Laut der deutschen Bundesregierung ist die Übermittlung von personenbezogenen Daten in die USA nach der Safe Harbor-Entscheidung auf der Grundlage den EU-Standardverträgen sowie einer Einwilligung des Betroffenen weiterhin zulässig. Dies ergibt sich aus der Antwort des Bundestages auf die Anfrage der Fraktion LINKE, dessen Vorabfassung gestern veröffentlicht wurde.
Der Inhalt im Überblick
Auffassung der deutschen Aufsichtsbehörden
Mit seinem Urteil vom 6. Oktober 2015 hat der Europäische Gerichtshof entschieden, dass personenbezogenen Daten auf der Grundlage der Safe Harbor-Zertifizierung nicht mehr rechtmäßig in die USA übermittelt werden können. Über die Auswirkungen dieser Entscheidung haben wir bereits hier berichtet.
Der Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder hat in seinem Positionspapier vom 26. Oktober 2015 die Bunderegierung aufgefordert, in direkten Verhandlungen mit der US-Regierung auf die Einhaltung eines angemessenen Grundrechtsstandards hinsichtlich Privatsphäre und Datenschutz zu drängen. Nach Ansicht der meisten Aufsichtsbehörden können Unternehmen in Deutschland – zumindest vorläufig bis Ende Januar – personenbezogene Daten mit Unternehmen in den USA auf der Grundlage der Standardvertragsklauseln, BCR oder Einwilligung der Betroffenen weiterhin austauschen.
ULD hält die Datenübermittlung die USA für unzulässig
Nicht jedoch nach der Auffassung des Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein. Dieses erklärte in seiner Stellungnahme, welche rein juristisch betrachtet weitgehend nachvollziehbar und folgerichtig ist, auch die EU-Standardvertragsklauseln für unwirksam. Tenor des Positionspapiers des ULD zum Urteil des EuGH ist:
- Für deutsche Unternehmen ist es ab der Entscheidung des EuGH nicht mehr zulässig, personenbezogene Daten von US-Dienstleistern verarbeiten zu lassen oder in die USA zu übermitteln
- Wer es doch tut, muss mit Bußgeldern in Höhe bis zu 300.000 € rechnen
Reaktion der Bundesregierung
Nun hatte die Fraktion DIE LINKE die Bundesregierung zur Rede gebeten. Hier eine kurze Zusammenfassung über die wesentlichen Aussagen:
- Für die Übermittlung personenbezogener Daten in die USA kommen alternative Rechtsgrundlagen in Betracht, wie EU-Standardverträge, BCR oder Einwilligung der Betroffenen.
- Die EU-Standardvertragsklauseln können nur vom EuGH für ungültig oder nichtig erklärt werden. Die Datenschutzbehörden der Mitgliedstaaten können die Rechtmäßigkeit einer Datenübermittlung auf der Grundlage alternativer Instrumente im Einzelfall jederzeit überprüfen.
- Die Bundesregierung unterstützt das Ziel der Europäischen Kommission, zeitnah ein neues Safe Harbor-Abkommen zu erreichen, um Rechtssicherheit sowohl für Verbraucher als auch für die Wirtschaft zu schaffen. Sie verfolgt die Verhandlungen mit der US-Regierung und steht mit beiden Verhandlungsparteien im Austausch.
- Auf die Frage, ob „nach Auffassung der Bundesregierung Datentransfers in die USA ohne Schutzlücken und Grundrechtseinschränkungen gewährleistet werden, solange die geheimdienstliche Massenausforschung, die der EuGH als das zentrale Problem für die Datentransfers identifiziert hat, nicht beendet wird?“, hat die Bundesregierung keine klare Antwort gegeben. Sie hat lediglich die Auffassung mitgeteilt, dass eine Nachfolgeregelung für Safe Harbor möglich ist, die den Maßstäben der EuGH gerecht wird.
- Immer wieder weist die Bundesregierung in den Antworten darauf hin, dass die wesentlichen Gründe für die Entscheidung des Gerichts die fehlenden Feststellungen der Europäischen Kommission über einen angemessenen Grundrechtsstandard und hinreichende Rechtsschutzmöglichkeiten in den USA waren. Eine eigene Auffassung über das Datenschutzniveau in den USA teilt die Bundesregierung den Lesern nicht mit. Wortwörtlich heißt es: „Die Bundesregierung sieht sich nicht gehalten, eine Bewertung der US-amerikanischen Verfassungsrechtlage vorzunehmen“.
