Alternativen zu Safe Harbor und Privacy Shield

10:25 09 Oktober in Compliance

Nach der festgestellten Unzulässigkeit des Safe Harbor Datenschutzabkommens benötigten Unternehmen andere Instrumente zur Legalisierung von Datenübermittlungen in die USA oder anderen Drittstaaten.

Alternativen zu Safe Harbor waren vor der Verabschiedung von Privacy Shield der Verzicht auf eine Zusammenarbeit mit US-Unternehmen, der Einsatz von Standardvertragsklauseln, die Implementierung von konzerninternen Datenschutzregelungen, die Einholung von Einwilligungen der Betroffenen oder die Nutzung von gesetzlichen Ausnahmetatbeständen darstellen.

1. Keine Zusammenarbeit mit US -Unternehmen

Den wirksamsten Schutz vor Datenübermittlungen in die USA dürfte der Verzicht auf jegliche Zusammenarbeit mit US-Unternehmen gewährleisten. Allerdings dürfte diese Alternative im Zeitalter von Globalisierung, Internet und weltweiter wirtschaftlicher Verflechtungen für die Mehrzahl der Unternehmen und Organisationen wenig praktikabel sein.

2. EU-Standardvertragsklauseln

Seitens der EU-Kommission wurden bereits im Vorfeld der EuGH-Entscheidung betreffend der Ungültigkeit des Safe Harbor Datenschutzabkommens Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten in Drittländer festgelegt, welche die Einhaltung eines angemessenen Datenschutzniveaus gewährleisten sollen und von den nationalen Datenschutzaufsichtsbehörden anzuerkennen sind.

So verabschiedete die EU-Kommission Standardvertragsklauseln für Übermittlungen an Auftragsdatenverarbeiter (Beschluss 2010/87/ EU der Kommission vom 05.02.2010) und Standardvertragsklauseln für Übermittlungen an sogenannte verantwortliche Stellen (Entscheidung 2001/497/EG der Kommission vom 15.06.2001 und Entscheidung 2004/915/EG der Kommission vom 27.12.2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln).

Eine Datenübermittlung in die USA ist vor diesem Hintergrund erlaubt, wenn diese Standardvertragsklauseln im Rahmen eines Vertrags zwischen Datenübermittler und Datenempfänger unverändert Verwendung finden. Es bedarf in Deutschland dann – teilweise im Gegensatz zu anderen EU-Mitgliedsstaaten – keiner Genehmigung durch die Aufsichtsbehörde für den Datenschutz. Verwenden Unternehmen hingegen eigene Vertragsvorgaben oder weichen sie auch nur geringfügig von den Standardvertragsklauseln ab, bedarf es auch in Deutschland einer entsprechenden aufsichtsbehördlichen Genehmigung.

Standardvertragsklauseln haben den Vorteil einer unkomplizierten und zügigen Umsetzung. Allerdings sind diese Klauseln in geschäftlichen Verbindungen zwischen der EU und den USA bisher eher die Ausnahme, denn die Standardvertragsklauseln gebieten zwingend die Unterwerfung der US-Unternehmen unter das Datenschutzrecht und die Datenschutzaufsicht des EU-Partnerlandes.

Obwohl auch die EU-Standardvertragsklauseln auf EU-Kommissionsentscheidungen mit grundsätzlichen Schwachstellen basieren, hat der EuGH noch nicht final über deren Zulässigkeit entschieden. Es muss daher einkalkuliert werden, dass auch die bestehenden Standardvertragsklauseln für unzulässig erklärt werden könnten.

3. Konzerninterne Datenschutzreglungen

Internationale Konzerne verfügen über die Möglichkeit, konzernintern verbindliche Konzernregelungen zum Datenschutz (Binding Corporate Rules) zu implementieren, welche auf Basis von EU-Vorgaben für den internen Umgang mit personenbezogenen Daten definiert sind.

