Auswirkung des Safe Harbor Urteil für Unternehmer

ACHTUNG durch die DSGVO ist dieser Beitrag nun nicht mehr der aktuellen Rechtslage entsprechend.

Der Europäische Gerichtshof (EuGH) hat im Hinblick auf die Enthüllungen über die Geheimdienste der USA und der dort bestehenden Schutzlosigkeit der Unternehmen vor den Einblicken des Staates in die in den USA gespeicherten Daten mit Urteil vom 6.10.215 entschieden, dass das bisherige sog. „Safe Habor Abkommen“ zwischen den USA und der EU-Kommission ungültig ist (EuGH, az. C-362/14).

Die Konsequenzen hieraus werden von den Unternehmen einerseits und den Datenschutzbehörden andererseits jeweils etwas anders bewertet, wobei ein Ergebnis festgehalten werden kann:

Um als Unternehmer überhaupt noch Daten in die USA übertragen zu dürfen, müssen die Voraussetzungen des § 4c BDSG eingehalten werden.

Man kann sich nicht auf ein in den USA bestehenden angemessenes Schutzniveau und auf Grund der Ungültigkeit des Safe Habor Abkommens wird auch ein Rückgriff auf die zuvor geltenden EU-Standardvertragsklauseln nicht mehr möglich sein.

Der § 4c Abs. 1 BDSG (Bundesdatenschutzgesetz) lautet:

(1) Im Rahmen von Tätigkeiten, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, ist eine Übermittlung personenbezogener Daten an andere als die in § 4b Abs. 1 genannten Stellen, auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht gewährleistet ist, zulässig, sofern

1. der Betroffene seine Einwilligung gegeben hat,
2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist,
3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll,
4. die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,
5. die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder
6. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind.

Vor jeder Datenweiterleitung in die USA muss ich daher der deutsche Unternehmer diese sechs Möglichkeiten der zulässigen Übermittlung von Daten vor Augen halten und prüfen ob wenigstens eine der Voraussetzungen erfüllt ist.

Auf den ersten Blick scheint hier vor allem die Einwilligung des Betroffenen die einfachste Lösung zu sein. Aber die Datenschutzbehörden haben bereits anklingen lassen, dass aus deren Sicht eine solche Einwilligung nur dann wirksam wäre, wenn der Betroffene zunächst umfassend über das fehlende Schutzniveau (inkl. der fehlenden Rechtsschutzmöglichen vor US-staatlichen Zugriffen), die Möglichkeit der Weiterverarbeitung der Daten ohne Zweckbindung etc. aufgeklärt worden seien. Eine solche Aufklärung wird kaum ein Unternehmer vollständig erbringen können, zumal nicht einmal die Datenschutzbehörden selbst den Inhalt solch einer umfassenden Aufklärung zutreffend formulieren könnten, da gerade nicht bekannt ist, welche Art von staatlichen Zugriffen auf die Daten es in den USA gibt.

Im Ergebnis werden daher letztendlich nur § 4c Abs. Nr. 2 und Nr. 3 BDSG in Frage kommen, also wenn es erforderlich ist die entsprechenden Daten zur Vertragserfüllung oder zum Vertragsschluss (im Hinblick auf den Vertrag zwischen dem europäischen Unternehmer und seinen europäischen Kunden) auch in die USA zu senden.

Wer also in der Zukunft die Dienste eines US-Anbieters im datenrelevanten Bereich nutzen möchte, sollte sicherstellen, dass einer der Zulässigkeitsgründe des § 4 c Abs. BDSG vorliegt. Ist dies nicht der Fall, wird man nach der aktuellen Rechtslage nicht mehr rechtskonform Daten in die USA senden können. In diesen Fällen sollte umgehend mit dem entsprechenden Dienstanbieter in den USA eine entsprechende praktikable Lösung erarbeiten. Es bleibt hierzulande abzuwarten, ob die Datenschutzbehörden einen gangbaren Weg finden, um Unternehmern hier auch außerhalb der Zulässigkeitsmöglichkeiten des § 4 c Abs. 1 BDSG die Möglichkeit zur Nutzung US-amerikanischer Dienste zu ermöglichen.

