Datenschutzabkommen „Safe Harbor“ zwischen EU und USA vom EuGH für ungültig erklärt – Was bedeutet das für Unternehmen in Deutschland?

Das am 06.10.2015 vom Europäischen Gerichtshof – EuGH – verkündete Urteil in der Rechtssache C‑362/14 M. Schrems gegen den irischen Datenschutzbeauftragten wegen Facebook zur Ungültigkeit des Safe Harbor-Abkommens hat große Medienaufmerksamkeit gefunden und wurde als Sieg des europäischen Datenschutzrechts gefeiert. Doch gibt es etwas zu feiern? Um das zu verstehen muss man einige datenschutzrechtliche Grundbegriffe kennen und wissen, was das Safe Harbor Abkommen bedeutet hat.

1. Grundbegriffe – Datenschutzrecht, Datenverarbeitung und Drittländer

a) Datenschutzrecht

Das Datenschutzrecht ist auf europäischer Ebene durch die EU-Datenschutzrichtlinie von 1995 geregelt, die alle EU-Staaten in ihr nationales Recht umgesetzt haben müssen. Daher wird davon ausgegangen, dass in allen EU-Staaten zumindest im Grundsatz ein gleicher, angemessener Mindeststandard an Datenschutzrechten besteht.

Die Datenschutzrichtlinie stammt von 1995 und gibt nicht mehr angemessene Antworten auf die heutigen Formen der Datenverarbeitung, insbesondere auch durch Internetangebot wie Social Media Plattformen (z.B. Facebook). Zudem hat sich gezeigt, dass der erhoffte EU-weite einheitliche Mindeststandard doch in der Praxis recht unterschiedlich ausfällt. Dies beeinträchtigt den freien Waren- und Dienstleistungsverkehr in der EU. Aus diesen Gründen finden sich aktuell die Verhandlungen zu einem neuen EU-Datenschutzrecht, der sogenannten EU-Datenschutzgrundverordnung, die dann als Verordnung ohne unterschiedliche nationale Umsetzung direkt in allen EU-Staaten unmittelbar geltendes Recht ist, in der Schlussphase. Links zum Text und Hintergrundinformationen sind auf der Webseite des Berichterstatters (Verhandlungsführers) im Europäischen Parlament und EU-Parlamentsabgeordneten Jan Philipp Albrecht zu finden.

Seit 01.12.2009 schützt die Grundrechtscharta der EU Pdf-Fassung im Amtsblatt der EU und Html-Fassung in allen Amtssprachen ausdrücklich auch das Grundrecht auf Datenschutz (Grundrechte: Recht auf Schutz personenbezogener Daten (Art. 8) und Recht auf Achtung des Privatlebens (Art. 7 ))

 Artikel 7 – Achtung des Privat- und Familienlebens

Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihrer Kommunikation.

 Artikel 8 – Schutz personenbezogener Daten

(1)   Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2)   Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

(3)   Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

In Deutschland ist das Datenschutzrecht im Bundesdatenschutzgesetz (BDSG), in den Landesdatenschutzgesetzen und für bestimmte Themen auch noch in speziellen Gesetzen geregelt, z.B. im Telemediengesetz (TMG), im Telekommunikationsgesetz (TKG), im Kreditwesengesetz (KWG), Sozialrecht (SGB) oder in den Landeskrankenhausgesetzen, um nur einige Spezialgesetze zu nennen.

Das Bundesverfassungsgericht hat im Volkszählungsurteil 1983

[1] aus der Menschenwürde und dem allgemeinen Persönlichkeitsrecht ein Grundrecht auf informationelle Selbstbestimmung entwickelt. In der Entscheidung zur Online-Durchsuchung hat das Bundesverfassungsgericht 2008 ein Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme[2], auch IT-Grundrecht genannt, entwickelt.

Das Datenschutzrecht regelt die Verarbeitung von Daten natürlicher Personen – im Gegensatz zu juristischen Personen (z.B. GmbH, AG). Daten juristischer Personen sind nicht schutzlos; deren Schutz ist z.B. im Gesetz gegen unlauteren Wettbewerb (UWG) in Form des Schutzes von Betriebs- und Geschäftsgeheimnissen und durch das von der Rechtsprechung entwickelte allgemeine Persönlichkeitsrecht des Unternehmens bzw. des Unternehmers.

b) Datenverarbeitung

Jegliche Daten bzw. Informationen über eine natürliche Person, mögen sie auch noch so vermeidlich belanglos erscheinen, dürfen nur dann erhoben, verarbeitet oder genutzt werden, wenn entweder die betroffene Person selbst dies erlaubt hat (Erlaubnis, die man vorab erteilt, nennt man Einwilligung) oder ein Gesetz dies erlaubt oder angeordnet hat. Liegt keine Einwilligung oder gesetzliche Erlaubnis vor, ist die Datenverarbeitung verboten, sogenanntes Verbot mit Erlaubnisvorbehalt.

