Europa

Wir hatten berichtet und darauf hingewiesen, dass das Safe Harbor Abkommen durch den europäischen Gerichtshof für unwirksam erklärt worden ist. Auch hatten wir die rechtlichen Konsequenzen daraus in unserem Beitrag Noch zwei Monate: Safe Habor 2.0 oder Plan B? erläutert.

Zwischenzeitlich sind diese zwei Monate bis auf wenige Tage fast verstrichen und es scheint keine wirkliche Lösung in Sicht.

Wenngleich Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder heute am 27.01.2016 tagt und für den 2. oder 3. Februar Ergebnisse angekündigt hat, dürfte doch nicht zuletzt durch die Pressemitteilung des Landesbeauftragten für den Datenschutz aus Niedersachsen, wonach dieser Unternehmen zu konsequentem Umdenken auffordert, zu erwarten sein, dass keine Lösung erzielt wird.

Es ist zwar bekannt, dass die vier großen Branchenverbände (BUSINESSEUROPE, U.S. Chamber of Commerce, DIGITALEUROPE und Information Technology Industry Council) aus Europa und den USA einen offenen Brief an Barack Obama, Jean-Claude Junker und Donald Tusk verfasst haben.

Es wird aber genauso im Bewusstsein der Beteiligten sein, dass zum einen durch die Thematik des Terrors durch den IS die USA zurückhaltend mit der Selbstbeschränkung von Datenerhebung und -asuwertung sein dürfte. Zum anderen kommt hinzu, dass derzeit das US-Berufungsgericht in New York darüber entscheidet, inwieweit die US-Behörden Zugriff auf europäische Server erhalten sollen, obwohl Daten nur dort gelagert werden, es sich indes um US-Unternehmen handelt, beispielsweise also Microsoft oder Amazon (dazu: Die Zeit: USA vs. Rest der Welt).

Betrachtet man also die Komplexität und Kompliziertheit der Themen zusammen mit der vorstehenden Gemengelage müsste fast ein Wunder geschehen, wenn Anfang Februar ein Konsens über die Zulässigkeit des Datentransfers in die USA erzielt wird.

Realistisch betrachtet bedeutet dies für die Verantwortlichen eines Unternehmens, die datenschutzrechtliche Zulässigkeit von Datenübermittlungen sicherzustellen. Soweit diese bislang noch in die USA erfolgen, dürfte zu erwarten sein, dass selbst auf Basis der EU-Standard-Vertragsklauseln diese als unzulässig angesehen werden (dazu: Rauschhofer, Noch zwei Monate: Zwei Monate: Safe Harbor 2.0 oder Plan B?).

Berücksichtigt man ferner, dass die ein oder andere progressive Datenschutzbehörde gerne Leuchtturmfälle initiiert früher sprach man auch von der Statuierung von Exempelndürfte zu erwarten sein, dass mit einem Scheitern Anfang Februar die ersten Prüfungsanfragen und Überprüfungen erfolgen.

Wer dann noch immer Daten in die USA ohne belastbare Rechtsgrundlage transferiert, dürfte nach der gegenwärtigen Rechtsmeinung dann rechtswidrig handeln. Inwieweit dieses Handeln Bußgeldtatbestände erfüllt, wird in der Literatur zwar eher zurückhaltend diskutiert (vergleiche Schuster/Hunsinger, Zulässigkeit von Datenübertragung in die USA nach dem Safe-Habor-Urteil, CR 2015, S. 787ff).

Nach diesseitiger Rechtsauffassung jedenfalls bewerten wir das Risiko eines Verstoßes als erheblich, dass dieser gemäß § 43 Abs. 2 BDSG mit Abs. 3 BDSG mit bis zu 300.000 € geahndet werden kann. Zwar mögen Gerichte hier Themen wie Verschulden und Zumutbarkeit bei der Bußgeldhöhe berücksichtigen. Das Risiko lässt sich indessen zum gegenwärtigen Zeitpunkt nach diesseitigen Dafürhalten nicht belastbar einschätzen.

Was also ist die Lösung?

Vielfach, nicht zuletzt auch in der juristischen Literatur, wird die sogenannte Einwilligungs-Lösung diskutiert, wonach die von der Übertragung ihrer Daten in die USA Betroffenen einer solchen Einwilligung (ausdrücklich) zustimmen sollen.

Voraussetzung ist allerdings nicht nur, dass es sich um eine einzelfallbezogene Einwilligung handeln muss, d.h. eine Generaleinwilligung für nicht näher konkretisierte, sich wiederholte Datenverarbeitung reicht nicht aus (Schuster/Hunzinger, aaO., S. 789, m.w.N.).

Zunächst muss der Betroffene daher über den Empfänger, die konkret betroffenen Daten, den Verarbeitungsumfang und den Verarbeitungszweck sowie das Zielland vor der Einwilligung unterrichtet werden.
Vor allem aber bedarf es im Rahmen dieser Einwilligung auch der Aufklärung über das (fehlende) Datenschutzniveau im Zielland, mithin den USA und die sich daraus ergebenden Risiken.

Selbst wenn man hier die praktische Hürde nehmen würde, obwohl dies bei Massengeschäft schwer vorstellbar erscheint, wird darüber hinaus noch die Auffassung vertreten, dass durch die amerikanische Überwachung der Wesensgehalt des Rechts auf informationelle Selbstbestimmung so stark beeinträchtigt würde, dass eine solche Einwilligung der Disposition des einzelnen Betroffenen entzogen sei (ULD Positionspapier des OLG vom 14.10.2015 LINK).

Somit bleibt für eine datenschutzkonforme Unternehmensführung nur noch der Exit, d.h. die Kündigung bestehender Verträge aus wichtigem Grund und/oder deren Aufhebung wegen Wegfall der Geschäftsgrundlage.

Exit als Lösung

Ein solcher Exit impliziert, dass im Rahmen des Plan B eine Second Source zur Verfügung steht, die den europäischen Anforderungen genügt. Verhandlungsseitig dürfte zu erwarten sein, dass neben den rechtlichen Erfordernissen die kommerziellen Bedingungen hier nur noch bedingt verhandelbar sind, je später die Aufnahme von Verhandlungen erfolgt und daher je höher der Leidensdruck des Unternehmens ist, sodass man sich alsbald als Unternehmen darum kümmern sollte. Hinzu kommt, dass solch eine Transition auf einen neuen Dienstleister Zeit in Anspruch nimmt, was ebenfalls zu berücksichtigen ist.

Wenngleich nicht völlig ohne Risiko, ist davon auszugehen, dass eine prüfende Datenschutzbehörde kein Bußgeld verhängen wird, wenn das Unternehmen hier unverzüglich nach dem Scheitern einer Lösung eine rechtskonforme Umsetzung begonnen hat. Demgegenüber dürfte zu erwarten sein, dass mit einer Vogel-Strauß-Strategie das Risiko eines Bußgeldes exponentiell steigt, kommt es zu keiner Einigung zwischen den USA und der EU.

Als sorgfältiger Unternehmer sollte man daher nach unserer Auffassung bereits jetzt vorsorglich Verhandlungen mit datenschutzkonformen Anbietern aufnehmen, um dann schnell in eine Abschluss- und Umsetzungsphase zu kommen und dies erforderlichenfalls dann gegenüber der prüfenden Datenschutzbehörde entsprechend dokumentieren zu können.

Sollten Sie hierzu Fragen haben oder wir Sie bei solchen Verhandlungen unterstützen, stehen wir gerne zur Verfügung.