Fazit: Wer sich nicht auf § 4 c Abs. 1 BDSG berufen kann, sollte sich sicherheitshalber (in Vorwegnahme eindeutiger Empfehlungen der Datenschutzbehörden) nach europäischen Dienstanbietern umsehen, um nicht später kurzfristig und damit kostspielig eine Entscheidung treffen zu müssen.

Ist eine Datenschutzerklärung notwendig?

Die Antwort lautet schlicht und ergreifend: JA

Ich muss gestehen, dass dies für einen Rechtsanwalt ziemlich eindeutig klingt. Aber der Grund hierfür ist schnell erklärt. Der Gesetzgeber will, dass jeder Dienstanbieger, der personenbezogene Daten erhebt oder verarbeitet, dies nur darf, soweit dies ausdrücklich gesetzlich erlaubt ist oder der Nutzer eingewilligt hat. Dies ergibt sich aus § 12 TMG (Telemediengesetz). Zugleich wird der Dienstanbieter in § 13 TMG verpflichtet den Nutzer zu Beginn des Nutzungsvorgangs über die Art und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung der Daten in Staaten außerhalb der EU, also in Drittländern, in allgemein verständlicher Form zu unterrichten. Und dieser Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein.

Und da die Datenschutzbehörden der Ansicht sind, dass jede Website durch die technisch bedingte Speicherung der IP-Adresse und der Uhrzeit der Nutzung bereits personenbezogene Daten erhebt, kann es keine Website geben, die keine Datenschutzerklärung benötigt. Und wer sogar die Daten, die er automatisch erhebt, weiter verwendet (Google-Analytics und Co.), muss erst recht ein besonderes Augenmerk auf eine ordnungsgemäße Datenschutzerklärung legen.

Es muss also von jeder Unterseite einer Website die Datenschutzerklärung abrufbar sein und diese wiederum muss nicht speziell verklausuliert, sondern in allgemein verständlicher Form geschrieben sein. Dies dürfte für einen Juristen die größte Hürde :-).

Und Unternehmer die nicht entsprechend über die Verwendung oder Erhebung von personenbezogenen Daten belehrt, können in Deutschland sogar abgemahnt werden. In anderen europäischen Staaten droht diese Abmahnung zwar nicht, aber dort (wie auch in Deutschland) können die Datenschutzbehörden entsprechende Bußgelder gegen Unternehmen verhängen, die Ihren datenschutzrechtlichen Verpflichtungen nicht nachkommen.

Daher sollte jedes Unternehmen, dass eine Interentseite besitzt sicher sein, auch eine Datenschutzerklärung zu verwenden. Rein private Internetbetreiber können zwar nicht abgemahnt werden, sollten sich aber selbstverständlich auch an das Gesetz halten.

 

Wer keine Datenschutzerklärung hat, kann nun abgemahnt werden

Seit dem 24.2.2016 ist es nun auch gesetzlich geregelt, das alle gemäß dem Unterlassungsklagengesetz berechtigte auch Verstöße gegen das Datenschutzrecht abmahnen dürfen. Und welches ist der am einfachsten festzustellende Verstoß? Natürlich, das gänzliche Fehlen einer Datenschutzerklärung auf einer Website. Denn jede Website sammelt zwangsläufig Daten.

Schon bisher galt, dass jede Website eine Datenschutzerklärung benötigt, da jede Website automatisch von Nutzern zumindest serverseitig schon technisch bedingt die Uhrzeit in Verbindung mit der IP-Adresse speichert. Und jeder Besucher einer Website ist nach § 13 Abs. 1 TMG und § 33 Abs. 1 BDSG umfassend über Art, Umfang und Zweck der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten, sowie etwaige Widerspruchsrechte zu unterrichten.

