Kommt der Datenfluss zwischen deutschen und amerikanischen Unternehmen bald zum erliegen? Wohl nicht. Dennoch könnten sich für international tätige, in Deutschland ansässige Unternehmen in den nächsten Monaten erhebliche Probleme bei der Übermittlung von personenbezogenen Daten in die USA ergeben. Denn: In einer Presseerklärung stellt die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (der sog. Düsseldorfer Kreis) fest, dass

„die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind“.

Safe-Harbor und Standardvertragsklauseln

Stein des Anstoßes sind die in den letzten Wochen bekannt gewordenen Überwachungstätigkeiten internationaler Geheimdienste, insbesondere der amerikanischen NSA. Der Düsseldorfer Kreis geht derzeit davon aus, dass die in dem sog. Safe-Harbor-Abkommen zwischen der EU und den USA geregelten Grundsätze, dass personenbezogene Daten, die in die USA oder andere Drittstaaten übermittelt werden, dort einem angemessenen Datenschutzniveau unterliegen müssen, „mit hoher Wahrscheinlichkeit verletzt“ sind.

Das im Jahre 2000 zwischen der Europäischen Kommission und dem amerikanischen Handelsministerium abgeschlossene Safe-Harbor-Abkommen (2000/520/EG) hat den Zweck, personenbezogene Daten legal in die USA transferieren zu können, auch wenn dort kein dem Niveau der EU vergleichbarer Datenschutzstandard gegeben ist. Es handelt sich dabei um ein freiwilliges Zertifizierungsprogramm, welchem amerikanische Unternehmen beitreten können. Der Beitritt legt den Unternehmen verschiedene verbindliche Pflichten auf, die sie in Bezug auf personenbezogene Daten zu erfüllen haben. Überwacht wird deren Einhaltung in Amerika durch die Federal Trade Commission (FTC) (nähere Informationen zu den Pflichten finden sich auf der Seite des Bundesbeauftragten für Datenschutz).

Die deutschen Landesdatenschützer und der Bundesbeauftragte für Datenschutz sehen die im Safe-Harbor-Abkommen vereinbarten Grundsätze und Pflichten nun als mit „hoher Wahrscheinlichkeit“ verletzt an, „weil die NSA und andere ausländische Geheimdienste nach den gegenwärtigen Erkenntnissen umfassend und anlasslos ohne Einhaltung der Grundsätze der Erforderlichkeit, Verhältnismäßigkeit und Zweckbindung auf personenbezogene Daten zugreifen, die von Unternehmen in Deutschland an Stellen in den USA übermittelt werden“. Zu einer möglichen Verletzung des Safe-Harbor-Abkommens hatte ich bereits auch einmal etwas ausführlicher gebloggt.

Auch die österrichische Initiative europe-v-facebook hat Anfang des Monats mehrere Beschwerden an verschiedene europäische Datenschutzbehörden herangetragen, in denen sie unter anderem Yahoo, Facebook und Apple eine Verletzung ihrer Pflichten aus dem Safe-Harbor-Abkommen vorwirft (hierzu mein Beitrag).

Neben dem Safe-Harbor-Abkommen hat die Kommission auch sog. Standardvertragsklauseln entwickelt, welche zuletzt im Jahre 2010 überarbeitet wurden. Diese können nach Art. 26 Abs. 2 der Datenschutzrichtlinie dann zum Einsatz kommen, wenn ein in einem Drittstaat ansässiges Unternehmen als Auftragsdatenverarbeiter fungiert und personenbezogene Daten hierhin übertragen werden sollen. Die Vertragsklauseln sind ebenfalls für diejenigen Fällen gedacht, in denen in dem betreffenden Land eigentlich kein angemessenes Datenschutzniveau existiert. Doch gehen die deutschen Datenschützer in ihrer Erklärung auch davon aus, dass diese Standardvertragsklauseln verletzt sind und ebenfalls nicht mehr ausreichen, um eine Datenübermittlung zu legitimieren.

