Auswirkung des Safe Harbor Urteil für Unternehmer

Der Europäische Gerichtshof (EuGH) hat im Hinblick auf die Enthüllungen über die Geheimdienste der USA und der dort bestehenden Schutzlosigkeit der Unternehmen vor den Einblicken des Staates in die in den USA gespeicherten Daten mit Urteil vom 6.10.215 entschieden, dass das bisherige sog. "Safe Habor Abkommen" zwischen den USA und der EU-Kommission ungültig ist (EuGH, az. C-362/14).

Die Konsequenzen hieraus werden von den Unternehmen einerseits und den Datenschutzbehörden andererseits jeweils etwas anders bewertet, wobei ein Ergebnis festgehalten werden kann:

Um als Unternehmer überhaupt noch Daten in die USA übertragen zu dürfen, müssen die Voraussetzungen des § 4c BDSG eingehalten werden.

Man kann sich nicht auf ein in den USA bestehenden angemessenes Schutzniveau und auf Grund der Ungültigkeit des Safe Habor Abkommens wird auch ein Rückgriff auf die zuvor geltenden EU-Standardvertragsklauseln nicht mehr möglich sein.

Der § 4c Abs. 1 BDSG (Bundesdatenschutzgesetz) lautet:

(1) Im Rahmen von Tätigkeiten, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, ist eine Übermittlung personenbezogener Daten an andere als die in § 4b Abs. 1 genannten Stellen, auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht gewährleistet ist, zulässig, sofern

1. der Betroffene seine Einwilligung gegeben hat,
2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist,
3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll,
4. die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,
5. die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder
6. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind.

Vor jeder Datenweiterleitung in die USA muss ich daher der deutsche Unternehmer diese sechs Möglichkeiten der zulässigen Übermittlung von Daten vor Augen halten und prüfen ob wenigstens eine der Voraussetzungen erfüllt ist.

Auf den ersten Blick scheint hier vor allem die Einwilligung des Betroffenen die einfachste Lösung zu sein. Aber die Datenschutzbehörden haben bereits anklingen lassen, dass aus deren Sicht eine solche Einwilligung nur dann wirksam wäre, wenn der Betroffene zunächst umfassend über das fehlende Schutzniveau (inkl. der fehlenden Rechtsschutzmöglichen vor US-staatlichen Zugriffen), die Möglichkeit der Weiterverarbeitung der Daten ohne Zweckbindung etc. aufgeklärt worden seien. Eine solche Aufklärung wird kaum ein Unternehmer vollständig erbringen können, zumal nicht einmal die Datenschutzbehörden selbst den Inhalt solch einer umfassenden Aufklärung zutreffend formulieren könnten, da gerade nicht bekannt ist, welche Art von staatlichen Zugriffen auf die Daten es in den USA gibt.

Im Ergebnis werden daher letztendlich nur § 4c Abs. Nr. 2 und Nr. 3 BDSG in Frage kommen, also wenn es erforderlich ist die entsprechenden Daten zur Vertragserfüllung oder zum Vertragsschluss (im Hinblick auf den Vertrag zwischen dem europäischen Unternehmer und seinen europäischen Kunden) auch in die USA zu senden.

Wer also in der Zukunft die Dienste eines US-Anbieters im datenrelevanten Bereich nutzen möchte, sollte sicherstellen, dass einer der Zulässigkeitsgründe des § 4 c Abs. BDSG vorliegt. Ist dies nicht der Fall, wird man nach der aktuellen Rechtslage nicht mehr rechtskonform Daten in die USA senden können. In diesen Fällen sollte umgehend mit dem entsprechenden Dienstanbieter in den USA eine entsprechende praktikable Lösung erarbeiten. Es bleibt hierzulande abzuwarten, ob die Datenschutzbehörden einen gangbaren Weg finden, um Unternehmern hier auch außerhalb der Zulässigkeitsmöglichkeiten des § 4 c Abs. 1 BDSG die Möglichkeit zur Nutzung US-amerikanischer Dienste zu ermöglichen.