Die Datenschutzerklärung muss so auf der Website mittels eines eindeutigen, also sog. „sprechenden Links“, veröffentlicht werden, dass diese jederzeit von allen Unterseiten aus unmittelbar abgerufen werden kann (genauso, wie dies für das Impressum ebenfalls bereits verpflichtend ist).

Dem Gesetzgeber ging es vorwiegend darum die Verbrauchern gegen die unzulässige Erhebung, Verarbeitung und Nutzung ihrer Daten zu schützen, damit diese nicht unzulässiger Weise für Werbung und zum Erstellens von Persönlichkeits- und Nutzungsprofilen verwendet werden. Das neue Gesetz führt nun auch dazu, dass nicht nur Regelungen zum Datenschutz innerhalb von Allgemeinen Geschäftsbedingungen, sondern auch tatsächliche Fehler bei der Datenverarbeitung abgemahnt werden können, wie z. B. die unzulässige Speicherung von personenbezogenen Daten von Bestellabbrechern.

Fazit: Wer im Web unterwegs ist aber keine Datenschutzerklärung hat, sollte schnellstens handeln.

Schriftform muss aus den AGB weichen

Mit dem seit dem 24.2.2016 geltenden Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung vonverbraucherschützenden Vorschriften des Datenschutzrechtes (ja, dieses heißt wirklich so!), kam eine Änderung des AGB-Rechts, welche dazu führt, dass nahezu sämtliche Allgemeinen Geschäftsbedingungen in Deutschland bis zum 1.10.2016 überarbeitet werden müssen.

Die Überarbeitung kann man bereits jetzt vornehmen, aber ab dem 1. Oktober ist es dann verpflichtend, dass jede Klausel in den AGB unwirksam ist, die eine Schriftform für Erklärungen oder Anzeigen der Kunden fordert. Das Zauberwort heißt dann „Textform“ statt wie bisher z.B. für Kündigungen und Mängelanzeigen oder die Geltendmachung von Garantieansprüchen „in Schriftform“ oder „schriftlich“.

Hintergrund der Gesetzesänderung ist, dass ein Unternehmer Kündigungen, andere Erklärungen oder Anzeigen eines Verbrauchers nicht in der Schriftform (dies bedeutet nämlich eigentlich mit eigenhändiger Unterschrift) benötigt. Insbesondere ist die Schriftform bei diesen Erklärungen oder Anzeigen nicht erforderlich, damit der Unternehmer ein zuverlässiges Beweismittel erhält. Im Streitfall muss nämlich regelmäßig der Verbraucher beweisen, dass er die Erklärung oder Anzeige mit einem bestimmten Inhalt wirksam abgegeben hat und diese dem Unternehmer oder Dritten auch zugegangen ist. Der Unternehmer muss nur verlangen können, dass Erklärungen oder Anzeigen des Verbrauchers ihn so erreichen, dass ihr Inhalt in einer Weise dokumentiert ist, dass er ihn einfach erfassen und verstehen kann und für ihn auch erkennbar ist, von wem eine Erklärung oder Anzeige stammt. Das wird auch durch die Textform gewährleistet.

Aufgrund dieser nun erfolgten Änderung im Recht der Allgemeinen Geschäftsbedingungen müssen Unternehmer ihre Allgemeinen Geschäftsbedingungen ändern, wenn sie darin Schriftformerfordernisse für Erklärungen und Anzeigen vorsehen.

Der Gesetzgeber hat hierfür eine Übergangsfrist bis zum 1.10.2016 gesetzt. Ab diesem Datum wäre dann eine Klausel, die die Schriftform vorsieht ein Verstoß gegen § 309 Nr. 13 BGB und damit unwirksam und könnte darüber hinaus abgemahnt werden.

Und wer will schon wegen veralteter AGB abgemahnt werden 🙂