Safe Harbor ist vorläufig ungültig. Das hat der Europäische Gerichtshof (EuGH) in der vergangenen Woche entschieden. Damit ist die Übermittlung personenbezogener Daten in die USA, die allein auf die Geltung der Safe-Harbor-Regeln gestützt werden, nun illegal. Von Dr. Martin Schirmbacher, HÄRTING Rechtsanwälte, www.haerting.de
In dem Urteil geht es um die Datenübertragung durch Facebook und nicht um E-Mail-Marketing. Dennoch hat die Entscheidung gravierende Folgen für deutsche Unternehmen, die für das E-Mail-Marketing auf U.S.-amerikanische Anbieter setzen.
EuGH: Safe-Harbor ist ungültig
In dem Urteil ging es darum, ob die irische Datenschutzbehörde auf Beschwerde eines Bürgers hin prüfen muss, ob Facebook personenbezogene Daten in die USA übertragen darf. Das hatte die Behörde verneint, weil Facebook den Safe Harbor Regeln unterworfen sei und die Safe Harbor Bedingungen einhalte. Dabei bezogen sich die irischen Datenschützer auf die Safe Harbor Entscheidungen der EU-Kommission, wonach die Übertragung von Daten in die USA in Ordnung ist, wenn das betreffende Unternehmen die Safe Harbor Regeln vollständig einhält. Die Behörde meinte deshalb, nicht weiter prüfen zu dürfen, ob die Datenübermittlung in die USA rechtmäßig war. Die Sache gelangte zum irischen High Court und von dort zum EuGH.
Der Gerichtshof hat nun geurteilt, dass die Behörde prüfen durfte und musste ob im Falle von Facebook ein hinreichendes Datenschutzniveau gegeben war. Die Safe-Harbor-Entscheidungen der EU-Kommission seien unwirksam. Es liege nicht allein deshalb eine rechtmäßige Datenübertragung vor, weil Facebook an Safe Harbor angeschlossen ist.
Zur Begründung bezieht sich der EuGH darauf, dass die EU-Kommission keine derart weitreichenden Befugnisse habe. Die vorgesehenen Öffnungsklauseln gingen viel zu weit. Außerdem schlössen die Vereinbarungen über Safe-Harbor mit den USA einen Zugriff staatlicher Behörden, etwa der NSA, nicht aus. Zudem seien gegen Eingriffe in die Rechte von Bürgern keine Rechtsbehelfe gegeben.
Mit der EuGH-Entscheidung entfällt damit die Vermutung der Einhaltung der EU-Datenschutzregeln für diese Unternehmen.
Konsequenzen
Auch wenn der derzeitige Medienrummel um Safe-Harbor übertrieben scheint, dürfen deutsche Unternehmen das Thema nicht einfach ignorieren. Die Safe Harbor Privilegierung ist weggefallen. Eine Übertragung von personenbezogenen Daten an amerikanische Unternehmen ist ohne eine Alternativlösung illegal. Gleiches gilt für den Zugriff auf solche Daten durch U.S.-Dienstleister. Die betroffenen Unternehmen – und zwar sowohl der deutsche Datenexporteur, als auch der U.S.-Dienstleister – verstoßen damit gegen die einschlägigen Datenschutzgesetze.
Dabei ergeben sich insbesondere für die Betroffenen bestimmte Rechte, gegebenenfalls sogar Schadensersatzansprüche. Zudem drohen Bußgelder der deutschen Datenschutzbehörden. Diese können theoretisch bis zu 300.000,- Euro betragen, liegen in der Regel aber deutlich darunter. Die bayerische Datenschutzbehörde hat allerdings zuletzt in einem Fall, in dem bei einem Auftragsdatenverarbeitungsvertrag die technischen und organisatorischen Maßnahmen nicht hinreichend beschrieben waren, immerhin ein fünfstelliges Bußgeld verhängt. Ein Kavaliersdelikt wäre das jedenfalls nicht.
Welche Workarounds für Dienstleister mit Sitz in den USA gibt es?
Safe Harbor ist vorläufig Geschichte. Cloud-Provider, CRM-Services und E-Mail-Marketing-Dienstleister, die sich bisher auf Safe Harbor berufen haben, brauchen eine neue Rechtsgrundlage. Aus Sicht des Bundesdatenschutzgesetzes (BDSG) fehlt ein angemessenes Datenschutzniveau.
Die EU-Kommission hat bestätigt, dass es Verhandlungen für ein Safe Harbor 2.0. mit den USA gibt. Es ist auch damit zu rechnen, dass es mittelfristig zu einer neuen Rechtsgrundlage kommt. Angesichts der strengen Vorgaben des EuGH werden es aber schwierige Verhandlungen werden. Bis es eine neue Rechtsgrundlage für Safe Harbor gibt, müssen allerdings Alternativen her, um eine legale Datenübertragung hinzubekommen.
Möglichkeit 1: Sitz innerhalb der EU oder in einem sicheren Drittland Es kann natürlich ein deutscher Dienstleister eingesetzt werden, der eine Speicherung der Daten in Deutschland zusichert. Das gleiche gilt für alle Dienstleister mit Sitz innerhalb der EU. Hinzu kommen noch Staaten, die als sichere Drittländer anerkannt sind. Dazu gehören etwa die Schweiz, Kanada und Israel, nicht jedoch die USA. Hat der Diensteanbieter seinen Sitz also innerhalb der EU, der Schweiz oder Kanada und kann auch nur von dort auf die Daten der deutschen Nutzer zugegriffen werden, ist ein ausreichendes Datenschutzniveau gegeben. Immerhin denkbar ist, dass U.S.-Dienstleister in Zukunft lokale Datenverarbeitung durch eine EU-Gesellschaft anbieten.
