Unternehmen müssen spätestens jetzt handeln Safe-Harbor-Schonfrist vorbei - erste Bußgeldverfahren

Autor / Redakteur: Ulrike Ostler / Rainer Graefen

Es drohen Bußgelder bis 300.000 Euro. Denn seit knapp fünf Monaten heißt es: Safe Harbor adé. Es gab zwar eine Schonfrist der Datenschutzaufsichtsbehörden, doch die ist jetzt vorbei: Erste Bußgeldverfahren wurden gegen mehrere Unternehmen in Hamburg eingeleitet

Firma zum Thema

Es drohen bis zu 300.000 Euro Strafe.
Es drohen bis zu 300.000 Euro Strafe.
(Bild: Grecaud Paul/ Fotolia.com)

Für viel Aufsehen hat die Entscheidung des Gerichtshofs der Europäischen Union (EuGH) gesorgt, der mit dem Urteil vom 06.10.2015 Safe-Harbor-Vereinbarungen für unwirksam erklärte.

Seit diesem Tag, ohne Übergangsfrist, ist es europäischen Unternehmen nicht mehr gestattet, auf Safe-Harbor-Basis personenbezogene Daten in die USA zu transferieren, sie dort zu speichern oder zu verarbeiten.

Unternehmen, die Daten auf der Grundlage des Safe-Harbor-Abkommens übermittelt hatten, mussten nach der EuGH-Entscheidung schnellstens reagieren. Denn bei einer unzulässigen Datenübertragung in Drittstaaten drohten Bußgelder und sogar die Untersagung der Datenverarbeitung.

Außerdem konnte Nichtstun zu Haftungsfallen führen, wenn etwa Dienstleister ihre Kunden nicht rechtzeitig angemessen informierten. „Trotz all dieser Gefahren haben viele Unternehmen nach wie vor nicht reagiert.

Dabei gibt es rechtskonforme Alternativen – insbesondere EU-Standard-Verträge“, sagt Rechtsanwalt Jens Eckhardt, Vorstand des Eurocloud Deutschland Eco e. V.

Ergänzendes zum Thema
Was sollten Unternehmen tun, die Cloud-Angebot nutzen?

Prüfen Sie,

  • in welchen Konstellationen und durch welche Dienstleister ein Datentransfer in die USA erfolgt.
  • in welchen Konstellationen und durch welche Dienstleister ein Zugriff auf die personenbezogenen Daten aus den USA erfolgen kann (auch wenn sie in der Praxis nicht darauf zugreifen)
  • welche Ihrer Vertragspartner oder Sub-Unternehmer sich auf das Safe-
  • Harbor-Abkommen berufen haben,
  • welche dieser Datenübertragungen für Ihr Geschäft am allerwichtigsten sind und stellen Sie alle –beginnend bei denen mit höchster Priorität – kurzfristig auf EU-Standardverträge um.

Beruft sich ein Dienstleister darauf, Safe-Harbor-zertifiziert zu sein, hat mit Ihnen aber einen EU-Standardvertrag geschlossen, dann stellt das kein Problem dar. Hauptsache der Datentransfer stützt sich nicht ausschließlich auf Safe Harbor.

Sie sind selbst ein Dienstleister, der bislang Safe Harbor genutzt hat?

Dann gestalten Sie umgehend EU-Standardverträge und beachten Sie dabei die ergänzenden Regelungen der Auftragsdatenverarbeitung, der Leistungsbeschreibung und technisch-organisatorischen Maßnahmen. Informieren Sie Ihre Kunden/Auftraggeber darüber, dass Sie Safe-Harbor-Vereinbarungen genutzt haben und nun auf EU-Standardverträge umstellen.

Doch noch immer haben viele von der Entscheidung des Europäischen Gerichtshofs betroffene Unternehmen ihre Regelungen für den internationalen Datentransfer nicht an die neue Rechtslage angepasst. Zwar haben sich am 2. Februar 2016 die EU-Kommission und die USA als Nachfolgeregelung zum Safe-Harbor-Abkommen auf das sogenannte EU-US Privacy Shield verständigt. Es ist jedoch noch nicht in Kraft und damit noch keine tragfähige Rechtsgrundlage für den Datentransfer.

EU-Standardvertrag beste Alternative, aber nicht optimal

Somit sind bis zur tragfähigen Umsetzung des Nachfolgeabkommens EU-US Privacy Shield die EU-Standardverträge derzeit die beste datenschutzkonforme Alternative, Allerdings gibt es auch hier Bedenken.

Ein EU-Standardvertrag zwischen dem Daten übermittelnden und dem empfangenden Unternehmen schafft ein datenschutzrechtlich angemessenes Schutzniveau bei dem Datenempfänger. Die Vertragsklauseln sind relativ schnell und einfach implementierbar.

Die Inhalte sind, wie der Name schon sagt, standardisiert: Die Unternehmen müssen keine aufwändige Prüfung vornehmen, sondern sind darauf beschränkt, die Freifelder mit sachlichen Beschreibungen der Zusammenarbeit auszufüllen.

