Brüchiger Datenschild: Es gibt Alternativen zum Safe-Harbor-Nachfolger

12. März 2016, 12:13
14 Postings

Das österreichische Datenschutzrecht bietet allerdings schon jetzt Alternativen zum Safe-Harbor-Nachfolgeabkommen

Der transatlantische Datenverkehr gehört für viele österreichische Unternehmen zum "digitalen Alltag", sei es in Form der Bereitstellung von Informationen an eine US-Konzernmutter, der Nutzung von Cloud-Services von US-Providern oder im Zuge der Abwicklung von Aufträgen oder Projekten mit in den USA ansässigen Unternehmen, um nur einige Beispiele zu nennen.

Ausgangspunkt der rechtlichen Beurteilung derartiger Datentransfers ist der Umstand, dass die USA aufgrund der weniger streng ausgestalteten Datenschutzvorschriften nicht als Drittstaat mit einem der EU gleichwertigen Datenschutzniveau gelten.

Um Datentransfers in die USA zu erleichtern, zugleich aber ein für europäische Verhältnisse akzeptables Schutzniveau sicherzustellen, schlossen die EU und die USA daher im Jahr 2000 das sogenannte Safe-Harbor-Abkommen ab. US-Unternehmen, die sich zur Einhaltung der Safe-Harbor-Prinzipien verpflichteten, konnten so den Nachweis der Gleichwertigkeit des Datenschutzniveaus erbringen.

Bekanntlich hat der EuGH im Fall Schrems (C-362/14 vom 6. 10. 2015) dieses System – konkret: die Entscheidung der Kommission, mit welcher die Angemessenheit des bei den nach dem Safe-Harbor-System zertifizierten US-amerikanischen Unternehmen herrschenden Datenschutzniveaus bestätigt wurde – als unionsrechtswidrig aufgehoben.

Begründet hat dies der Gerichtshof insbesondere damit, dass es den USA ohne weiteres erlaubt sei, die Anwendbarkeit der Safe-Harbor-Regeln zu suspendieren. Ferner gebe es keine Rechtsbehelfe für die betroffenen EU-Bürger, die ihnen die Geltendmachung ihrer Betroffenenrechte (wie etwa auf Richtigstellung oder Löschung) ermöglichen würden. Als Konsequenz seien – so der EuGH – die nationalen Datenschutzbehörden verpflichtet, die Frage des hinreichenden Schutzniveaus im jeweiligen Einzelfall zu beurteilen.

Die Schrems-Entscheidung war ein – nicht ganz unerwarteter – datenschutzrechtlicher Paukenschlag, der bei vielen Unternehmen für Rechtsunsicherheit hinsichtlich des nunmehr einzuhaltenden Prozedere gesorgt hat und sorgt. Aber auch die Datenschutzbehörden traf das Urteil, das keinerlei "Reparaturfrist" vorsah, unvorbereitet. Umso positiver ist der Umstand zu sehen, dass die ja bereits seit langem laufenden Verhandlungen für ein Nachfolgeabkommen abgeschlossen werden konnten: Mit Privacy Shield wird aus dem gar nicht so sicheren Hafen ein robuster "Schutzschild" – zumindest terminologisch.

Strengere Regeln

Das Privacy-Shield-Abkommen soll strengere Regeln für US-Unternehmen einführen (z. B. Sanktionen bei Nichteinhaltung der Datenschutzprinzipien), die Eingriffsmöglichkeiten der amerikanischen Behörden beschränken und den Betroffenen bessere Möglichkeiten zur Durchsetzung ihrer Rechte geben.

Der mit den USA gefundene Kompromiss ist noch nicht in Kraft getreten: Die Kommission hat zwar am 29. Februar den Text der geplanten Regelung veröffentlicht, muss aber erst eine Entscheidung erlassen, in welcher das durch Privacy Shield definierte Datenschutzniveau als dem europäischen Datenschutzniveau gleichwertig anerkannt wird. Ab diesem Zeitpunkt wird dann – ähnlich wie zuvor bei Safe Harbor – ein Datentransfer an in den USA befindliche Unternehmen, welche sich zur Einhaltung der Privacy-Shield-Maßnahmen verpflichten, genehmigungsfrei möglich sein.