Der Begriff des Verarbeitens ist im Datenschutzrecht sehr viel weiter gefasst, als im allgemeinen Sprachverständnis. Die EU-Datenschutzrichtlinie definiert den Begriff folgendermaßen:

Art. 2 b) „Verarbeitung personenbezogener Daten“ („Verarbeitung“) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;

 Im Bundesdatenschutzgesetz, § 3 Abs. 4 BDSG, ist „Verarbeiten“ wie folgt definiert:

(4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren:

  1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zweck ihrer weiteren Verarbeitung oder Nutzung,
  2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
  3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
  4. a) die Daten an den Dritten weitergegeben werden oder
  5. b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft,
  6. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken,
  7. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.

Hervorheben möchte ich hier zwei Aspekte:

Speicher – schon das bloße Speichern von Daten auf einem Server, Hosting, z.B. in Form der Nutzung eines Cloud-Anbieters wie DropBox, iCloud, Amazon-Cloud etc. stellt eine Datenverarbeitung dar, die unter das Datenschutzrecht fällt, und zwar ohne, dass es hierbei auf irgendwelche Arten von Bearbeitung der Daten ankäme.

Übermitteln – Auch wenn die Daten dabei nicht verändert werden, ist das Übermitteln der Daten eine Datenverarbeitung im Rechtssinne. Das für den ein oder anderen vielleicht überraschende ist, dass die Daten auch wenn sie an Ort und Stelle auf dem eigenen Server bleiben, dennoch z.B. im Rahmen eines Fernwartungszuganges (Remote Access) an den IT-Dienstleister durch die Einsichtnahmemöglichkeit übermittelt werden.

c) Drittländer

Im Datenschutzrecht sind oft zwei Prüfungsschritte zu machen:

  1. Dürfen die Daten überhaupt verarbeitet werden, liegt also eine Einwilligung der betroffenen Person, deren Daten verarbeitet werden sollen, vor, oder gibt es eine gesetzliche Erlaubnis, auf die man als Verarbeiter die Verarbeitung stützen kann.
  2. Wenn diese Frage mit ja beantwortet ist, stellt sich in einem zweiten Prüfungsschritt die Frage, dürfen die Daten in dem Land verarbeitet werden, in dem das für die Daten verantwortliche Unternehmen (z.B. der Arbeitgeber die Beschäftigtendaten oder der Händler die Kundendaten) die Daten verarbeiten lassen will.

In der EU geht man wie dargelegt von einem einheitlichen Mindestdatenschutzstandard aus, so dass innerhalb der EU das Verarbeitungsland frei gewählt werden kann. Bei Ländern außerhalb der EU, sogenannte Drittstaaten bzw. Drittländer, wird grundsätzlich erst einmal davon ausgegangen, dass dort kein angemessenes Datenschutzniveau besteht. Dann ist die Datenübermittlung nur in bestimmten Fällen zulässig, z.B. wenn der Betroffene seine Einwilligung gegeben hat, § 4c Abs. 1 Nr. BDSG oder die Übermittlung zur Erfüllung des Vertrages mit dem Betroffenen erforderlich ist.

Ob ein angemessenes Datenschutzniveau besteht, ist nach § 4b Abs. 3 BDSG „unter Berücksichtigung aller Umstände beurteilt, die bei einer Datenübermittlung oder einer Kategorie von Datenübermittlungen von Bedeutung sind; insbesondere können die Art der Daten, die Zweckbestimmung, die Dauer der geplanten Verarbeitung, das Herkunfts- und das Endbestimmungsland, die für den betreffenden Empfänger geltenden Rechtsnormen sowie die für ihn geltenden Standesregeln und Sicherheitsmaßnahmen herangezogen

Zwar ist jedes übermittelnde Stelle (jedes Unternehmen) selbst für diese Beurteilung verantwortlich, § 4b Abs. 5 BDSG; jedoch sind die wenigsten dazu selbst in der Lage. Daher hat die EU-Kommission diese Prüfung für einige Staaten selbst vorgenommen und einzelne wenige Staaten als „sichere Drittstaaten

d) USA als sicherer Datenhafen – Safe Harbor

Da die USA eines der Hauptdrehkreuze des Internet-Datenverkehrs sind und die wesentlichen Betriebssysteme, größten Softwareunternehmen und bedeutendsten Internet-Anbieter aus den USA komme, besteht ein überragendes Bedürfnis, den Datenverkehr der EU-Staaten mit den USA zu regeln. Die EU-Kommission hat hierzu mit dem US-Handelsministerium 2000 ein Abkommen über ein Verfahren zum – aus EU-Sicht – angemessenen Datenschutzstandard abgeschlossen – die Entscheidung der EU-Kommission wird Safe Harbor genannt.