Das Datenschutzniveau im gesamten Konzern kann mit Binding Corporate Rules vereinheitlicht und auf EU-Standard angepasst werden, was für den Konzern allerdings die Konsequenz nach sich zieht, dass sich der Gesamtkonzern dem Datenschutzniveau der EU unterwerfen muss. Zudem müssen die Datenschutzbehörden sämtlicher EU-Mitgliedsstaaten, in denen der Konzern Firmensitze unterhält, der Konzernregelung zustimmen.

Binding Corporate Rules werden in der Datenschutz-Grundverordnung (DSGVO) konkret in Art. 47 geregelt. Dort werden zudem Mindestanforderungen hinsichtlich des notwendigen Inhalts definiert.

4. Einwilligung des Betroffenen

Eine Weiterleitung von personenbezogenen Daten ins Ausland ist auch dann gestattet, wenn die betroffene Person der Weiterleitung vorher explizit zugestimmt hat.

Eine Vereinbarung im Rahmen von Allgemeinen Geschäftsbedingungen genügt den Anforderungen an eine solche explizite Zustimmung allerdings nicht.

Die Einwilligung in die Datenverarbeitung muss definierten Mindestanforderungen genügen.

Diese Anforderungen an die Einwilligung wurden bisher im Wesentlichen durch § 4a BDSG und für den Bereich der elektronischen Medien zusätzlich durch § 13 Abs. 2 Telemediengesetz (TMG) geregelt.

Nunmehr definiert die europäische Datenschutz-Grundverordnung (DSGVO) in Art. 7 DSGVO die „Bedingungen für die Einwilligung“. Die DSGVO enthält darüber hinaus weitere Erwägungsgründe, mit denen Ziele und Zwecke der eigentlichen Regelungen erläutert werden, um die Regelungen entsprechend auslegen zu können.

Es empfiehlt sich, die Einwilligung durch das Anklicken eines Buttons dokumentieren zu lassen und dem Einwilligenden entsprechende Kontaktdaten für einen möglichen späteren Widerruf zur Verfügung zu stellen.

Bisher war das Einholen von entsprechenden Einwilligungen zur Weiterleitung personenbezogener Daten ins Ausland auf Grund der damit verbundenen relativ komplizierten Einwilligungsprozesse in der Praxis wenig verbreitet.

Praktische Hürden resultieren auch aus dem Umstand, dass sich eine Einwilligung ausdrücklich auf die Übermittlung in ein Drittland mit nicht angemessenem Datenschutzniveau beziehen muss.

5. Gesetzliche Ausnahmen

Gemäß den Vorschriften des Bundesdatenschutzgesetzes (15 Abs. 1, § 16 Abs. 1 und §§ 28 bis 30a BDSG) war die Übermittlung von Daten auch dann zulässig, wenn diese zwingend erforderlich für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen ist. Für Buchungen von Hotelzimmern im Ausland oder Einkäufe über das Internet im Ausland ist eine entsprechende Datenübermittlung beispielsweise erforderlich.

Eine Datenübertragung ins Ausland ist nach den gesetzlichen Regelungen des BDSG auch gestattet, wenn diese den Interessen des Betroffenen dient. Datenschutzbehörden nennen in diesem Zusammenhang den Beispielsfall, in dem ein Arbeitgeber die Daten seines Arbeitnehmers an eine Versicherung im Ausland weiterleitet, bei welcher der Arbeitnehmer versichert ist.

Nach der DSGVO ist die Feststellung eines angemessenen Datenschutzniveaus auch für ein Gebiet oder ein oder mehrere spezifische Sektoren eines Drittlands möglich.

Sofern Datenübermittlungen nicht über Ausnahmeregelungen zulässig sind und auch keine besonderen Mechanismen ergriffen wurden, sollen sie nach der DSGVO dennoch zulässig sein, wenn:

“die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich ist, sofern die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen, und falls der für die Verarbeitung Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat.”

Die Aufsichtsbehörde und die betroffene Person sind über die Datenübermittlung in Kenntnis zu setzen.

Zusätzlich werden in der DSGVO Verhaltensregeln (Art. 40 DSGVO) und die Möglichkeit einer Zertifizierung (Art. 42 DSGVO), auf deren Grundlage nach erfolgter Genehmigung ebenfalls ein Datentransfer möglich ist, definiert.