Kritik an neuem Abkommen

Allerdings wurden bereits kritische Stimmen laut, wonach Privacy Shield nicht den vom EuGH im Schrems-Fall definierten Anforderungen an Datentransfers in die USA entsprechen würde. Ob Privacy Shield somit eine dauerhafte europarechtskonforme Grundlage für den transatlantischen Datenverkehr bieten kann oder lediglich eine "durch zehn Lagen Lippenstift" aufgehübschte Variante des Safe-Harbor-Abkommens (frei nach der Ersteinschätzung von Max Schrems) und damit (erneut) unzulänglich ist, bleibt abzuwarten.

Es ist daher fraglich, ob Unternehmen, welche Datentransfers in die USA bislang auf Safe Harbor gestützt haben, gut daran tun, sich nunmehr auf Privacy Shield zu verlassen.

Dies umso mehr, als – was in der Debatte um Safe Harbor häufig unerwähnt blieb – nach dem Datenschutzgesetz alternative Möglichkeiten bestehen, Daten rechtmäßig in die USA zu transferieren:

Eine derartige, auch in anderen Jurisdiktionen häufig genutzte Rechtsgrundlage bilden zunächst die Verabschiedung sogenannter Binding Corporate Rules oder die Unterzeichnung von Standardvertragsklauseln. Dabei handelt es sich um ein von der Kommission herausgegebenes Vertragsmuster, in dem der Datenempfänger vertraglich die Einhaltung europäischer Datenschutzstandards zusagt.

Allerdings genügt der Einsatz dieser Instrumente für sich noch nicht, sondern es muss – anders als in den meisten anderen EU-Staaten – zusätzlich eine Genehmigung durch die österreichische Datenschutzbehörde eingeholt werden.

Genehmigungsfrei möglich ist ein Datentransfer hingegen bei anonymen oder indirekt personenbezogenen Daten (dabei handelt es sich um Daten, welche für den Empfänger mit rechtlich zulässigen Mitteln nicht auf natürliche Personen zurückgeführt werden können). Auch kann ein Datentransfer auf die Zustimmung der Betroffenen gestützt werden.

Verzicht auf Transfer in USA

Ebenso wenig ist eine Genehmigung erforderlich, wenn der Transfer personenbezogener Daten der Erfüllung von Verträgen dient, die Übermittlung der – rechtmäßig ermittelten – Daten für Verfahren vor ausländischen Behörden oder Gerichten erforderlich ist oder der Datentransfer im Konzern durch eine sogenannte Standardanwendung gedeckt ist. Eine letzte, in der Praxis immer häufiger gewählte Variante kann – so simpel es klingen mag – schließlich der Verzicht auf einen Transfer personenbezogener Daten in die USA darstellen.

Österreichischen Unternehmen bleiben also ungeachtet der Aufhebung des Safe-Harbor-Abkommens verschiedene Möglichkeiten, personenbezogene Daten in die USA zu transferieren. Safe Harbor als Rechtsgrundlage für Datentransfers schlicht durch Privacy Shield zu ersetzen, könnte sich neuerlich bloß als Übergangslösung herausstellen. Umso mehr empfiehlt es sich, zu prüfen, ob Datentransfers in die USA nicht (allenfalls zusätzlich zu Privacy Shield) auch auf andere Rechtsgrundlagen gestützt werden könnten. (Hans Kristoferitsch, Florian Stangl, Wirtschaft & Recht, 10.3.2016)

ZU DEN PERSONEN

Dr. Hans Kristoferitsch, LL.M. ist Partner, Dr. Florian Stangl, LL.M. ist Rechtsanwaltsanwärter bei CHSH Cerha Hempel Spiegelfeld Hlawati. Sie sind beide auf öffentliches Wirtschaftsrecht und Datenschutzrecht spezialisiert.

hans.kristoferitsch@chsh.com, florian.stangl@chsh.com

  • Artikelbild
    illustration: johannes pernerstorfer
  • Dr. Hans Kristoferitsch
    foto: chsh

    Dr. Hans Kristoferitsch

  • Dr. Florian Stangl
    foto: chsh

    Dr. Florian Stangl

Share if you care.