oder durch Datenverarbeitung gewonnene personenbezogene Daten an einen Dritten in der Weise bekanntgegeben werden, dass die Daten tatsächlich weitergegeben werden oder wenn der Dritte entsprechend bereitgehaltene Daten einsieht oder abruft. Auch eine konzerninterne Weitergabe von personenbezogenen Daten fällt unter diese Definition. Nach § 4b Absatz 2 Satz 2 des Bundesdatenschutzgesetzes (BDSG) ist eine solche Übermittlung der Daten unzulässig, wenn ein schutzwürdiges Interesse des Betroffenen entgegensteht. Ein solches schutzwürdiges Interesse liegt insbesondere dann vor, wenn bei der datenverarbeitenden ausländischen Stelle kein angemessenes Datenschutzniveau vorliegt.
Nach der Entscheidung des Europäischen Gerichtshofs, die das US-amerikanische Datenschutzniveau für nicht ausreichend erachtet hat, müssen also alle Unternehmen, die Daten im Nicht-EU-Ausland verarbeiten lassen oder diese in ein solches Land übermitteln, genau prüfen, ob die Datenübertragung noch zulässig ist und falls nein, wie die Zulässigkeit erreicht werden kann.
2. Was muss ich beachten?
Das Ende des Safe-Harbor-Abkommens bedeutet keineswegs, dass zukünftig eine rechtlich zulässige Datenübertragung in Drittstaaten außerhalb der EU unmöglich wird. Allerdings ist sie zukünftig an engere Voraussetzungen geknüpft. Es muss eine so genannte Zwei-Stufen-Prüfung erfolgen. Zunächst wird geprüft, ob die Datenverarbeitung nach deutschem und europäischem Datenschutzrecht überhaupt zulässig ist. In einem zweiten Schritt wird geprüft, ob der Transfer der Daten in das Drittland zulässig ist.
Abgesehen von einigen Ausnahmetatbeständen, die jedoch zurückhaltend gehandhabt werden, wird im Regelfall eine vertragliche Regelung erforderlich sein: der Verantwortliche muss selbst durch eine Vereinbarung mit der datenverarbeitenden Stelle in den USA sicherstellen, dass ein deutsches und europäisches Datenschutzniveau erreicht wird. Dies erfolgt entweder durch einen individuellen Datenschutzvertrag, der von den Aufsichtsbehörden genehmigt werden muss, oder durch einen Vertrag auf Grundlage der EU-Standardvertragsklauseln.
3. Was kann ich tun?
Wenn Sie glauben, von den Auswirkungen des Urteils betroffen zu sein oder sich unsicher sind, sprechen Sie uns an. Wir beraten Sie gerne und entwerfen gemeinsam mit Ihnen eine individuelle, rechtssichere und praxistaugliche Lösung für Ihr Unternehmen. Ihre kompetenten Ansprechpartner in unserer Kanzlei sind Herr Rechtsanwalt Peter Nümann und Frau Rechtsanwältin Christina Wohlgemuth. Sie erreichen uns unter unserer Telefonnummer 0721/570409330 oder per E-Mail an info@nuemann-siebert.com.
