Safe Harbor vor dem Aus?

Welche Folgen hätte dies für U.S. Anbieter von Online Marketingdiensten und deutsche Auftraggeber

Deutliche Worte fand der Generalanwalt bei Europäischen Gerichtshof (EuGH) Yves Bot in der vergangenen Woche für die Safe Harbor Regularien: Die Entscheidungen der E.U. Kommission zu Safe Harbor seien unwirksam. Alle Datentransfers, die auf diese Regeln gestützt werden, würden auf einen Schlag illegal. Schon in der nächsten Woche wird nun der EuGH darüber entscheiden. Folgt er der Ansicht des Gutachtens des Juristen, hätte das dramatische Folgen für Anbieter von Online-Marketing-Tools aus den USA und deren deutsche Auftraggeber. Beide müssen gegebenenfalls schnell handeln, um zu verhindern, dass die Übertragung personenbezogener Daten in die USA illegal wird.

Max Schrems vs. Irischen Datenschutzbeauftragten vs. Facebook

Der zugrunde liegende Fall ist ein Ausläufer des Streits zwischen dem Österreichischen Anti-Facebook-Aktivisten Max Schrems und Facebook. Schrems hatte den Irischen Datenschutzbeauftragten aufgefordert, Facebook anzuweisen, den Datentransfer in die USA zu stoppen. Daran sah sich die Behörde gehindert, weil Facebook den Safe Harbor Regeln unterworfen sei und die dortigen Bedingungen auch einhalte. Der angerufene irische High Court hat dem EuGH im Anschluss im Rahmen eines sogenannten Vorabentscheidungsverfahrens diverse Fragen zur Beantwortung vorgelegt.

Bevor der EuGH sein Urteil fällt, beauftragt er stets ein Gutachten bei einem Generalanwalt. Dieser kam im hiesigen Fall (C-362/14[LINK: http://curia.europa.eu/juris/documents.jsf?num=C-362/14]) zu dem Ergebnis, dass die Entscheidungen der EU Kommission zu Safe Harbor ungültig sind.

Safe Harbor – was heißt das eigentlich?

Zum Hintergrund: Die Zulässigkeit des Transfers personenbezogener Daten in das EU-Ausland setzt stets voraus, dass ein angemessenes Datenschutzniveau gegeben ist. Es gibt mehrere Möglichkeiten, zu einem angemessenen Datenschutzniveau des Dienstleisters zu kommen:

  1. Möglichkeit (1): Der Staat, in dem der Dienstleister seinen Sitz hat, ist von der EU als sicheres Drittland anerkannt. Das ist derzeit zum Beispiel für die Schweiz, Kanada und Israel der Fall. Die USA sind jedoch nicht als sicheres Drittland anerkannt.
  2. Möglichkeit (2): Von einem angemessenen Datenschutzniveau kann bisher auch dann ausgegangen werden, wenn sich der Dienstleister die Safe-Harbour-Regelungen anerkannt hat. Dazu müssen sich die ausländischen Unternehmen dem Verfahren unterwerfen und erhalten ein Zertifikat von einer Gültigkeitsdauer von einem Jahr, das ihnen die Einhaltung der EU-Standards bescheinigt. Ob ein Dienstleister mit Sitz in den USA Safe-Harbour-zertifiziert ist, lässt sich auf der beim US Department of Commerce geführten Liste entnehmen [LINK: https://safeharbor.export.gov/list.aspx]. Rechtsgrundlage dafür sind die erwähnten Kommissionsentscheidungen zu Safe Harbor.Diese Regelungen sind im Anschluss an die Snowden-Enthüllungen in die Kritik geraten. Entgegen manchen Presseberichten, entfalten die Safe-Harbour-Zertifikate aber weiterhin Wirkung. Dies könnte sich nun mit einer EuGH-Entscheidung, die die Safe Harbor regeln für unwirksam erklärt, ändern. Schließt sich der EuGH der Meinung von Yves Bot an, wonach die Kommission nicht derart weitreichende Befugnisse habe und die in den Safe Harbor Regeln vorgesehenen Öffnungsklauseln viel zu weitgehend sind, würde in der Tat eine Privilegierung allein aufgrund eines Safe Harbor Zertifikats nicht genügen.Es bleibt abzuwarten, ob sich der EuGH diesem Votum anschließt. Jedenfalls bis dahin erfüllen U.S. Unternehmen, die ein gültiges Zertifikat haben, die Voraussetzungen an ein angemessenes Datenschutzniveau. Die deutschen Datenschutzbehörden verlangen aber schon derzeit zusätzliche Prüfungen von den deutschen Auftraggebern. Insbesondere sollen sich die deutschen Unternehmen davon überzeugen, dass die Privacy Policy des Dienstleisters den strengeren EU-Standards genügt.
  3. Möglichkeit (3): Ohne eine ausdrückliche Safe-Harbour-Zertifizierung kann ein angemessenes Datenschutzniveau auch dadurch sichergestellt werden, dass sich der Dienstleister vertraglich den wesentlichen geltenden Regelungen der EU zum Datenschutz unterwirft. Die EU hat zu diesem Zweck zwei Standardvertragswerke entwickelt, derer sich die Unternehmen bedienen können. Für Dienstleister im Bereich des Online-Marketing bietet sich die Verwendung der Standardvertragsklauseln für Auftragsdatenverarbeiter an [LINK: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:0018:DE:PDF]. Unterzeichnet der Dienstleister und hält er sich anschließend an die Vorgaben des Vertrages stehen einer Übermittlung der Daten ins Ausland Interessen der Kunden nicht entgegen.
  4. Möglichkeit (4): Immerhin denkbar ist auch, mit dem Dienstleister einen individuellen Vertrag zu schließen, der von den Standardvertragsklauseln abweicht. Ein solcher Vertrag muss ein angemessenes Datenschutzniveau garantieren. Darin muss sich der Dienstleister auf die Einhaltung der wesentlichen Bestimmungen des deutschen Datenschutzrechts verpflichten und die Einhaltung in geeigneter Weise garantieren. Dies hilft aber nur, wenn die zuständige Datenschutzbehörde in Deutschland den Vertrag ausdrücklich genehmigt hat. Ein solches Prozedere ist mit erheblichen Aufwand und der Unsicherheit verbunden, dass die Behörde die Freigabe erteilt, und dürfte sich nur anbieten, wenn es anderer Weg nicht zum Erfolg führt.

