Alternativen zu Safe Harbor und Privacy Shield

10:25 09 Oktober in Compliance

Nach der festgestellten Unzul├Ąssigkeit des Safe Harbor Datenschutzabkommens ben├Âtigten Unternehmen andere Instrumente zur Legalisierung von Daten├╝bermittlungen in die USA oder anderen Drittstaaten.

Alternativen zu Safe Harbor waren vor der Verabschiedung von Privacy Shield der Verzicht auf eine Zusammenarbeit mit US-Unternehmen, der Einsatz von Standardvertragsklauseln, die Implementierung von konzerninternen Datenschutzregelungen, die Einholung von Einwilligungen der Betroffenen oder die Nutzung von gesetzlichen Ausnahmetatbest├Ąnden darstellen.

1. Keine Zusammenarbeit mit US -Unternehmen

Den wirksamsten Schutz vor Daten├╝bermittlungen in die USA d├╝rfte der Verzicht auf jegliche Zusammenarbeit mit US-Unternehmen gew├Ąhrleisten. Allerdings d├╝rfte diese Alternative im Zeitalter von Globalisierung, Internet und weltweiter wirtschaftlicher Verflechtungen f├╝r die Mehrzahl der Unternehmen und Organisationen wenig praktikabel sein.

2. EU-Standardvertragsklauseln

Seitens der EU-Kommission wurden bereits im Vorfeld der EuGH-Entscheidung betreffend der Ung├╝ltigkeit des Safe Harbor Datenschutzabkommens Standardvertragsklauseln f├╝r die ├ťbermittlung von personenbezogenen Daten in Drittl├Ąnder festgelegt, welche die Einhaltung eines angemessenen Datenschutzniveaus gew├Ąhrleisten sollen und von den nationalen Datenschutzaufsichtsbeh├Ârden anzuerkennen sind.

So verabschiedete die EU-Kommission Standardvertragsklauseln f├╝r ├ťbermittlungen an Auftragsdatenverarbeiter (Beschluss 2010/87/ EU der Kommission vom 05.02.2010) und Standardvertragsklauseln f├╝r ├ťbermittlungen an sogenannte verantwortliche Stellen (Entscheidung 2001/497/EG der Kommission vom 15.06.2001 und Entscheidung 2004/915/EG der Kommission vom 27.12.2004 zur ├änderung der Entscheidung 2001/497/EG bez├╝glich der Einf├╝hrung alternativer Standardvertragsklauseln).

Eine Daten├╝bermittlung in die USA ist vor diesem Hintergrund erlaubt, wenn diese Standardvertragsklauseln im Rahmen eines Vertrags zwischen Daten├╝bermittler und Datenempf├Ąnger unver├Ąndert Verwendung finden. Es bedarf in Deutschland dann – teilweise im Gegensatz zu anderen EU-Mitgliedsstaaten – keiner Genehmigung durch die Aufsichtsbeh├Ârde f├╝r den Datenschutz. Verwenden Unternehmen hingegen eigene Vertragsvorgaben oder weichen sie auch nur geringf├╝gig von den Standardvertragsklauseln ab, bedarf es auch in Deutschland einer entsprechenden aufsichtsbeh├Ârdlichen Genehmigung.

Standardvertragsklauseln haben den Vorteil einer unkomplizierten und z├╝gigen Umsetzung. Allerdings sind diese Klauseln in gesch├Ąftlichen Verbindungen zwischen der EU und den USA bisher eher die Ausnahme, denn die Standardvertragsklauseln gebieten zwingend die Unterwerfung der US-Unternehmen unter das Datenschutzrecht und die Datenschutzaufsicht des EU-Partnerlandes.

Obwohl auch die EU-Standardvertragsklauseln auf EU-Kommissionsentscheidungen mit grunds├Ątzlichen Schwachstellen basieren, hat der EuGH noch nicht final ├╝ber deren Zul├Ąssigkeit entschieden. Es muss daher einkalkuliert werden, dass auch die bestehenden Standardvertragsklauseln f├╝r unzul├Ąssig erkl├Ąrt werden k├Ânnten.

3. Konzerninterne Datenschutzreglungen

Internationale Konzerne verf├╝gen ├╝ber die M├Âglichkeit, konzernintern verbindliche Konzernregelungen zum Datenschutz (Binding Corporate Rules) zu implementieren, welche auf Basis von EU-Vorgaben f├╝r den internen Umgang mit personenbezogenen Daten definiert sind.

Das Datenschutzniveau im gesamten Konzern kann mit Binding Corporate Rules vereinheitlicht und auf EU-Standard angepasst werden, was f├╝r den Konzern allerdings die Konsequenz nach sich zieht, dass sich der Gesamtkonzern dem Datenschutzniveau der EU unterwerfen muss. Zudem m├╝ssen die Datenschutzbeh├Ârden s├Ąmtlicher EU-Mitgliedsstaaten, in denen der Konzern Firmensitze unterh├Ąlt, der Konzernregelung zustimmen.

