Seit der Amtseinführung des neuen US-Präsidenten Trump herrscht vielfach große Unsicherheit in der Welt. Wir möchten hier keinerlei politische Statements setzen, sondern vielmehr mögliche Auswirkungen auf den Datentransfer in die USA thematisieren. Die Ankündigung des US-Präsidenten für die neue US-Politik lautete: „America first!“ — doch was hat dies für Europa und besonders für die europäische Wirtschaft zu bedeuten? Besonders im Bereich Datenschutz sollten sich Unternehmer die Frage stellen, ob nach der Aushebelung des „Safe-Harbor-Abkommens“ unter den derzeitigen Bedingungen ein neues Abkommen in Aussicht steht, welches die Sicherheit des Datentransfers in die USA garantiert.
Grundlegendes über den Datentransfer an Dienstleister
Im Grundsatz gilt für die Übermittlung von personenbezogenen Daten (z.B. Name, Geburtsdatum, Kontonummer) nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG), dass diese nur stattfinden kann, sofern
- dies von dem Betroffenen erlaubt wurde oder
- eine gesetzliche Regelung existiert, welche eine Datenübertragung ohne die Zustimmung des Betroffen gestattet.
Nach § 11 BDSG ist ein Datentransfer ohne die Zustimmung des Betroffenen gestattet, sofern
- personenbezogene Daten im Auftrag und nach Weisung des Auftragsgebers erhoben, verarbeitet und genutzt werden, (z.B. zur Entgeltabrechnung) und
- sich der Datentransfer zwischen EU-Mitgliedsstaaten oder Mitgliedsstaaten des Europäischen Wirtschaftsraum (EWR), z.B. Norwegen, abspielt (§§ 4d Abs. 1 und 4c BDSG). Dies resultiert aus der Tatsache, dass innerhalb der EU und des EWR ein einheitliches Datenschutzniveau herrscht. Maßgeblich dafür ist die Datenschutzrichtlinie 95/46/EG.
- Weiterhin muss ein sogenannter ADV-Vertrag (Auftragsdatenverarbeitungsvertrag) zwischen Übermittler und Überträger bestehen.
Werden die Daten jedoch von einem Dienstleister verarbeitet, der seinen Sitz in einem Land hat, das weder Mitglied der EU oder des EWR ist, liegt nach formalen Aspekten keine Auftragsdatenverarbeitung vor, da diese nach deutschem Datenschutzrecht nicht unter das Privileg der Auftragsdatenverarbeitung fallen.
Das Gesetz sieht für die Länder, die weder Mitglied der EU oder EWR sind – sogenannte Drittländer – nach § 4b Abs. 2 Satz 2 BDSG – zusätzliche Kriterien vor, damit der Datentransfer von personenbezogenen Daten dorthin ggf. ohne Zustimmung des Betroffenen erfolgen kann. Generell sollte geprüft werden, ob für die Übermittlung eine Rechtsgrundlage oder informierte Einwilligungen vorliegen. Liegt eine Rechtsgrundlage für die Datenübermittlung vor, ist allerdings ein zweites Kriterium bei der Datenübermittlung in ein Drittland zu beachten. Dieses Kriterium besteht darin, dass in den betreffenden Drittstaaten ein angemessenes Datenschutzniveau herrschen sollte. Ein angemessenes Datenschutzniveau eines Drittlandes kann durch eine Prüfung der europäischen Kommission sichergestellt werden. Drittländer, denen ein ausreichendes Datenschutzniveau von der Kommission attestiert wurde, werden „sichere Drittstaaten“ genannt. Dazu gehören z.B. die Schweiz, Argentinien und Andorra.
Drittstaaten, bei denen kein ausreichendes Datenschutzniveau durch die Kommission festgestellt wurde, gelten als unsicher. Sollen Daten in diese Länder übertragen werden, muss die übermittelnde Stelle selbst ein angemessenes Datenschutzniveau herstellen. Dies geschieht in der Regel über EU-Standardvertragsklauseln oder andere vertragliche Grundlagen, einschließlich damit verbundener Maßnahmen.