Schnelles EuGH-Urteil zu Safe Harbor erwartet

Erstaunlich, ja geradezu absurd, schnell, nämlich schon in der nächsten Woche, am 6. Oktober 2015, will der EuGH sein Urteil in der Sache Schrems ./. Irish DPC verkünden. Der EuGH ist an die Gutachten der Generalanwälte nicht gebunden, folgt ihnen allerdings über 80 % der Fälle. Die besondere Eile wird zudem weithin als Zeichen dafür gedeutet, dass sich der EuGH dem Gutachten Bot anschließen wird. Sicher ist das aber nicht. Die weitreichenden Auswirkungen, die es hätte, wenn die Safe Harbor Bestimmungen kippen würden, dürften auch dem EuGH bewusst sein. Möglich ist daher auch eine Frist, binnen derer die Kommission eine neue Rechtsgrundlage geschaffen haben muss. Schon jetzt verhandelt die Kommission mit den USA über eine Novelle der Regelungen.

Folgen der Illegalität von Datentransfers

Entfällt die Privilegierung, die Safe Harbor derzeit bietet, wird die Übertragung von personenbezogenen Daten an amerikanische Unternehmen illegal. Gleiches gilt für den Zugriff auf solche Daten durch U.S.-Dienstleister. Die betroffenen Unternehmen – und zwar sowohl der deutsche Datenexporteur, als auch der U.S.-Dienstleister – verstoßen dann gegen die einschlägigen Datenschutzgesetze.

Dabei ergeben sich insbesondere für die Betroffenen bestimmte Rechte, gegebenenfalls sogar Schadensersatzansprüche. Zudem drohen Bußgelder der deutschen Datenschutzbehörden. Diese können theoretisch bis zu 300.000,- Euro betragen, liegen in der Regel aber deutlich darunter. Die bayerische Datenschutzbehörde hat allerdings zuletzt in einem Fall, in dem bei einem Auftragsdatenverarbeitungsvertrag die technischen und organisatorischen Maßnahmen nicht hinreichend beschrieben waren, immerhin ein fünfstelliges Bußgeld verhängt. Ein Kavaliersdelikt wäre das jedenfalls nicht.

Es müssen schnell Alternativen zu Safe Harbor her

Unabhängig davon, wie der EuGH entscheidet, ist aus Sicht der Beteiligten ratsam, die rechtliche Ausgestaltung des Datentransfers in die USA zu überprüfen. Sofern eine Entscheidung ergeht, die Safe Harbor kurz oder mittelfristig für ungültig erklärt, müssen aber schnell Alternativen gefunden werden. Dafür bietet sich vor allem der Abschluss eines Vertrages an, der den Standvertragsklauseln entspricht, die die EU Kommission vorsieht. Mit Abweichungen davon sollte sehr sparsam umgegangen werden. Nur die Verwendung 1:1 sichert ein hinreichendes Datenschutzniveau, ohne dass die deutsche Behörde den Transfer genehmigt hat.