Fazit: Wer sich nicht auf § 4 c Abs. 1 BDSG berufen kann, sollte sich sicherheitshalber (in Vorwegnahme eindeutiger Empfehlungen der Datenschutzbehörden) nach europäischen Dienstanbietern umsehen, um nicht später kurzfristig und damit kostspielig eine Entscheidung treffen zu müssen.

Mein Angebot zum Datenschutzrecht 2018

Basisprüfung

250 EUR zzgl. 19% USt. = brutto 297,50 EUR
(gilt für Unternehmen bis 20 Beschäftigte)

1. Schritt:

Sie füllen unseren Fragebogen aus und senden uns diesen zur Prüfung des Umsetzungsbedarfes zurück.

2. Schritt:

Meine Kanzlei analysiert an Hand Ihrer Angaben Ihren Umsetzungbedarf.

Reaktion A: Soweit außer einer Änderung der Datenschutzerklärung Ihrer Website kein Umsetzungsbedarf gegeben ist, übersenden wir Ihnen eine überarbeitete Datenschutzerklärung, welche Sie dann bitte ab dem 25. Mai 2018 verwenden. Dies wird bei vielen kleinen Unternehmen der Fall sein, welche außer für die Bestellabwicklung die Daten Ihrer Kunden nicht speichern bzw. erheben.

Reaktion B: Soweit Umsetzungbedarf erkannt wurde, teilen wir Ihnen diesen mit. sie erhalten die Bereiche Ihres Unternehmens genannt, an welchen wir Probleme erkannt haben. Sie können dann umgehend mit der ggf. technischen oder organisatorischen Umsetzung starten, so dass Sie rechtzeitig zur Geltung der neuen datenschutzrechtlichen Regelungen rechtssicher auftreten können. Eine Datenschutzerklärung wird dann auf Grund der dann noch zu ändernden Gegebenheiten erst bei einer Nachprüfung erstellt werden.

Basisprüfung jetzt beauftragen

Nachprüfung

150 EUR zzgl. 19% USt. = brutto 178,50 EUR

1. Schritt:

Sie haben den sich aus der vorstehenden Basisprüfung ergebenden Umsetzungsbedarf abgearbeitet und alle angesprochenen Probleme datenschutzkonform gelöst.

2. Schritt:

Meine Kanzlei prüft auf Basis Ihrer Angaben, ob diese Umsetzung dem neuen Datenschutzrecht entspricht und wir übersenden Ihnen eine überarbeitete Datenschutzerklärung, welche Sie dann ab dem 25. Mai 2018 verwenden.

 

Die Alternative: Umsetzungsbegleitung / bzw. für Unternehmen mit mehr als 20 Beschätftigten

Abrechnung nach Stundensatz 250 EUR zzgl. 19% USt. = brutto 297,50 EUR

Gern können wir Ihr Unternehmen auf Basis unseres Zeithonorars über die Basisprüfung hinaus bei der Umsetzung der datenschutzrechtlichen Vorgaben begleiten (nachdem die Prüfung auf Grundlage des Basisangebotes einen weiteren Umsetzungsbedarf ergeben hat). So dass am Ende des Umsetzungsprozesses Ihr Unternehmen alle Voraussetzungen der Datenschutzgrundverordnung und des neuen BDSG erfüllt. Da hier je nach Unternehmensgröße und Unternehmensstruktur ein nicht vorab kalkuliererbarer zeitlicher Aufwand möglich ist, können wir hier leider kein Festpreisangebot unterbreiten.
Dieses Angebot richtet sich vor allem an Unternehmen, welche auf Grund Ihrer Größe bzw. der Komplexität der Datenverarbeitung bzw. Datennutzung einen erhöhten Beratungsbedarf im Zusammenhang mit der Umsetzung haben.

Zögern Sie nicht, sonst wird die Zeit ggf. zu knapp. Starten Sie noch heute die Beauftragung der Basisprüfung

-> Beauftragung der Basisprüfung