- Die Bundesbeauftragte für Datenschutz und die Informationsfreiheit hat im Haushalt für das Jahr 2016 Personalverstärkung im Hinblick auf die sich aus dem Safe Harbor-Urteil des EuGH ergebenden Folgen erhalten.
- Nach dem Inkrafttreten der Datenschutz-Grundverordnung wird die Bundesregierung überprüfen, ob den Datenschutzbehörden gesetzlich ein Klagerecht eingeräumt wird.
Ob man nun schlauer ist als vorher, vermag man zu bezweifeln. Letztendlich bleibt es abzuwarten, wie die nationalen Aufsichtsbehörden (Artikel 29-Gruppe) sich in der Stellungnahme, die Ende Januar 2016 veröffentlich werden soll, äußern werden.
…das ist aber schön!
Dann warten wir doch mal ab, was Judikative und Exekutive dazu sagen.
… und was passiert, wenn sich die Aufsichtsbehörden zusammensetzen und entscheiden, dass EU Standardverträge nicht mehr ausreichen? Was soll ein Unternehmen dann tun? Was kann ein DSB tun, wenn das Unternehmen nicht mitzieht trotz mehrmaliger Erinnerung?
Tja, das sind die Gretchenfragen. Einige Aufsichtsbehörden sind schon jetzt der Ansicht, dass die EU Standardverträge nicht ausreichen und haben begonnen, Unternehmen die auf der Safe Harbor Liste standen, zu prüfen. Auftraggeber eines US Unternehmens sind von diesen Prüfungen noch (!) nicht betroffen. Konsequenterweise müsste ihr Unternehmen den Datentransfer in die USA einstellen und sich nach passenden EU Dienstleistern umschauen. Als DSB (aber auch als Unternehmen) können Sie im Falle eines Konflikts mit Ihrer Unternehmensleitung (bzw. mit ihrem DSB) an Ihre Aufsichtsbehörde wenden, die vermittelnd tätig werden sollte. Gem. § 38 Abs. 1 S.2 BDSG hat die Aufsichtsbehörde die Beauftragten für den Datenschutz und die verantwortlichen Stellen mit Rücksicht auf deren typische Bedürfnisse zu beraten und zu unterstützen. In dieser Hinsicht haben die Aufsichtsbehörden bisher völlig versagt.
@Dr. Datenschutz
„In dieser Hinsicht haben die Aufsichtsbehörden bisher völlig versagt.“
… was nicht zuletzt am massiven Personalmangel liegt.
Wer wirklich Wert auf Datenschutz legt, der greift auf heimische Lösungen zurück, wenn es denn möglich ist. So zum Beispiel im Bereich Cloud-Computing. Man sollte aber auch bei heimischen Anbietern darauf achten, dass deren Daten in deutschen/europäischen Rechenzentren gespeichert werden. Leider hat die deutsche IT-Landschaft in vielen Bereichen Nachholbedarf. Echte Alternativen im Bereich Social Media oder Suchmaschinen sind nicht vorhanden. Einzig Xing beweist, dass heimische Social Media-Services keinen Deut schlechter sind als deren Pendants aus Übersee. Ich hoffe, dass heimische Anwender diesen Umstand bemerken und wertzuschätzen lernen.
Hm, dieser Artikel spiegelt den Stand vom Januar 2016 und wird im Mai 2017 auf der Startseite als Lesetipp empfohlen. Es wäre prima, wenn er aktualisiert wäre oder zumindest ein Link zu einem aktuellen Beitrag ergänzt worden wäre.
Die Themen auf der Startseite stammen aus den aufgelisteten Komplexen (hier Safe Harbor). Dies sind zur Zeit: Safe Harbor gekippt – Wie geht es weiter?, Safe Harbor: Bundesregierung erlaubt Datenübermittlung in die USA, Deutsche Aufsichtsbehörden reagieren auf Safe Harbor-Urteil des EuGH, EU-US Privacy Shield: Eine Verbesserung für Unternehmen und Bürger? und sollen einen Einstieg in den Themenkomplex und die aktuelle Diskussion ermöglichen. Dafür benötigt es auch immer den Hergang der Geschehnisse.
Trotz aller Kritik haben sich in dem Bereich noch keine grundlegenden Änderungen ergeben, die von dem in den 4 Beiträgen dargestellten Sachverhalt gravierend abweichen würde. Einzige „Neuigkeit“: Zwischenzeitlich ist ein Gerichtsverfahren anhängig, welches die Gültigkeit von EU-Standardverträgen klären soll. Bis zu einem Urteil wird aber noch einige Zeit vergehen. Für Datenübermittlungen in die USA können weiterhin EU-Standardverträge, BCR oder das Privacy Shield genutzt werden.