Das Safe Harbor Verfahren sah vor, dass sich Unternehmen in den USA auf die Einhaltung eines definierten Datenschutzstandards selbst verpflichten konnte und diese Selbstverpflichtungserklärung an eine Liste im US-Handelsministerium gemeldet haben. Bei den Safe Harbor-Zertifizierten Unternehmen wurde dann davon ausgegangen, dass ein angemessener Schutz für Daten von EU-Bürgern besteht.

Bis Mitte Oktober 2015 waren etwa 5484 amerikanische Unternehmen dem Safe-Harbor-Abkommen beigetreten, darunter IBM, Microsoft, General Motors, Amazon.com, Google, Apple  , Hewlett-Packard, Dropbox und Facebook. Andererseits waren alle wichtigen Unternehmen, die am NSA-Programm PRISM beteiligt waren, auch Safe Harbor zertifiziert. Die Safe Harbor Unternehmens-Liste wird auch nach der Entscheidung des EuGH vom US-Handelsministerium weiter gepflegt.

Aus meiner Sicht war schon die Bezeichnung für dieses Verfahren „Safe Harbor-Zertifiziert“ irreführend, da man bei einer Zertifizierung üblicherweise von einer regemäßigen und neutralen Überprüfung und Bestätigung der Einhaltung bestimmter Regeln und Standards versteht. Es fand aber weder eine anfänglich noch eine regelmäßige unabhängige Überprüfung oder Sanktion bei Verstößen statt.

e) Folgen und Sanktionen bei Datenschutzverstößen

Werden personenbezogene Daten nicht rechtskonform verarbeitet, also z.B. ohne Rechtsgrundlage in Drittstaaten übermittelt, gibt es verschiedene potentielle (Rechts-)Folgen, die so empfindlich für Unternehmen sein können, dass man das Datenschutzrecht und etwaige Verstöße dagegen nicht auf die leichte Schulter nehmen sollte.

Die Datenschutzbehörden haben in den letzten Jahren ebenso wie die Medien entdeckt, dass die Berichterstattung über Datenschutzverstöße eine teilweise erhebliche Auswirkung haben (Image-Schaden), bis hin zum Rücktritt von Unternehmensvorständen. Instrumente sind hierbei Pressemitteilungen oder auch die Tätigkeitberichte der Datenschutzaufsichtsbehörden.

Neben der Möglichkeit Auskünfte zu verlangen, detaillierte Kontrollen und Prüfungen vorzunehmen, kann eine bestimmte Datenverarbeitung untersagt werden (Untersagungsverfügung), also die IT stillgelegt werden, vgl. § 38 BDSG. Zudem kommen insbesondere Bußgelder wegen Ordnungswidrigkeiten in Betracht, § 43 BDSG. Bei formellen Verstößen können Bußgelder bis zu 50.000 Euro und bei materiellen Verstößen bis zu 300.000 Euro verhängt werden, wobei auch die Möglichkeit besteht einen höheren Gewinn aus der Datenschutzverletzung durch ein noch höheres Bußgeld abzuschöpfen. Vorsätzliche Datenschutzverstöße können sogar als Straftat mit Freiheitstraße oder Geldstrafe geahndet werden, § 44 BDSG. Man könnte sogar überlegen, ob die Datenübermittlung in die USA bei besonders sensiblen Daten nach § 42a BDSG eine unrechtmäßige Kenntnisnahme durch unberechtigte Dritte darstellt und eine Meldepflicht an die Aufsicht und die Betroffenen auslöst.

[1] BVerfG, Urteil vom 15.12.1983, 1 BvR 209/83 u. a. – Volkszählung –, BVerfGE 65, 1.

[2] BVerfG, Urteil vom 27.02,20081 BvR 370/07, 1 BvR 595/07, BVerfGE 120, 274 – 350.

 

Teil 2 und 3:

  1. Die Safe Harbor Entscheidung des EuGH – Das Urteil
  2. Die Auswirkungen der Safe Harbor Entscheidung 

    Alle Blog-Beiträge als pdf-Datei zum Download

Rechtsanwalt David Seiler, externer Datenschutzbeauftragter, berät bundesweit zu Fragen des Datenschutzrechts.