Vor allem Unternehmen, die Cloud-Dienste wie Salesforce nutzen, über Facebook-Fanpages oder andere Online Dienste personenbezogene Daten in die USA übertragen, müssen nun Maßnahmen ergreifen, um rechtlich abgesichert zu sein.
Eine neue Regelung soll das alte Abkommen ablösen. Unter dem Namen „Privacy Shield“ soll künftig der personenbezogene Datenaustausch zwischen der EU und den USA geregelt werden „Dieses neue Abkommen schützt die Grundrechte der Europäer und bedeutet Rechtssicherheit für Unternehmen“ lies die zuständige EU-Justizkommisarin Vera Jourova verlauten. Außerdem soll in Zukunft mehr Kontrolle möglich sein. Das US-Handelsministerium soll us-amerikanische Unternehmen überwachen, die mit europäischen Daten zu tun haben. Zudem kommt eine neue Instanz ins Spiel: Unzufriedene Bürger sollen sich bei einer Art Vertrauensperson, der Ombudsperson, beschweren können. Diese soll bei Verstößen als unabhängiger Schlichter einschreiten. Die Umsetzung der vereinbarten Regelungen soll einmal jährlich geprüft werden.
Privacy Shield hat noch einen langen Weg vor sich
Derzeit muss das neue Abkommen noch viel Kritik einstecken und ihm wird ein Scheitern vor dem EuGH prophezeit. Viele Kritiker sind mit der Neuregelung unzufrieden und prangern an, dass Rechte der EU-Bürger nicht ausreichend geschützt werden. Konstantin von Notz, Sprecher für Netzpolitik der Bundestagsfraktion von Bündnis 90/DIE GRÜNEN, äußert sich wie folgt: „Wir brauchen endlich weitreichende, auch gesetzliche Einschnitte der geheimdienstlichen Massenüberwachung, eine verbesserte parlamentarische Kontrolle und effektive Grundrechtsschutzmechanismen – auch und gerade auf internationaler Ebene.“ Das neue „EU-US Privacy Shield“ muss jedoch zuerst noch von den Mitgliedstaaten der EU angenommen werden und dann zeigen, ob es hält, was es verspricht.
Interview mit Dr. Carsten Ulbricht
Wir Herzblut Onliner haben zu diesem Thema Dr. Carsten Ulbricht, den Internet-Rechtsexperten aus Stuttgart interviewt und die kritische Frage geklärt, was das Urteil für Unternehmen bedeutet und wie diese nun vorgehen müssen.
Hintergrund: Das Safe-Harbor-Abkommen
In der Europäischen Union wird darauf geachtet, dass personenbezogene Daten geschützt werden. Ein Transfer von personenbezogenen Daten innerhalb der EU ist somit kein Problem. Möchte ein Unternehmen jedoch solche Daten in Nicht-EU-Länder übertragen, muss sichergestellt sein, dass ein Datenschutzniveau auch dort eingehalten wird.
Die Europäische Kommission kann entsprechend festlegen, ob der Datenschutz in einem Drittland angemessen ist und somit dennoch ein Transfer von personenbezogenen Daten möglich ist. Eine solche Einzelregelung wurde auch vor 15 Jahren zwischen der Europäischen Union und den Vereinigten Staaten getroffen, im Form des Safe-Harbor-Abkommens. Es besagt, dass personenbezogene Daten von der EU in die USA legal übertragen werden dürfen. Zur Sicherstellung wurden konkrete Datenschutzkriterien festgelegt, welche die US-Organisationen einhalten müssen.
EuGH-Entscheidung: Safe Harbor ist ungültig
Nach der Edward-Snowden-Enthüllung und der NSA-Affäre wurde schnell klar, dass die Daten in den USA möglicherweise doch nicht so sicher sind, wie vorerst angenommen. Ein österreichischer Datenschutzaktivist namens Max Schremps klagte gegen die personenbezogene Datenübertragung von Facebook in die USA – und bekam Recht. Das Safe Harbor Abkommen ist ungültig, die Daten werden nicht ausreichend geschützt.
Unternehmen, die personenbezogene Daten in die USA übertragen, können sich nun nicht mehr auf das Safe-Harbor-Abkommen stützen und müssen sich rechtlich absichern. Betroffen sind dabei alle Unternehmen, die über die Grenzen der EU selbst Daten übertragen, zum Beispiel über weltweite Dienste wie Salesforce, Google oder Facebook.
Optionen für Unternehmen
Zusätzlich zu den Vorgaben des Safe Harbor Abkommens hat Google bereits seit 2012 alternative Vertragsklauseln in den Datenschutzbestimmungen aufgenommen, die den Anforderungen der EU Datenschutzrichtlinien gerecht werden. Am 15.10. hat Google entsprechend alle Google Apps-Administrationen angeschrieben, damit diese die geänderten Bestimmungen annehmen. Für andere Fälle, die noch nicht geregelt wurden, stellt Dr. Carsten Ulbricht drei mögliche Optionen vor:
• Option 1: Binding Corporate Rules
• Option 2: Einwilligung durch den Kunden
• Option 3: EU Standardvertragsklauseln
Im Rahmen der Binding Corporate Rules definieren mehrere Unternehmen rechtlich verbindliche Unternehmensregelungen, die den Umgang mit personenbezogenen Daten im Konzern vorschreiben und den Transfer zwischen Unternehmen regeln. Solche Regelungen festzulegen und abzustimmen ist jedoch sehr zeitaufwändig.
Eine andere Option stellt die Einwilligung durch den Kunden selbst dar. Auf Basis des Rechts auf informationelle Selbstbestimmung könnten alle Kunden und Personen über die Form der Datenerhebung und –speicherung informiert werden. Eine individuelle Einwilligung diesbezüglich ist zwar möglich und durchsetzbar, jedoch sehr kompliziert und aufwändig.
Eine leichte und schnelle Umsetzbarkeit für Unternehmen bietet die Nutzung der EU Standardvertragsklauseln, die von der Europäischen Kommission formuliert wurden. Unternehmen in den Vereinigten Staaten können sich diesen Klauseln unterwerfen und somit gegenüber der EU ein angemessenes Datenschutzniveau sicherstellen.
Unternehmen müssen sich jetzt rechtlich absichern
Die Vereinigten Staaten sind nun am Zug und müssen gemeinsam mit der Europäischen Union eine Lösung finden. Ebenso müssen auch die europäischen Mitgliedsstaaten Einzelfälle prüfen und entscheiden, ob ein Datentransfer genehmigt wird. Eines ist jedoch sicher: Das Urteil vom Europäischen Gerichtshof (EuGH) ist ein weitreichender Schritt und ein starkes Signal, dass die Daten der Menschen geschützt werden müssen.
Herzlichen Dank an Dr. Carsten Ulbricht
Dr. Carsten Ulbricht ist Rechtsanwalt und Partner bei der Kanzlei BARTSCH Rechtsanwälte in Stuttgart. Er ist spezialisiert auf das Internetrecht und berät in Themen wie Social Media, E-Commerce und Enterprise 2.0. Vielen Dank an dieser Stelle noch einmal für das informative Interview.