Safe Harbour-Entscheidung des EuGH – Was sagen die Datenschützer?
Über die wichtige Entscheidung des Europäischen Gerichtshofs zum unzureichenden Datenschutzniveau in den USA und den Auswirkungen haben wir bereits in zwei Artikeln (zum Urteil selbst http://schutt-waetke.de/2015/10/eugh-kein-angemessener-datenschutz-in-den-usa/ & zu der ersten Einschätzung der Folgen http://schutt-waetke.de/2015/10/was-bedeutet-die-safe-harbour-entscheidung-des-europaeischen-gerichtshofs/) berichtet.
Jetzt liegen auch die ersten offiziellen Statements der Datenschutzbehörden vor. Insbesondere das Unabhängige Landeszentrum für den Datenschutz Schleswig-Holstein (ULD) tut sich mit einem Positionspapier hervor, in dem es eine eigene Einschätzung der Folgen des Urteils und der jetzigen Möglichkeiten für Datenübermittlungen in die USA abgibt.
Das Papier kann hier (https://www.datenschutzzentrum.de/uploads/internationales/20151014_ULD-Positionspapier-zum-EuGH-Urteil.pdf) als PDF abgerufen werden.
Kurz zusammengefasst lässt sich sagen: Laut ULD ist eine Datenübertragung in die USA gar nicht mehr möglich außer – sehr eingeschränkt – in den gesetzlich ohnehin erlaubten Fällen des § 4 c Bundesdatenschutzgesetz (BDSG). Dieser lautet:
§ 4c Ausnahmen
(1) Im Rahmen von Tätigkeiten, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, ist eine Übermittlung personenbezogener Daten an andere als die in § 4b Abs. 1 genannten Stellen, auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht gewährleistet ist, zulässig, sofern
1. der Betroffene seine Einwilligung gegeben hat,
2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist,
3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll,
4. die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,
5. die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder
6. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind.
Die Stelle, an die die Daten übermittelt werden, ist darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden.
(2) Unbeschadet des Absatzes 1 Satz 1 kann die zuständige Aufsichtsbehörde einzelne Übermittlungen oder bestimmte Arten von Übermittlungen personenbezogener Daten an andere als die in § 4b Abs. 1 genannten Stellen genehmigen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist; die Garantien können sich insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen ergeben. Bei den Post- und Telekommunikationsunternehmen ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zuständig. Sofern die Übermittlung durch öffentliche Stellen erfolgen soll, nehmen diese die Prüfung nach Satz 1 vor.
(3) Die Länder teilen dem Bund die nach Absatz 2 Satz 1 ergangenen Entscheidungen mit.
Eine ausdrückliche Einwilligung des Betroffenen zur Datenübertragung wäre aber laut ULD nur unter ganz hohe Anforderungen, wie einer ausführlichen und transparenten Aufklärung und auch nur dann zulässig, wenn es letztlich die freie Entscheidung des Betroffenen bleibt, ob die Übertragung stattfinden soll oder nicht. Also bei Arbeitnehmern wäre das schon nicht mehr möglich, soweit der Arbeitgeber keine Wahl lässt.
Im Ergebnis hat das ULD schließlich Zweifel, ob überhaupt der Einzelne eine Disposition über solche einschneidenden Grundrechtspositionen hat und führt die Rechtsprechung des Bundesverfassungsgerichts dazu an.
So bleiben am Ende nach Auffassung des ULD nur noch die Ausnahmen Nummer 2 und 3 übrig, die etwa bei Reise- und Flugbuchungen oder zum Abschluss oder zur Erfüllung eines im Interesse des Betroffenen geschlossenen Vertrages die Übermittlung der Daten in die USA erlauben würden.
Viel Spielraum ist das beileibe nicht. In allen anderen Fällen wäre die Übermittlung rechtswidrig.
Eine definitiv mehr als unbefriedigende Lösung, zumal das ULD am Ende gleich noch lapidar auf die Bußgeldtatbestände mit Bußgeldern bis zu 300.00 Euro hinweist und mitteilt, man werde den Erlass entsprechender Anordnungen prüfen.
Die irische Datenschutzbehörde ließ übrigens am 21.10.2015 laut eines Berichts von Beck-Online verlauten, man wolle sorgfältig die Rechtmäßigkeit der Datenübertragungen von Facebook in die USA prüfen. Facebook selbst hat Kooperation angekündigt.
