BEI FRAGEN SPRECHEN SIE BITTE IHREN
ZUSTÄNDIGEN STEUERBERATER AN.
DAS QUARTAL 1.16
12
Themen im Fokus
Sachverhalt
Dem Urteil ist eine Beschwerde des Öster-
reichers Max Schrems vorausgegangen,
ob die irische Datenschutzbehörde prüfen
muss, ob Facebook personenbezogene
Daten in die USA übertragen darf. Die Be-
hörde hielt sich nicht für zuständig, dies
zu prüfen. Zum einen sei Facebook den
Safe-Harbor-Regeln unterworfen und zum
anderen würde Facebook die Safe-Harbor-
Bedingungen einhalten.
Hintergrund
Die Übermittlung von personenbezoge-
nen Daten in ein außereuropäisches Land
ist nach dem Datenschutzrecht nur dann
erlaubt, wenn dort ein angemessenes
Schutzniveau für die Daten gewährleistet
ist. In den USA bestand kein angemesse-
nes Datenschutzniveau. In Staaten ohne
ein angemessenes Datenschutzniveau
kann ein solches dennoch angenommen
werden, wenn eine Vereinbarung mit der
EU besteht, die ein angemessenes Da-
tenschutzniveau sicherstellt. Dabei muss
sich die Daten empfangende Stelle der Ver-
einbarung unterwerfen. Das Safe-Harbor-
Abkommen ist eine solche Vereinbarung.
Problematisch ist vor allem der US Patriot
Act, der amerikanischen Ermittlungsbe-
hörden weitreichende Eingriffsrechte gibt.
Das Safe-Harbor-Abkommen hat der EuGH
schließlich für unwirksam erklärt. Damit
entfällt die Vermutung der Einhaltung der
europäischen Datenschutzregelungen und
das Safe-Harbor-Abkommen stellt keine
ausreichende Grundlage für eine Daten-
übertragung in die USA durch Unterneh-
men wie Facebook mehr dar.
In seiner Pressemitteilung vom 6. Oktober
teilte der EuGH abschließend mit
„Dieses Urteil hat zur Folge, dass die irische
Datenschutzbehörde die Beschwerde von
Herrn Schrems mit aller gebotenen Sorgfalt
prüfen und am Ende ihrer Untersuchung
entscheiden muss, ob nach der Richtlinie
die Übermittlung der Daten der europäi-
schen Nutzer von Facebook in die Verei-
nigten Staaten auszusetzen ist, weil dieses
Land kein angemessenes Schutzniveau für
personenbezogene Daten bietet.“
Praktische Konsequenzen
Sämtliche amerikanischen Anbieter von
Online-Tools – um einige bekannte Unter-
nehmen zu nennen wie Amazon Cloud Ser-
vices, Apple, Dropbox, Google, Mailchimp
Microsoft, Salesforce oder Skype – sind
betroffen. Entscheidend ist jedoch, ob
personenbezogene Daten in die USA über-
tragen werden. Beispiele für Anbieter, die
personenbezogene Daten übertragen, sind
Cloud-Anbieter, Anbieter von Hosting-Sys-
temen und von Webseiten-Analysetools.
Die Anbieter reagieren nun auf verschiede-
nen Wegen. So wird Microsoft die Dienste
Azure, Office 365 und CRM Online zukünftig
auch aus zwei deutschen Rechenzentren
anbieten, deren Zugang T-Systems wird
dabei als Treuhänder überwachen wird. An-
dere Anbieter bieten häufig den Abschluss
von Standardvertragsklauseln an.
Alternativen zum Safe-Harbor-Abkommen
Um ein angemessenes Datenschutzniveau
sicherzustellen, gibt es verschiedene Mög-
lichkeiten. Die in der Fachliteratur ammeis-
ten benannten Alternativen sind:
- die ausdrückliche Einwilligung der Daten-
übermittlung in die USA,
- die Verwendung von EU-Standardver-
tragsklauseln, mit denen sich der Dienst-
leister vertraglich den wesentlichen
Regelungen der EU zum Datenschutz
unterwirft oder
- der Einsatz von Dienstleistern, die Da-
ten in der EU, dem EWR oder in sicheren
Drittländern speichern. Dies erfolgt
durch Verwendung von Binding Cor-
porate Rules, also der rechtlich verbind-
lichen Implementierung von Unterneh-
mensregelungen (Privacy Policy) zum
Umgang mit personenbezogenen Daten
im Konzern.
Erste Handlungsempfehlungen
Als ersten Schritt sollten Sie sich eine Liste
der Dienstleister erstellen, die personenbe-
zogene Daten in die USA auf Grundlage des
Safe-Harbor-Abkommens übermitteln. Die
EU-Datenschutzbehörden haben eine Art
Schonfrist bis Ende Januar 2016 ausge-
sprochen und Standardvertragsklauseln
ausdrücklich als zunächst weiterhin ver-
wendbar erklärt. Die Positionierung der
deutschen Datenschutzaufsichtsbehör-
den, die bisher uneinheitlich war, sollte
unbedingt beobachtet werden. So hatte
Anfang Oktober 2015 das Unabhängige
Landeszentrum für Datenschutz (ULD)
aus Schleswig-Holstein Bedenken gegen
die von der EU-Kommission empfohlenen
Ausweichmaßnahmen geäußert.
In einem Positionspapier hat die Konferenz
der unabhängigen Datenschutzbehörden
des Bundes und der Länder vom21.10.2015
Unternehmen aufgefordert, unverzüglich
ihre Verfahren zum Datentransfer daten-
schutzgerecht zu gestalten. Leider bleibt
im Positionspapier offen, wie dies in der
Praxis erfolgen soll. Aber auch Bundesre-
gierung, Bundestag, Kommission, Rat und
Parlament der EU wurden aufgefordert, für
Rechtssicherheit zu sorgen. Die Konferenz
hat zudem angekündigt, ausschließlich auf
Safe Harbor gestützte Datenübermittlun-
gen in die USA zu untersagen und stellt
auch die Zulässigkeit der Datentransfers
in die USA auf der Grundlage der anderen
hierfür eingesetzten Instrumente wie die
Standardvertragsklauseln oder die verbind-
lichen Unternehmensregelungen infrage.
Datenschutz: Die Safe-Harbor-
Entscheidung des EuGH
Der Europäische Gerichtshof (EuGH) hatte mit dem viel beachteten Urteil vom 6.
Oktober 2015 nach Vorlage des irischen High Courts entschieden, dass das Safe-
Harbor-Abkommen kein aus europäischer Sicht angemessenes Datenschutz-
niveau bildet und die (irische) Datenschutz-Aufsichtsbehörde die
rechtliche Befugnis hat, eine Datenübermittlung auf Basis
des Safe-Harbor-Abkommens zu untersagen.
