Sehr geehrte Kunden,

angesichts unseres Newsletters zum ungültig erklärten Safe Habor Abkommens möchten wir Sie über die fortschreitende Entwicklung informieren.

I. Standpunkt

Infolge der entstandenen formaljuristischen Regelungslücke bei der Übermittlung von personenbezogenen Daten in die USA, durch den Wegfall der Zulässigkeit des Safe Habor Abkommens, haben die deutschen Aufsichtsbehörden Konsequenzen gezogen und angekündigt vermehrt Kontrollen durchzuführen. Es muss nunmehr festgestellt werden, ob ein angemessenes Datenschutzniveau beim Datenverkehr gewährleistet ist. In den Fokus der Überprüfung rücken vor allem Unternehmen, welche mit amerikanischen Unternehmen verbunden sind (z.B. Mutter- und Tochterunternehmen) und auch solche die anderweitig Daten im Wege von geschäftlicher Kommunikation, Vertriebsaktivitäten oder Auslagerungen im Rahmen von Cloud-Computing übertragen.

Auszuschließen ist es nicht, dass eine Untersagungsverfügung ergeht oder Bußgelder ausgesprochen werden, wenn keine ausreichende datenschutzkonforme Grundlage vorhanden ist.

Die wohl derzeit bedeutsamste Frage ist, wie die Alternativen zum Safe Harbor Abkommen aussehen und inwieweit bisherige Optionen, praktikabel und angemessen sind.

II. Lösungsansätze

Erste Lösungsansätze der EU-Kommission zum Datenverkehr mit Drittländern werden voraussichtlich Anfang des Jahres 2016 erwartet. Zielstellung muss es sein, schnellstmöglich eine adäquate Alternative zu finden, um die Rechte der Betroffenen ausreichendem Maße zu schützen unter der Prämisse den transatlantischen Handel nicht einzuschränken.

Eine Datenübermittlung auf Grundlage des Safe Habor Abkommens hat keine Geltung mehr und ist somit unzulässig. Die daraus resultierende Rechtsunsicherheit erforderte, dass die Datenschutzbeauftragten des Bundes und der Länder am 26. Oktober 2015 ein Positionspapier zu diesem Thema veröffentlicht haben. In der Stellungnahme werden die maßgeblichen Leitlinien für den derzeitigen Umgang mit dieser Problematik, insbesondere in Bezug auf elektronische Kommunikation und Cloud-Computing dargestellt.

Eine allgemein anerkannte Lösung des Konfliktes gibt es derzeit noch nicht. Keine Lösungsmöglichkeit stellt der Abschluss einer originären Auftragsdatenverarbeitung im Sinne des § 11 BDSG dar, da die USA als Drittland grundsätzlich kein angemessenes Datenschutzniveau aufweist.

Sofern es für den konkreten Sachverhalt vereinbar ist, kann die Datenübertragung zulässig sein, wenn der von der Datenübermittlung Betroffene einwilligt. Problematisch ist neben dem organisatorischen Aufwand, dass dies eine zweck- und einzelfallbezogene Lösung darstellt und nicht auf eine Vielzahl von Fällen anwendbar ist. Daneben ist fraglich, inwieweit sich die Einwilligung auch auf Daten von Beschäftigten oder gar von involvierten Dritten erstrecken kann.

Die von der Artikel-29-Datenschutzgruppe entwickelten Binding Corporate Rules, also verbindlichen Unternehmensregelungen haben den Nachteil, dass diese von der Aufsichtsbehörde genehmigt werden müssen und dies in der Praxis (Erfahrungswerte) einen Zeitraum von bis zu zwei Jahren beanspruchen kann. Zudem ist davon auszugehen, dass die Datenschutzaufsichtsbehörden bis zur Klärung des rechtlichen Hintergrunds äußerst zurückhaltend mit Genehmigungen auf Grundlage von verbindlichen Unternehmensregelungen oder Datenexportverträge umgehen werden.

Der derzeit praktikabelste Ansatz ist der Abschluss von Standartvertragsklauseln, wenngleich erst noch eruiert werden muss inwieweit diese durch die derzeitigen Verhandlungen angepasst werden müssen.

Die Ansätze sind bereits dann für Unternehmen zu überdenken und von Relevanz, wenn der Server z.B. von Social Plug-Ins oder Webanalyse-Tools oder ausgelagerten Cloud-Diensten sich in den USA befindet. In der Praxis ist daher anzuraten, grundsätzlich Anwendungen zu verwenden, bei welchen der Betreiber den Sitz in der EU hat. Zudem sollten die Anwendungen konkret in der Datenschutzerklärung auf der Internetseite beschrieben sein.

Aus dem Positionspapier ist von einer Schonfrist bis Ende Januar 2016 auszugehen, in der noch nicht mit weitreichenden Konsequenzen bzw. Bußgeldern zu rechnen ist. Unabhängig zu welchen Ergebnissen die Kommission abschließend kommt, besteht die Herausforderung für Unternehmen den Datenverkehr mit der USA datenschutzkonform auszugestalten.

Es ist daher unabdingbar, dass die konkreten datenschutzrechtlichen Anforderungen bei den Datenübermittlungen im Unternehmen individuell geprüft werden und bestmögliche Lösungsstrategien verfolgt werden.

Gerne eruieren wir mit Ihnen gemeinsam, ob Ihr Unternehmen von den bevorstehenden Neuerungen betroffen ist und stehen Ihnen für nähere Informationen oder bei Fragen zur Verfügung.