Datentransfer in die USA – Datenübermittlung in einen Drittstaat
Unter die datenschutzrechtlich bedenklichen Drittstaaten, die kein angemessenes Datenschutzniveau haben, reiht sich auch die USA ein, was eine Datenübermittlung erschwert. Um einen Datentransfer zu ermöglichen, bedarf es ausreichender vertraglich festgesetzter Garantien, welche den Schutz der allgemeinen Persönlichkeitsrechte und die Ausübung der damit verbundenen Rechte durch den Betroffenen, gewährleisten. Diese Garantien werden grundsätzlich mit dem Abschluss von EU-Standardvertragsklauseln zwischen Versender- und Empfängerunternehmen vereinbart oder sind gewährleistet, wenn dieses eine „spezielle Datenschutzzertifizierung“ besitzt. Eine solche Datenschutzzertifizierung stellte das im Oktober 2015 für ungültig erklärte „Safe Harbor“-Abkommen dar. Am 12.07.2016 verabschiedete die EU-Kommission die finale Fassung des EU-US Privacy Shield, mit der Folge, dass sich Unternehmen seit dem 01.08.2016 in die Liste der Teilnehmer eintragen lassen können. Das eingeführte „EU-US Privacy Shield“ (auch unter EU-US-Datenschutzschild bekannt oder unter EU-U.S. Privacy Shield geführt) soll die Lücke, die durch die Ungültigkeit von „Safe Harbor“ entstand, schließen und ermöglichte Unternehmen, sich zu zertifizieren. Diese Option haben bis dato über 2000 Unternehmen in den USA wahrgenommen.
An der Vereinbarung „EU-US Privacy Shield“ wird sich vielleicht vorerst, auch nach der derzeitigen Situation, nichts ändern, obowhl eine mögliche Änderung regelmäßig unter Datenschützern thematisiert wird. Doch besonders für Unternehmen, welche US-Dienstleistungen nutzen, ist es derzeit wichtig, zu wissen, wie der am 25.01.2017 von Trump unterzeichnete Beschluss – zur Verbesserung der öffentlichen Sicherheiten – sich auf die Zusammenarbeit mit US-Dienstleistern auswirken könnte.
Änderungen durch US-Präsident Trump – Bye, Bye „EU-US Privacy Shield“?
Am 25.01.2017 unterzeichnete der amtierende Präsident Trump eine Anordnung (Executive Order) zur Verbesserung der öffentlichen Sicherheit. Diese enthält u.a. folgende Regelung, die besagt:
„Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.“
Ins Deutsche übersetzt:
„Behörden haben, sofern es mit dem geltenden Recht im Einklang steht, sicherzustellen, dass Personen, welche keine US-Staatsangehörigkeit besitzen oder einen gesetzlich ständigen Aufenthalt in den USA haben, vom Schutz des Privacy Acts ausgeschlossen sind.“
Diese Anordnung könnte gravierende Auswirkungen auf den Privacy Act haben, der ursprünglich personenbezogene Daten, welche durch US-Unternehmen gespeichert wurden, vor Massenüberwachung bzw. vor dem Zugriff von Geheimdiensten schützen sollte. Gerade dieser Privacy Act war ausschlaggebend dafür, dass die europäische Kommission einen angemessenen Schutz für Datenübertragungen sah und den Privacy Shield etablierte, der eine Datenübermittlung für die darin registrierten Unternehmen legitimierte.
Folgt man dem Wortlaut der neuen Anordnung, wird dieser Schutz für Ausländer ausgehebelt. Folglich besteht das Problem, dass EU-Bürger nicht mehr durch das Gesetz vor Überwachung durch Geheimdienste der USA geschützt werden und diese nun, ggf. ohne Widerstand, Daten von Nicht-US-Bürgern bei US-Unternehmen anfordern können.
