Safe Harbor: Die Datenschutzbehörden machen Ernst und schlagen zu – Gastbeitrag Arnd Böken

Wer kein Bussgeld von 300.000 Euro riskieren will, sollte zügig alle Datentransfers in seinem Unternehmen checken und sich fürs erste wappnen mit Standardvertragsklauseln – Gastbeitrag von Arnd Böken, Rechtsanwalt in der Kanzlei Graf von Westphalen

 Böken.Arnd.westphalen

 

Safe Harbor: Die Schonfrist für die Unternehmen ist abgelaufen

Im Oktober 2015 hat der Europäische Gerichtshof den Datentransfer in die USA in großen Teil für rechtswidrig erklärt. Unternehmen hatten bis Ende Januar 2016 Zeit, neue Grundlagen für rechtmäßigen Datenexport zu schaffen. Diese Schonfrist ist nun abgelaufen. Die neue Vereinbarung zwischen der EU-Kommission und den USA von Februar 2016 nützt Unternehmen jedoch nichts. Deutsche Unternehmen müssen dringend handeln, um Rechtsnachteile und Bußgelder zu vermeiden. Demgegenüber ist der Staat sehr nachlässig, wenn es darum geht, seine eigene IT zu schützen.

 

Datentransfer in die USA

Die USA und Deutschland sind wichtige Handelspartner. US-Unternehmen haben Tochtergesellschaften in Deutschland, genauso wie deutsche Konzerne Niederlassungen in den USA haben. Das setzt voraus, dass zwischen den deutschen und den US-Niederlassungen Daten – etwa aus den Personalabteilungen – übermittelt werden. Der Datenschutz ist in Europa und in den USA sehr unterschiedlich geregelt.

 

Striktes Prinzip: Erst einmal ist die Datenverarbeitung in Europa verboten

Europa hat ein striktes Konzept: Es gilt das Verbotsprinzip. Jede Datenverarbeitung ist erst einmal verboten, es sei denn, der Betroffene stimmt ausdrücklich zu oder es gibt eine gesetzliche Erlaubnis. Das Recht in den USA folgt einem anderen Ansatz, hier gibt es spezielle Datenschutzgesetze für einzelne Sektoren.

Um diese Unterschiede zu überbrücken, haben EU und USA sich im Jahr 2000 auf das Safe Harbor-Programm geeinigt. US-Unternehmen, die an dem Programm teilnehmen und sich beim Handelsministerium registrieren ließen, durften Daten aus Europa empfangen.

 

Datenübermittlung illegal durch EuGH nach Snowden-Enthüllungen

Seit den Snowden-Enthüllungen im Jahr 2013 ist bekannt, dass amerikanische Geheimdienste umfangreichen Zugriff auf personenbezogene Daten von Ausländern, auch Ausländern aus der EU haben. Dieser Zugriff geht soweit, dass der Europäische Gerichtshof am 6.  Oktober  2015 das Safe Harbor-Programm für rechtswidrig erklärte. Datentransfer in die USA kann somit nicht mehr auf Safe Harbor gestützt werden.

 

Bisher war´s unkompliziert

Das Urteil hat für Unternehmen schwerwiegende Konsequenzen. Gerade mittelständische Unternehmensgruppen haben häufig auf Safe Harbor gesetzt, um Daten in die USA zu exportieren. Dafür reichte es, dass das US-Unternehmen am Safe Harbor-Programm teilnahm und beim Handelsministerium registriert war. Für deutsche Unternehmen war der Export sehr unbürokratisch.

 

Kunden- und Arbeitnehmerdatentransfer nun illegal

Das geht seit Oktober 2015 nicht mehr. Datenübertragungen, die auf Safe Harbor gestützt werden, sind nun illegal. Das betrifft Arbeitnehmerdaten, die eine deutsche Gesellschaft an die US-Mutter übermittelt, genauso wie Kundendaten, die ein deutsches Unternehmen an seine US-Niederlassung senden will, und auch sonst alle Daten, die sich auf Personen beziehen. Das betrifft auch die Nutzung von Clouds von US-Anbietern. Die Cloud-Nutzung kann ebenfalls nicht mehr auf Safe Harbor gestützt werden.

 

Eilfall: Alternativen schaffen etwa durch Standardvetragsklauseln

Deutsche Unternehmen müssen jetzt dringend Alternativen schaffen. Der beste Weg ist es jetzt, sogenannte Standardvertragsklauseln zu vereinbaren. Darin verpflichtet sich das US-Unternehmen, wichtige europäische Datenschutzprinzipien einzuhalten. Wenn ein solcher Vertrag geschlossen wird, gilt das US-Unternehmen als sicherer Empfänger. Daten können dahin genauso übermittelt werden wie an ein Unternehmen mit Sitz in der EU.

