Rechtssichere Alternativen zu Safe Harbor

Offensichtlich muss man es also immer wieder betonen: So lange nicht klar ist, ob es einen Safe-Harbor-Nachfolger geben wird und wie dieser aussieht, gelten die USA als ein Land ohne angemessenes Datenschutzniveau. Anders als etwa bei einer Übermittlung nach Kanada, Israel oder in einige südamerikanische Länder, für die es weiter gültige Vereinbarungen gibt, ist der Transfer in die USA deshalb mit denselben Maßstäben zu messen wie etwa eine Datenübermittlung nach China, Indien oder Pakistan.

So bleiben Unternehmen drei mehr oder weniger rechtssichere Möglichkeiten für den Austausch personenbezogener Daten mit US-Firmen.

EU-Standardvertragsklauseln: Die Europäische Kommission hat Vertragsklauseln für die Übermittlung personenbezogener Daten zwischen zwei verantwortlichen Stellen (Controller/Controller) sowie von einer verantwortlichen Stelle zum Auftragsdatenverarbeiter (Controller/Processor) geschaffen, die Unternehmen direkt verwenden können (Entscheidung 2010/87EU unter Aufhebung der Entscheidung 2002/16/EC).

Standardvertragsklauseln müssen einklagbar sein, und zwar nicht nur durch die Vertragsparteien, sondern auch durch betroffene Personen, vor allem wenn ihnen als Folge eines Vertragsbruchs Schaden entsteht. Für die Datenübermittlung zwischen gleichberechtigten Stellen gibt es zwei Versionen von Standardvertragsklauseln (Entscheidung 2001/497/EC, Set I und 2004/915/EC, Set II).

Eine detaillierte Beschreibung der Unterschiede dieser beiden Varianten findet sich auf dem Blog „Datenschutz Notizen“, der von Mitarbeitern der Datenschutz Nord Gruppe betrieben wird.

Ob die Standardvertragsklauseln im Licht des Safe-Harbor-Urteils überhaupt noch nutzbar sind, darüber herrschte zu Redaktionsschluss Unklarheit. Nach Ansicht der EU-Kommission sind sie weiterhin wirksam, die Artikel-29-Datenschutzgruppe – das unabhängige Beratungsgremium der EU-Kommision – und die deutschen Aufsichtsbehörden wollten dagegen bis Ende Januar 2016 prüfen, inwieweit das Instrument noch zum Einsatz kommen kann. Bis dahin sollten zumindest keine Sanktionen verhängt werden, wenn Unternehmen auf Basis der Standardvertragsklausen personenbezogene Daten in die USA übermitteln.

Binding Corporate Rules: Vor allem große Konzerne und Unternehmensgruppen haben individuelle verbindliche Unternehmensrichtlinien (Binding Corporate Rules, BCR) festgelegt, um die datenschutzkonforme Übertragung personenbezogener Daten aus Europa in andere Länder zu gewährleisten. Dazu gehören beispielsweise BMW, Deutsche Post, Deutsche Telekom, Osram und die Siemens-Gruppe. Auch die Rechtsgültigkeit der BCR ist derzeit unklar. Die deutschen Datenschützer haben angekündigt, bis auf Weiteres keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von BCR zu erteilen.

Der Internetverband eco empfiehlt Unternehmen, die Daten in die USA exportieren wollen, Folgendes zu berücksichtigen:

Informierte Einwilligung: Nach § 4 des Bundesdatenschutzgesetzes (BDSG) ist die Erhebung und Übermittlung personenbezogener Daten rechtmäßig, wenn dazu eine individuelle Einwilligung der betroffenen Person vorliegt. Sie ist dafür auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie gegebenenfalls auf die Folgen einer Verweigerung der Einwilligung hinzuweisen. Soweit besondere Arten personenbezogener Daten erhoben werden, muss sich die Einwilligung ausdrücklich auf diese Daten beziehen. Zu den besonderen personenbezogenen Daten gehören Informationen über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Die Einwilligung ist von jedem Betroffenen individuell einzuholen und die Zustimmung zu dokumentieren. Sie kann darüber hinaus jederzeit widerrufen werden. „Eine Einwilligung der Kunden zum Transfer personenbezogener Daten kann unter engen Bedingungen eine tragfähige Grundlage für den Datentransfer sein. Grundsätzlich darf der Datentransfer aufgrund einer Einwilligung jedoch nicht wiederholt, massenhaft oder routinemäßig erfolgen“, schreibt der Internetverband eco in seinen Empfehlungen.

§ 4c des BDSG legt darüber hinaus einige Ausnahmen fest, die eine Übermittlung personenbezogener Daten auch dann ermöglichen, wenn im Zielland kein angemessenes Datenschutzniveau herrscht – beispielsweise zur Erfüllung von Verträgen, etwa einer Flugbuchung oder einer Hotelreservierung, im Rahmen von Amtshilfe oder auch, wenn lebenswichtige Interessen des Betroffenen auf dem Spiel stehen, also etwa medizinische Daten übertragen werden müssen.