Doch die Datenschutzbehörden halten weiterhin jeglichen Transfer von personenbezogenen Daten in die USA – auch auf Basis von EU-Standardverträgen – für rechtlich problematisch und behalten sich vor, Einzelfälle zu prüfen. „Gerade für Cloud Services ist der EU-Standardvertrag in der Praxis aufgrund des individuellen Abschlusses und der Gefahr von Kollisionen mit vertraglichen Regelungen keine optimale Lösung; nichts tun ist aber gleichwohl keine Option“, so Eckhardt.

Datenübermittler, aber auch Dienstleistungskunden müssen handeln

Wie kommen Cloud-Kunden und Provider aus diesem Dilemma?
Wie kommen Cloud-Kunden und Provider aus diesem Dilemma?
(Bild: Timo_Klostermeier/pixelio.de)

Was Cloud-Anbieter und -Kunden jetzt beachten sollten, wer betroffen ist und welche Möglichkeiten bestehen, hat Eurocloud Deutschland in einem Beitrag zusammengefasst. Hier ein Auszug:

Betroffen sind zum einen Unternehmen, die personenbezogene Daten auf Basis von Safe Harbor aus der EU in die USA übermitteln. Das können zum Beispiel europäische Tochtergesellschaften von US-Unternehmen sein, deren Personalmanagement im Mutterkonzern erfolgt. Oder deutsche Cloud Service Provider, die für ihr Angebot ein Rechenzentrum in den USA nutzen, ihre Softwarepflege/-entwicklung oder den Support dort erledigen lassen.

Zum anderen sind Unternehmen betroffen, die Dienstleistungen nutzen, bei denen der Anbieter oder ein Subunternehmer in den USA sitzt. Dabei ist es egal, ob Daten aktiv in die USA übertragen werden oder aus den USA darauf zugegriffen werden kann. Um zu reagieren, bleiben den Unternehmen drei Möglichkeiten:

  • 1. Sie holen sich für den Datentransfer in die USA die Einwilligung aller Betroffenen. Das ist aber langwierig und unwahrscheinlich, dass jeder zustimmt. Entscheidend ist allerdings auch, dass die Einwilligung jederzeit widerrufen werden kann. Damit besteht keine Planungssicherheit.
  • 2. Sie stützen den Datentransfer auf „verbindliche Unternehmensregelungen“ (Binding Corporate Rules – BCR) oder ihr Dienstleister stützt die Weiterleitung in seinem Unternehmensverbund auf so genannte Processor Binding Corporate Rules (PBCR). BCR und PBCR kommen grundsätzlich nur beim transnationalen Austausch von Daten innerhalb eines Unternehmensverbunds zum Einsatz und die Entwicklung eines entsprechenden Maßnahmenkatalogs, die Genehmigung auf europäischer und jeweils nationaler Ebene sowie die anschließende Umsetzung in allen beteiligten Unternehmen können sich über Jahre hinziehen. Hinzu kommt, dass die deutschen Datenschutzaufsichtsbehörden einstweilen die benötigten Genehmigungen nicht erteilen.
  • 3. Die dritte Möglichkeit sind die so genannten EU-Standardverträge zur Datenübermittlung. Der Abschluss dieser Vereinbarung zwischen dem Daten übermittelnden und dem empfangenden Unternehmen schafft ein datenschutzrechtlich angemessenes Schutzniveau bei dem Datenempfänger. Die Vertragsklauseln sind relativ schnell und einfach implementierbar.

EU-Standardverträge

Der Vorteil: Die Unternehmen müssen keine aufwändige Prüfung vornehmen, sondern sind darauf beschränkt, die Freifelder mit sachlichen Beschreibungen der Zusammenarbeit auszufüllen. Obwohl die EU-Standardverträge mittlerweile eine Unterauftragnehmer-Klausel enthalten, ist zu beachten: Sitzt der Auftragnehmer in der EU, der Unterauftragnehmer aber in den USA, muss der EU-Standardvertrag unmittelbar zwischen Auftraggeber und Unterauftragnehmer geschlossen werden.

Wurden die vorgegebenen Standardtexte unverändert übernommen, mussten die EU-Standardverträge nach deutscher Praxis bislang nicht den Datenschutzaufsichtsbehörden zur Genehmigung vorgelegt werden. Zu dieser Aufsichtspraxis sind die Datenschutzaufsichtsbehörden nach deren Verständnis nicht gesetzlich verpflichtet. Sie halten nach jüngsten Informationen aber –jedenfalls einstweilen –an dieser Praxis fest.

Nach ersten Stellungnahmen halten die Datenschutzbehörden aber jeglichen Transfer von personenbezogenen Daten in die USA, auch auf Basis von EU-Standardverträgen oder (P)BCR, für rechtlich problematisch. Daher wollen sie diese in Einzelfällen prüfen und haben auch die Möglichkeit, die Übermittlung (im Einzelfall) auszusetzen.

Mehr Hilfe

  • Hilfreich ist zudem das Trusted Cloud Datenschutzprofil (TCDP), das als Prüfstandard für die Datenschutz-Zertifizierung von Cloud-Diensten zum Einsatz kommt und datenschutzrechtliche Anforderungen auf der Seite des Cloud-Anbieters beschreibt. Das TCDP wurde unter Beteiligung von EuroCloud vom Kompetenzzentrum Trusted Cloud im Auftrag des Bundesministeriums für Wirtschaft und Energie entwickelt.

(ID:43903565)