Risiko der Kündigung des Vertrages

Wird der Datentransfer in die USA rechtswidrig und ist der U.S.-Anbieter nicht bereit, an einem Workaround mitzuwirken, stellt sich die Frage, ob der deutsche Kunde den Vertrag kündigen kann. Jedenfalls nach deutschem Recht dürfte der Wegfall der Rechtmäßigkeit des Datentransfers regelmäßig einen Grund für eine außerordentliche (fristlose) Kündigung darstellen. Dies ist – jedenfalls in der Masse – also durchaus ein Damoklesschwert für die U.S.-Dienstleister.

Ob im Einzelfall tatsächlich gekündigt werden kann, hängt natürlich von dem jeweiligen Vertrag und auch dem anwendbaren Recht ab. In jedem Falle müsste auch den Anbietern aus den USA daran gelegen sein, eine rechtmäßige Lage wieder herzustellen. Dies dürfte in der Regel auf die Vereinbarung von EU-Standardvertragsklauseln hinauslaufen.

Fazit

Selten hätte ein EuGH-Urteil derart gravierende Auswirkungen auf die Online-Marketing-Branche, insbesondere im Umfeld von Analytics, Social Media Intelligence, Customer Data, E-Mail Marketing und Marketing Automation. Die amerikanischen Dienstleister und ihre deutschen Kunden müssen nun schnell reagieren und unmittelbar im Anschluss an das Urteil handeln und für rechtmäßige Alternativen zu Safe Harbor suchen.

Gastbeitrag von:

Dr. Martin Schirmbacher ist Fachanwalt für IT-Recht in der auf Medien und Technologie spezialisierten Kanzlei HÄRTING Rechtsanwälte in Berlin. Die Kanzlei berät vor allem Mandanten im E-Commerce, Datenschutz und bei Softwareprojekten. Schirmbacher hält regelmäßig Vorträge auf Kongressen zu Themen rund um das Online-Recht und publiziert in Fachzeitschriften. Er ist unter anderem Autor des Buches Online-Marketing und Recht. Darüber hinaus ist er als Dozent für Seminare sowie Inhouse-Schulungen zum Online-Marketing-Recht tätig.

3 thoughts on “Safe Harbor vor dem Aus?

  • Oktober 6, 2015 at 4:16 pm
    Permalink

    Heute wurde vom EuGH entschieden, dass „Safe Harbor“ nicht ausreichend ist um persönliche Daten zwischen Europa und den USA zu transferieren. Erste Service Provider aus den USA reagieren bereits mit Vertragsanpassungen, wie zum Beispiel Salesforce.

    Reply
  • Oktober 9, 2015 at 12:58 pm
    Permalink

    Es wundert micht, dass in der öffentlichen Diskussion nicht der „USA Patriot Act“ berücksichtigt wurde. Denn dieses umstrittene Gesetz hat Safe Harbor de facto ausgehebelt und unbrauchbar gemacht. Denn er gibt den amerikanischen Behörden weitreichende Befugnisse, die die Einsicht der Daten auf US- Servern ermöglichen, und dass ohne richterlichen Beschluss:
    „Die Bestimmungen des PATRIOT Act erlauben US-Behörden wie dem FBI, der NSA oder der CIA nicht nur den Zugriff ohne richterliche Anordnung auf die Server von US-Unternehmen. Auch ausländische Töchter sind nach dem US-Gesetz verpflichtet, Zugriff auf ihre Server zu gewähren; selbst dann, wenn lokale Gesetze dies untersagen.“- Quelle: https://de.wikipedia.org/wiki/USA_PATRIOT_Act

    Dies bedeutet, dass personenbezogene Daten auf US- Servern niemals vor Zugriffen geschützt waren und die Verplichtungen des Safe Harbor Gesetzes niemals erfüllt werden konnten- sprich, das Gesetz war von Anfang an sinn- und wirkungslos.
    Solange der Patriot Act aktiv bleibt, können alle personenbezogenen Daten von amerikanischen Behörden problemlos eingesehen werden, denn er hebelt alle anderen Gesetze aus. Solange dies der Fall ist, sollten Unternehmen, insbesondere bei Cloud Lösungen, ihre Daten stets auf Servern in Europa, von europäischen Unternehmen speichern, nur dann kann europäisches Gesetz eingehalten werden- was leider auch trotz Safe Harbor, aufgrund des Patriot Act nie eingehalten werden konnte.

    Der Autor dieses Beitrags behauptet:

    „Entfällt die Privilegierung, die Safe Harbor derzeit bietet, wird die Übertragung von personenbezogenen Daten an amerikanische Unternehmen illegal.“

    Ich behaupte: Aufgrund des erwähnten Patriot Acts, war die Übertragung von personenbezogen Daten seit dem 25. Oktober 2001 immer illegal.

    Reply

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.