Dies könnte sich gerade in Bezug auf den Angemessenheitsbeschluss der europäischen Kommission in Bezug zum „Privacy Shield“ auswirken. Durch die Aushebelung des Schutzes des „Privacy Acts“ für Nicht-US-Bürger ist keine Rechtfertigung mehr vorhanden, welche einen sicheren Datentransfer aus anderen Ländern in die USA rechtfertigt. Weiterhin stieß der „EU-US Privacy Shield“ auch vor Trumps Anordnung auf Kritik. So hatte die irische Datenschutzgruppe Digital Rights am 16.09.2016 eine Nichtigkeitsklage gegen den Angemessenheitsbeschluss der europäischen Kommission zum „Privacy Shield“ eingereicht. Aus diesen Gründen kann es möglich sein, dass die Kommission eine Ungültigkeit des „Privacy Shield“ feststellen könnte.
Weiterhin stellt sich die Frage, ob ein US-Unternehmen, welches mit einem europäischen Unternehmen eine EU-Standardvertragsklausel abgeschlossen hat, bei der Anfrage von US-Geheimdiensten auf Herausgabe der ausländischen Daten, diese verweigern kann. Eine solche Klausel hat zumeist den Vorteil, dass diese eine innenverhältnismäßige Verpflichtung darstellt und das US-Unternehmen dazu verpflichtet, einen solchen Zugriff dem europäischen Unternehmen mitzuteilen. Auf diese Weise kann das europäische Unternehmen die Geschäftsbeziehung möglicherweise rechtzeitig vor dem Eingriff kündigen (Klausel 5 der EU-Standardklausel).
Auswirkung auf europäische Unternehmen
Derzeit besteht für Unternehmen, die Dienstleistungen von US-Unternehmen nutzen, zunächst kein Handlungsbedarf, da weder der „Privacy Shield“ noch die EU-Standardklauseln außer Kraft gesetzt wurden. Noch vor kurzem hatte die europäische Kommission eine Aktualisierung der Standardklauseln angekündigt, folglich wird eine Absetzung dieser nicht in Aussicht stehen.
Kurzum kann es sich bei der Anordnung der US-Regierung nur um ein Signal handeln, um der Aussage: „America First!“ gerecht zu werden, welches sich zu diesem Zeitpunkt theoretisch auf die Datenübermittlung zwischen Europa und USA auswirkt und mittelfristig auch tatsächlich auswirken kann.
Weitere Entwicklungen in Sachen Datentransfer in die USA — „Abwarten und Tee trinken“
Aufgrund der zurzeit weiterhin bestehenden EU-Standardklausel und des Privacy Shields sollte eine sichere Nutzung von US-Dienstleistern gewährleistet sein. Dabei sollte aufgrund der Anordnung keine sofortige Beendigung der Zusammenarbeit mit US-Unternehmen erfolgen, sondern vorläufig die weitere Entwicklung zu diesem Thema beobachtet werden. Wer allerdings nicht zwingend wesentliche Geschäftsprozesse auf US-Unternehmen stützen muss, wäre ggf. gut beraten hier z. B. einen geeigneten heimischen Dienstleister zu suchen.
Es ist abzuwarten wie die europäische Kommission bzw. die deutschen Datenschutzbehörden auf die Anordnung der US-Regierung reagieren werden und wann tatsächlich ein Datentransfer in die USA theoretisch nicht mehr bedenkenlos stattfinden kann.
Vorkehrungsmaßnahmen für Europäische Unternehmen
Europäische Unternehmen, welche US-Dienste nutzen, können unter anderem folgende Maßnahmen treffen: Es besteht die Möglichkeit, technische Vorkehrungen bei der Datenübermittlung zu treffen, wie beispielsweise die Verschlüsselung der Daten bei der Datenübermittlung, wobei jedoch nicht die bestehende Rechtsunsicherheit beseitigt werden kann.
Die sicherste Variante wäre jedoch wie bereits erwähnt, wenn europäische Unternehmen bereits jetzt statt der US-Dienste, Dienste von Europäischen Unternehmen nutzen, um möglichen Unannehmlichkeiten in der Zukunft entgegenzuwirken. Dies ist insbesondere bei wesentlichen Geschäftsprozessen anzuraten.
