Der EuGH hat bekanntlich am 06.10.2015 das Safe Harbor Abkommen (Entscheidung 2000/520/EG der Kommission) für nichtig erklärt. In der Zwischenzeit gibt es diverse Kommentare und Einschätzungen zu den Konsequenzen. Die Artikel 29 Datenschutzgruppe forderte in einer Erklärung vom 16.10.2015 „die Mitgliedstaaten und die europäischen Institutionen nachdrücklich dazu auf, offene Gespräche mit den US-amerikanischen Behörden zu führen, um politische, rechtliche und technische Lösungen zu finden, damit die Grundrechte bei Datenübermittlungen in das Hoheitsgebiet der Vereinigten Staaten gewahrt werden.“ Was bedeutet dies konkret für Unternehmen, die bislang Safe Harbor als geltende Rechtsgrundlage verwendet haben?
In einer Übergangszeit bis Ende Januar 2016 gehen Datenschutzaufsichtsbehörden „davon aus, dass die Standardvertragsklauseln und BCR (Binding Corporate Rules) weiterverwendet werden können“. Käme es bis dahin zu keiner einvernehmlichen europäischen Lösung mit der US-amerikanischen Behörden, „sind die EU-Datenschutzbehörden verpflichtet, alle notwendigen und angemessen Maßnahmen zu ergreifen, einschließlich koordinierter Durchsetzungsmaßnahmen.“
Derzeit werden keine neuen Genehmigungen für Datenübermittlungen auf Basis von BCR oder EU-Standardvertragsklauseln erteilt. Die Einwilligung des Betroffenen zum Transfer personenbezogener Daten (§ 4a BDSG) kann eingeschränkt als Rechtsgrundlage dienen. Falls es sich hierbei um Beschäftigtendaten handelt kann dies nur der Ausnahmefall sein.
Was bedeutet dies nun in der Praxis für Betroffene, Unternehmen und auch für uns Datenschutzbeauftragte? Wie kann Rechtssicherheit (wieder) hergestellt werden um den faktisch vorhanden Datenexport personenbezogener Daten in die USA für alle Beteiligten rechtssicher zu gewährleisten. Was können Unternehmen tun um Lösungen wie SalesForce oder SuccessFactors datenschutzrechtlich konform zu betreiben? Ist von Seiten der bundesdeutschen Aufsichtsbehörden in diesem Zusammenhang ab dem 01.02.2016 mit Bußgeldern für betroffene Unternehmen zu rechnen?
Wir haben dazu folgende Antwort vom bayerischen Landesamt für Datenschutzaufsicht in Ansbach erhalten, die etwas Licht ins Dunkle bringt. Wie gewohnt sehr ausführlich und innerhalb eines Tages, dazu an dieser Stelle auch einmal Dank für diese wertvolle Hilfe. Darin war zu lesen:
„Die Datenschutzbehörden in Deutschland und den EU-Mitgliedstaaten haben angekündigt, bis etwa Ende Januar zu analysieren, welche Konsequenzen sich aus dem EuGH-Urteil vom 05.10.2015, mit dem der sog. Safe-Harbor-Beschluss der KOM aufgehoben wurde, für die anderen Rechtsgrundlagen zur Übermittlung personenbezogener Daten in die USA ergeben.
Diese Analyse dauert derzeit noch an. Sie erstreckt sich auf alle denkbaren Rechtsgrundlagen für solche Übermittlungen, d.h. Standardverträge, sonstige Verträge, Binding Corporate Rules und die Ausnahmetatbestände nach Art. 26 Abs. 1 DSRL (bzw. § 4c Abs. 1 BDSG), darunter die Einwilligung. Unsere Behörde befindet sich in intensivem Austausch mit den anderen o.g. Datenschutzbehörden. Unser Ziel ist es, gerade im Interesse der Rechtssicherheit möglichst einheitliche Bewertung zu erreichen. Anfang Februar wird sich die Artikel-29-Gruppe der Datenschutzbehörden der Mitgliedstaaten voraussichtlich mit ersten Ergebnissen hierzu äußern.
Für Unternehmen, die bislang ihre Übermittlungen in die USA auf Safe Harbor gestützt haben, gilt jedenfalls, dass sie umgehend ihre Übermittlungen auf eine andere Rechtsgrundlage stellen müssen. Hierzu verweisen wir auf die Pressemitteilung der Datenschutzkonferenz … (http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_aktuell.htm#SafeHarbor).
Im Übrigen bleibt das Ergebnis der o.g. laufenden Analyse durch die Artikel-29-Gruppe abzuwarten. Präzisere Hinweise können wir zum heutigen Stand mit Blick auf die noch nicht abgeschlossene Analyse leider nicht geben.“
Konkreter ist dann zu lesen: „… als Ergänzung teilen wir mit, dass hinsichtlich etwaiger Bußgelder das gilt, was in diesem Bereich immer gilt: Bußgeldverhängungen setzen eine hinreichend klare Rechtslage voraus, etwa hinsichtlich der Verwendbarkeit anderer Rechtsgrundlage für Übermittlungen in die USA; so lange diese Frage nicht hinreichend geklärt ist – was derzeit nicht der Fall ist – stellt sich die Frage etwaiger Bußgelder unseres Erachtens von vornherein nicht ernsthaft. Und auch wenn unsere Behörde zu einer vorläufigen rechtlichen Bewertung in dieser Frage gelangt sein wird, kann es unseres Erachtens in einem ersten Schritt dann nur darum gehen, zunächst durch Information und – bei Bedarf – Durchsetzung etwaig nötiger Maßnahmen für rechtmäßige Zustände zu sorgen; erst, wenn dies im Einzelfall auf diese Weise nicht gelingt, wäre ggf. der Erlass etwaiger Bußgelder zu prüfen.“
Fazit:
Aktuell scheint sich das Gespenst von Bußgeldern ab dem 1. Februar 2016 nicht zu bewahrheiten. Es wäre für alle Beteiligten wünschenswert, dass in Sachen „Datenschutz USA nach Safe Harbor“ Klarheit und damit Rechtssicherheit hergestellt werden kann. Hier ist die Politik gefordert und das nicht nur hier. Wir informieren Sie weiterhin, sobald Neuigkeiten vorliegen.