Auch die europäischen Datenschutzbehörden haben erkannt, dass das Urteil des Europäischen Gerichtshof am 6. Oktober  2015 für die Unternehmen eine Überraschung war und haben ihnen deshalb eine Schonfrist eingeräumt. Die ist vor wenigen Tagen – am 31. Januar  2016 – abgelaufen. Kurz vor Ablauf der Schonfrist haben sich die EU-Kommission und die US-Regierung auf ein neues Abkommen zum Privacy Shield verständigt, das europäischen Unternehmen besseren Schutz in den USA gewähren soll.

 

Unternehmen riskieren Bußgelder bis 300.000 Euro – und deutsche Behörden prüfen auch

Die europäischen Datenschutzbeauftragten haben sich am 2. und 3. Februar getroffen, um über künftige Maßnahmen zu beschließen. Dabei haben sie anerkannt, dass die USA Schritte zum besseren Datenschutz unternommen haben. Diese Schritte wollen sie bis Ende Februar 2016 überprüfen. Allerdings ändert dies nichts daran, dass Datenübermittlungen erst einmal illegal sind. Die Frist bis Ende Februar 2016 dient dazu, das neue Abkommen zu überprüfen. Safe Harbor ist keine Basis mehr für Daten-Übermittlungen und darauf haben die europäischen Datenschutzbeauftragten in der Presseerklärung vom 3. Februar noch einmal ausdrücklich hingewiesen.

Jedes Unternehmen, das weiterhin Safe Harbor anwendet, muss daher mit Bußgeldern rechnen. Diese Bußgelder können bis zu 300.000 Euro betragen. Es ist sicher, dass die deutschen Datenschutzbehörden jetzt mit der Überprüfung beginnen und auch Bußgelder verhängen, wenn sie hierbei illegalen Datentransfer feststellen.

 

Schnelles Handeln erforderlich: Standardvertragsklauseln anwenden, gesamten Datentransfer checken

Für Unternehmen sind im Moment zwei Dinge wichtig. Wenn sie Daten in die USA exportieren wollen, so müssen sie sogenannte Standardvertragsklauseln mit dem Empfänger schließen. Dabei halten sich das deutsche und das US-Unternehmen an das Vertragsmuster der EU-Kommission. Man muss hierbei sorgfältig vorgehen, um die individuellen Verhältnisse genau zu erfassen.

Außerdem muss man wissen, dass es in Zukunft zu mehr Überprüfungen kommen wird. Die Datenschutzbehörden werden internationalen Datentransfer jetzt stärker unter die Lupe nehmen. Das bedeutet für Unternehmen, dass sie jetzt ihren gesamten Datentransfer umfassend überprüfen müssen.

 

Kundendatenbanken und US-Clouds im Visier

Es kommt in der Praxis immer wieder vor, dass bestimmte gesetzliche Voraussetzungen nicht erfüllt worden sind, um Arbeitnehmerdaten in die USA zu transferieren, zum Beispiel eine Vereinbarung mit dem Betriebsrat. Auch bei Kundendatenbanken wird manchmal nicht sorgfältig gearbeitet und es werden Daten übermittelt, die besser bei der Tochtergesellschaft in Deutschland geblieben wären. Auch Unternehmen, die Clouds von US-Anbieter nutzen, müssen jetzt handeln.

 

Unternehmen unter Hochdruck – der Staat aber in eigener Sache lässig

Datenschutzbehörden konfrontieren Unternehmen nach einer ganz kurzen Übergangsfrist mit strengen Anforderungen, die sie jetzt unter Hochdruck in der Praxis umsetzen müssen, um Bußgelder zu vermeiden. Dieser Umsetzungsdruck führt zu einer Belastung der deutschen Wirtschaft und des internationalen Handels, die die Behörden besser hätten vermeiden sollen. Es wäre sinnvoller gewesen, längere Übergangsfristen einzuräumen, damit Unternehmen sich auf die neue Praxis einstellen können.

Bemerkenswert finde ich: Wenn es um seine eigene IT geht, ist der Staat nicht so streng. Dabei besteht hier viel mehr Grund für einen Schutz, da Behörden viel sensiblere Daten verarbeiten als Unternehmen und daher viel häufiger das Opfer von Geheimdiensten sind.

Der deutsche Staat ist rechtlich verpflichtet, dafür zu sorgen, dass ihn ausländische IT-Dienstleister nicht ausspionieren und die Daten an Geheimdienste weitergeben. Hier sind Behörden aber nachlässig. Um sich zu schützen, verlangen sie von ihren IT-Dienstleistern lediglich eine bloße Eigenerklärung. Überprüfen tun sie die aber nicht.

Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*