Binding Corporate Rules werden in der Datenschutz-Grundverordnung (DSGVO) konkret in Art. 47 geregelt. Dort werden zudem Mindestanforderungen hinsichtlich des notwendigen Inhalts definiert.

4. Einwilligung des Betroffenen

Eine Weiterleitung von personenbezogenen Daten ins Ausland ist auch dann gestattet, wenn die betroffene Person der Weiterleitung vorher explizit zugestimmt hat.

Eine Vereinbarung im Rahmen von Allgemeinen Gesch├Ąftsbedingungen gen├╝gt den Anforderungen an eine solche explizite Zustimmung allerdings nicht.

Die Einwilligung in die Datenverarbeitung muss definierten Mindestanforderungen gen├╝gen.

Diese Anforderungen an die Einwilligung wurden bisher im Wesentlichen durch┬á┬ž 4a BDSG und f├╝r den Bereich der elektronischen Medien zus├Ątzlich durch ┬ž 13 Abs. 2 Telemediengesetz (TMG) geregelt.

Nunmehr definiert die europ├Ąische Datenschutz-Grundverordnung (DSGVO) in Art. 7 DSGVO die ÔÇ×Bedingungen f├╝r die EinwilligungÔÇť. Die DSGVO enth├Ąlt dar├╝ber hinaus weitere Erw├Ągungsgr├╝nde, mit denen Ziele und Zwecke der eigentlichen Regelungen erl├Ąutert werden, um die Regelungen entsprechend auslegen zu k├Ânnen.

Es empfiehlt sich, die Einwilligung durch das Anklicken eines Buttons dokumentieren zu lassen und dem Einwilligenden entsprechende Kontaktdaten f├╝r einen m├Âglichen sp├Ąteren Widerruf zur Verf├╝gung zu stellen.

Bisher war das Einholen von entsprechenden Einwilligungen zur Weiterleitung personenbezogener Daten ins Ausland auf Grund der damit verbundenen relativ komplizierten Einwilligungsprozesse in der Praxis wenig verbreitet.

Praktische H├╝rden resultieren auch aus dem Umstand, dass sich eine Einwilligung ausdr├╝cklich auf die ├ťbermittlung in ein Drittland mit nicht angemessenem Datenschutzniveau beziehen muss.

5. Gesetzliche Ausnahmen

Gem├Ą├č den Vorschriften des Bundesdatenschutzgesetzes (15 Abs. 1, ┬ž 16 Abs. 1 und ┬ž┬ž 28 bis 30a BDSG) war die ├ťbermittlung von Daten auch dann zul├Ąssig, wenn diese zwingend erforderlich f├╝r die Erf├╝llung eines Vertrages oder zur Durchf├╝hrung vorvertraglicher Ma├čnahmen ist. F├╝r Buchungen von Hotelzimmern im Ausland oder Eink├Ąufe ├╝ber das Internet im Ausland ist eine entsprechende Daten├╝bermittlung beispielsweise erforderlich.

Eine Daten├╝bertragung ins Ausland ist nach den gesetzlichen Regelungen des BDSG auch gestattet, wenn diese den Interessen des Betroffenen dient. Datenschutzbeh├Ârden nennen in diesem Zusammenhang den Beispielsfall, in dem ein Arbeitgeber die Daten seines Arbeitnehmers an eine Versicherung im Ausland weiterleitet, bei welcher der Arbeitnehmer versichert ist.

Nach der DSGVO ist die Feststellung eines angemessenen Datenschutzniveaus auch f├╝r ein Gebiet oder ein oder mehrere spezifische Sektoren eines Drittlands m├Âglich.

Sofern Daten├╝bermittlungen nicht ├╝ber Ausnahmeregelungen zul├Ąssig sind und auch keine besonderen Mechanismen ergriffen wurden, sollen sie nach der DSGVO dennoch zul├Ąssig sein, wenn:

ÔÇťdie ├ťbermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, f├╝r die Wahrung der zwingenden berechtigten Interessen des f├╝r die Verarbeitung Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht ├╝berwiegen, und falls der f├╝r die Verarbeitung Verantwortliche alle Umst├Ąnde der Daten├╝bermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat.ÔÇŁ

Die Aufsichtsbeh├Ârde und die betroffene Person sind ├╝ber die Daten├╝bermittlung in Kenntnis zu setzen.

Zus├Ątzlich werden in der DSGVO Verhaltensregeln (Art. 40 DSGVO) und die M├Âglichkeit einer Zertifizierung (Art. 42 DSGVO), auf deren Grundlage nach erfolgter Genehmigung ebenfalls ein Datentransfer m├Âglich ist, definiert.