Möglichkeit 2: Abschluss von EU-Standardvertragsklauseln Ein angemessenes Datenschutzniveau kann auch dadurch sichergestellt werden, dass sich der Dienstleister vertraglich den wesentlichen Regelungen der EU zum Datenschutz unterwirft. Die EU hat zu diesem Zweck zwei Standardvertragswerke entwickelt, derer sich die Unternehmen bedienen können. Für E-Mail-Marketing-Dienstleister dürften die Standardvertragsklauseln für Auftragsdatenverarbeiter die richtige Alternative sein. Unterzeichnet der Dienstleister und hält er sich anschließend an die Vorgaben des Vertrages, stehen einer Übermittlung der Daten ins Ausland Interessen der Kunden nicht entgegen. Allerdings ist damit zu rechnen, dass sich der EuGH in nicht allzu ferner Zukunft auch mit den Standardvertragsklauseln beschäftigen wird. Es ist nicht ausgeschlossen, dass auch hierbei Vorbehalte bestehen. Jedenfalls dürfen die Datenschutzbehörden auch bei Verwendung der Standardklauseln berechtigt sein, die Rechtmäßigkeit des Datentransfers in die USA zu prüfen. Gleichwohl bieten die Standardklauseln im Moment eine vernünftige Möglichkeit. Salesforce bietet seinen Kunden bereits ausdrücklich den Abschluss entsprechender Vereinbarungen an. Wer E-Mail-Marketing-Dienste oder andere Marketing-Tools aus den USA nutzt, sollte spätestens jetzt entsprechend nachhaken.
Möglichkeit 3: Abschluss eines individuellen Vertrag: Denkbar ist auch, mit dem Dienstleister einen individuellen Vertrag zu schließen, der von den Standardvertragsklauseln abweicht. Ein solcher Vertrag muss ein angemessenes Datenschutzniveau garantieren. Darin muss sich der Dienstleister auf die Einhaltung der wesentlichen Bestimmungen des deutschen Datenschutzrechts verpflichten und die Einhaltung in geeigneter Weise garantieren. Dies hilft aber nur, wenn die zuständige Datenschutzbehörde in Deutschland den Vertrag ausdrücklich genehmigt hat. Ein solches Prozedere ist mit erheblichen Aufwand und der Unsicherheit verbunden, dass die Behörde die Freigabe erteilt, und dürfte sich nur anbieten, wenn es anderer Weg nicht zum Erfolg führt. Diese Lösung kommt in der Praxis allenfalls bei Verträgen in Betracht, die nicht Standardverträge sind. Man muss wohl schon ein sehr großer Kunde sein, damit sich U.S.-Unternehmen auf den Abschluss von individuell ausgehandelten Verträgen einlassen.
Möglichkeit 4: Einwilligung der Datenübermittlung in die USA Stets zulässig ist die Übertragung von Daten an Unternehmen in den USA, wenn der Empfänger eingewilligt hat. Dies ergibt sich aus § 4c BDSG. Die Anforderungen an eine transparente Information und darauf beruhende Einwilligung sind hoch. Eine bloße Änderung der Datenschutzbestimmungen genügt jedenfalls nicht. Es bedarf einer transparenten Information des Kunden, zudem muss dem Kunden eine echte Wahlmöglichkeit gegeben werden. Eine „untergeschobene Einwilligung“ würden die Datenschutzbehörden nicht akzeptieren. Wurde eine solche Einwilligung nicht schon bei Erhebung der E-Mail-Adresse eingeholt, müsste das nun nachgeholt werden, was vollständig unpraktikabel ist. Willigt der Kunde nicht ein, muss der Datentransfer unterbleiben.
Fazit
Deutsche Unternehmen sollten mit den amerikanischen Partnern auf schnelle Alternativlösungen drängen. Der Abschluss eines Vertrages, der den Standvertragsklauseln entspricht, ist eine solche Lösung. Manche US-Unternehmen haben im Anschluss an die EuGH-Entscheidung auch schon reagiert und den Abschluss der Standardklauseln angeboten. Verweigert sich der U.S.-Anbieter, kommt sogar eine fristlose Kündigung des Vertrages mit dem Dienstleister in Betracht.
Das EuGH-Urteil hat also gravierende Auswirkungen auf den Einsatz von E-Mail-Marketing-Tools amerikanischer Anbieter. Die amerikanischen Dienstleister und ihre deutschen Kunden müssen nun schnell reagieren und für Alternativen zu Safe Harbor sorgen. Ein ganz einfaches Unterfangen wird das nicht.
Dr. Martin Schirmbacher ist Fachanwalt für IT-Recht in der auf Medien und Technologie spezialisierten Kanzlei HÄRTING Rechtsanwälte und Autor des Buches Online-Marketing und Recht. Seinen Blog zum Recht im Online Marketing finden Sie unter www.online-marketing-recht.de. Nähere Angaben zu seiner Person gibt es unter http://www.haerting.de/de/team/dr-martin-schirmbacher.