Angesichts der Pläne der EU, Datenschutzverstöße auf Grundlage der Datenschutzgrundverordnung mit Maximalbußgeldern von bis zu 5 % des weltweiten Jahresumsatzes des jeweiligen Unternehmens zu ahnden, bekommt Datenschutz-Compliance einen ganz neuen Stellenwert im Unternehmen – auch und gerade was die Weitergabe der Daten an andere Stellen angeht.
Der Handelsblatt Newsletter „Strategisches IT-Management“ ist da! Hier zum kostenlosen Download
Enthüllungen um Datensammlungen und –zugriffe erzeugen Unsicherheit
Unglücklicherweise haben die Enthüllungen um Datensammlungen und –zugriffe ausländischer Sicherheitsbehörden, allen voran der NSA, große Unsicherheit erzeugt, ob und unter welchen Voraussetzungen Unternehmen Daten ihrer Kunden oder Mitarbeiter unter diesen Bedingungen noch ins Ausland weiterleiten oder auch nur ausländischen Dienstleistern anvertrauen dürfen. So wird z. B. angezweifelt, dass die Safe Harbor-Regeln unverändert einen Datentransfer in die Vereinigten Staaten von Amerika rechtfertigen würden. Die deutschen und europäischen Datenschutzaufsichtsbehörden tragen das Ihre zur Verunsicherung bei: In einer Pressemitteilung vom 24. Juli 2013 hat die Konferenz der Datenschutzbeauftragten des Bundes und der Länder nicht nur die Europäische Kommission aufgefordert, ihre Entscheidungen zu Safe Harbor und zu den Standarddatenübermittlungsverträgen vor dem Hintergrund der exzessiven Überwachungstätigkeit ausländischer Geheimdienste bis auf Weiteres zu suspendieren. Die Datenschutzaufsichtsbehörden haben sich in dieser Pressemitteilung sogar zu der Feststellung verstiegen, dass die nationalen Aufsichtsbehörden Datenübermittlung in die USA nunmehr aussetzen könnten, weil die NSA und andere ausländische Geheimdienste umfassend und anlasslos unter Verstoß gegen Datenschutzgrundsätze auf personenbezogene Daten zugreifen, die von Unternehmen in Deutschland an Stellen in den USA übermittelt werden.
Keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten
Die Aufsichtsbehörden sind sogar noch einen Schritt weiter gegangen und haben verlautbart, dass sie bis zur Aufklärung der Datenzugriffe keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen würden. Was bedeutet das nun für deutsche und europäische Unternehmen, die nach wie vor Daten in Drittländer wie die USA übermitteln oder sich mit dem Gedanken tragen, Cloud-Dienste zum Hosting oder zur Verarbeitung von Daten zu nutzen? Ist das derzeit nicht in datenschutzkonformer Weise möglich und droht ganz akut die Versagung etwaiger Genehmigungen oder die Verhängung von Bußgeldern? Diese Frage wird man grundsätzlich verneinen können. Fakt ist, dassungeachtet der Verlautbarung der deutschen Aufsichtsbehörden die Entscheidungen der Kommission über die Angemessenheit des durch den “Safe Harbour” gewährleisteten Schutzniveaus bisher noch unverändert fortgelten. Dasselbe gilt für die Kommissionsentscheidungen zur Angemessenheit der so genannten „EU-Standardvertragsklauseln“, die das wohl am weitesten verbreitete Mittel zur datenschutzrechtlichen Absicherung internationaler Datentransfers sind. Und das Genehmigungserfordernis? Richtig ist, dass Vertragsregelungen zwischen den Daten austauschenden Parteien nach denBestimmungen des Gesetzes nur die Grundlage dafür bieten können, dass bestimmte Datenübermittlungen von der zuständigen Aufsichtsbehörde genehmigt werden können, wenn diese Vertragsregelungen ausreichende Garantien hinsichtlich des Datenschutzniveaus schaffen.
Werden aber die EU-Standardvertragsklauseln verwendet, ergibt sich schon aus den entsprechenden Kommissionsentscheidungen, dass diese ausreichende Garantien enthalten. Bei (unveränderter) Verwendung dieser EU-Standardvertragsklauseln bedarf es also gar keiner weiteren Genehmigung der Aufsichtsbehörden mehr. In der Praxis ist dementsprechend bisher auch kein Fall bekannt geworden, in dem eine Datenschutzaufsichtsbehörde eine Datenübermittlung in die USA suspendiert oder eine erforderliche Genehmigung nicht erteilt hätte.
Wie können sich Unternehmen also datenschutzform verhalten?
Den Unternehmen bleibt gar nichts Anderes übrig, als die hergebrachten Instrumente zur Absicherung der internationalen Datentransfers zu nutzen; sie können dies im Grundsatz auch nach wie vor tun. Die EUKommission hat jedoch bereits im November 2013 von den USA konkrete Nachbesserungen des Safe Harbour-Regimes gefordert, die bis zum Sommer 2014 umzusetzen sein sollen. Die Zukunft des Safe Harbour-Regimes ist also ungewiss, zumal das EU-Parlament im Januar 2014 sogar die Kündigung des Safe-Harbour-Abkommens gefordert hat.
Vorteilhaft ist deshalb sicherlich die Verwendung der (genehmigungsfreien) EU-Standardvertragsklauseln. Aber auch genehmigungspflichtige Datenübermittlungsinstrumente (vor allem verbindliche Unternehmensregelungen – Binding Corporate Rules), können weiter eingesetzt werden. So hat etwa die Bayerische Datenschutzaufsichtsbehörde noch im Februar 2014 nach einem EU-weit koordinierten Verfahren die Binding Corporate Rules von Siemens als Grundlage für die weltweiten Datentransfers im Siemens-Konzern anerkannt.
Wichtig ist, dass den Unternehmen überhaupt bewusst ist, dass sie internationale Datentransfers in aller Regel vertraglich absichern müssen und sie dies entsprechend den gesetzlichen Anforderungen auch tun. Da ist die Gewährleistung eines angemessenen Datenschutzniveaus beim Datenempfänger durch die genannten Instrumentarien (EU-Standardvertragsklauseln, Binding Corporate Rules) nur der erste Schritt.
Parallel muss sichergestellt werden, dass die Datenübermittlung an sich zulässig ist (etwa weil der Datenempfänger die Daten für eigene legitime Zwecke benötigt). Zusätzliche Anforderungen bestehen je nach der konkreten Datenverarbeitungssituation; die Aufsichtsbehörden haben etwa spezifische Anforderungen an die vertragliche Absicherung für die Inanspruchnahme von Cloud-Diensten ebenso aufgestellt wie für die Übermittlung von Mitarbeiterdaten an Konzerngesellschaften oder die Weitergabe solcher Daten, deren Verarbeitung im Inland durch eine Betriebsvereinbarung geregelt ist.
Als Fazit bleibt: Auch nach den Snowden-Enthüllungen können internationale Datenübermittlungen – auch in die USA – datenschutzkonform realisiert werden. Es müssen jedoch in aller Regel detaillierte vertragliche Absicherungen erfolgen – und dies ist für sich bereits ein komplexes Unterfangen.
Autor: Dr. Flemming Moos, Partner und Fachanwalt für IT-Recht in der internationalen Kanzlei Osborne Clarke
Kontakt: Sabine Schütze, Conference Director EUROFORUM | LinkedIn
Der Handelsblatt Newsletter „Strategisches IT-Management“ ist da! Hier zum kostenlosen Download