Entscheidung der Europäischen Kommission erforderlich

Ob jedoch tatsächlich die Garantien und Pflichten aus dem Safe-Harbor-Abkommen durch die Weitergabe von Daten an die Geheimdienste verletzt wurden und durch die Überwachungstätigkeit der NSA und der in Amerika geltenden Gesetzeslage ein angemessenes Datenschutzniveau auch nicht anders begründet werden kann, wird nach Art. 25 und 26 der Datenschutzrichtlinie (RL 95/46/EG) durch die Europäische Kommission festgestellt.

Zwar geben die deutschen Datenschützer zu bedenken, dass das Safe-Harbor-Abkommen ausdrückliche Ausnahmen für bestimmte Einschränkungen der Schutzprinzipien, wie etwa die nationale Sicherheit, vorsieht. Jedoch soll hiervon nur im Rahmen des tatsächlich Erforderlichen und nicht exzessiv Gebrauch gemacht werden. „Ein umfassender und anlassloser Zugriff auf personenbezogene Daten kann daher durch Erwägungen zur nationalen Sicherheit in einer demokratischen Gesellschaft nicht gerechtfertigt werden“.

Die Europäische Kommission hat am 19. Juli 2013 erklärt, dass sie das Safe-Harbor-Abkommen einer genauen Prüfung unterziehen werde. Die zuständige Kommissarin, Viviane Reding, geht davon aus, dass die Prüfung bis zum Jahresende 2013 abgeschlossen sein wird.

Praktische Folgen und Möglichkeiten

Wie lange die Prüfung der Kommission tatsächlich dauern wird, kann man derzeit nicht abschätzen. Bis hier eine abschließende Entscheidung vorliegt, stellt sich die rechtliche Situation für Daten exportierende Unternehmen mit Sitz in Deutschland mehr als unbefriedigend dar. Denn wenn die deutschen Datenschutzbehörden ihren Worten Taten folgen lassen, werden sie bis zu einer Entscheidung auf EU-Ebene keine neuen Genehmigungen für Datenübermittlungen in die USA erteilen und sogar auch bereits bestehende Datenübermittlungsvereinbarungen (auf Grundlage von Safe-Harbor oder Standardvertragsklauseln) prüfen und gegebenenfalls untersagen. Solche Maßnahmen könnten jedoch gravierende Folgen für den transnationalen Datenverkehr und die Wirtschaft beinhalten.

Unternehmen stünden im Notfall dennoch andere rechtliche Konstruktionen zur Verfügung, um weiterhin Daten in (vom Niveau her nicht angemessene) Drittstaaten übermitteln zu können (auch wenn diese Möglichkeiten meist einen höheren Aufwand erfordern). So kann eine Übermittlung nach § 4c Abs. 1 S. 1 Nr. 1 BDSG etwa aufgrund einer vorherigen Einwilligung der Betroffenen erfolgen. Zudem beinhalten die Nr. 2 – 5 des § 4c Abs. 1 S. 1 BDSG weitere Erlaubnistatbestände, bei denen jedoch stets die „Erforderlichkeit“ der Datenübermittlung eine besondere Rolle spielt. Alternativ bietet sich für international verbundene Unternehmen der Abschluss von verbindlichen Unternehmensregelungen (Binding Corporate Rules) nach § 4c Abs. 1 S. 2 BDSG an, welche jedoch eine Genehmigung durch die zuständige Aufsichtsbehörde bedürfen.

Fazit

Man wird abwarten müssen, inwiefern die deutschen Datenschützer nun tatsächlich gegen aus ihrer Sicht unwirksame Datenübermittlungen vorgehen. Unabhängig hiervon sollte jedoch, im Interesse einer funktionierenden Wirtschaft, so schnell wie möglich für rechtliche Klarheit gesorgt werden.