Also: Nichts Genaues weiß man nicht, Die Situation ist undurchsichtiger denn je und letztlich weiß keiner so genau, wie das Thema in absehbarer Zeit wieder auf rechtmäßige Beine gestellt werden soll.
Wir werden weiter berichten.
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht
Jetzt liegen auch die ersten offiziellen Statements der Datenschutzbehörden vor. Insbesondere das Unabhängige Landeszentrum für den Datenschutz Schleswig-Holstein (ULD) tut sich mit einem Positionspapier hervor, in dem es eine eigene Einschätzung der Folgen des Urteils und der jetzigen Möglichkeiten für Datenübermittlungen in die USA abgibt.
Das Papier kann hier (https://www.datenschutzzentrum.de/uploads/internationales/20151014_ULD-Positionspapier-zum-EuGH-Urteil.pdf) als PDF abgerufen werden.
Kurz zusammengefasst lässt sich sagen: Laut ULD ist eine Datenübertragung in die USA gar nicht mehr möglich außer – sehr eingeschränkt – in den gesetzlich ohnehin erlaubten Fällen des § 4 c Bundesdatenschutzgesetz (BDSG). Dieser lautet:
§ 4c Ausnahmen
(1) Im Rahmen von Tätigkeiten, die ganz oder teilweise in den Anwendungsbereich des Rechts der Europäischen Gemeinschaften fallen, ist eine Übermittlung personenbezogener Daten an andere als die in § 4b Abs. 1 genannten Stellen, auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht gewährleistet ist, zulässig, sofern
1. der Betroffene seine Einwilligung gegeben hat,
2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist,
3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll,
4. die Übermittlung für die Wahrung eines wichtigen öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor Gericht erforderlich ist,
5. die Übermittlung für die Wahrung lebenswichtiger Interessen des Betroffenen erforderlich ist oder
6. die Übermittlung aus einem Register erfolgt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offen steht, soweit die gesetzlichen Voraussetzungen im Einzelfall gegeben sind.
Die Stelle, an die die Daten übermittelt werden, ist darauf hinzuweisen, dass die übermittelten Daten nur zu dem Zweck verarbeitet oder genutzt werden dürfen, zu dessen Erfüllung sie übermittelt werden.
(2) Unbeschadet des Absatzes 1 Satz 1 kann die zuständige Aufsichtsbehörde einzelne Übermittlungen oder bestimmte Arten von Übermittlungen personenbezogener Daten an andere als die in § 4b Abs. 1 genannten Stellen genehmigen, wenn die verantwortliche Stelle ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweist; die Garantien können sich insbesondere aus Vertragsklauseln oder verbindlichen Unternehmensregelungen ergeben. Bei den Post- und Telekommunikationsunternehmen ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit zuständig. Sofern die Übermittlung durch öffentliche Stellen erfolgen soll, nehmen diese die Prüfung nach Satz 1 vor.
(3) Die Länder teilen dem Bund die nach Absatz 2 Satz 1 ergangenen Entscheidungen mit.
Eine ausdrückliche Einwilligung des Betroffenen zur Datenübertragung wäre aber laut ULD nur unter ganz hohe Anforderungen, wie einer ausführlichen und transparenten Aufklärung und auch nur dann zulässig, wenn es letztlich die freie Entscheidung des Betroffenen bleibt, ob die Übertragung stattfinden soll oder nicht. Also bei Arbeitnehmern wäre das schon nicht mehr möglich, soweit der Arbeitgeber keine Wahl lässt.
Im Ergebnis hat das ULD schließlich Zweifel, ob überhaupt der Einzelne eine Disposition über solche einschneidenden Grundrechtspositionen hat und führt die Rechtsprechung des Bundesverfassungsgerichts dazu an.
So bleiben am Ende nach Auffassung des ULD nur noch die Ausnahmen Nummer 2 und 3 übrig, die etwa bei Reise- und Flugbuchungen oder zum Abschluss oder zur Erfüllung eines im Interesse des Betroffenen geschlossenen Vertrages die Übermittlung der Daten in die USA erlauben würden.
Viel Spielraum ist das beileibe nicht. In allen anderen Fällen wäre die Übermittlung rechtswidrig.
Eine definitiv mehr als unbefriedigende Lösung, zumal das ULD am Ende gleich noch lapidar auf die Bußgeldtatbestände mit Bußgeldern bis zu 300.00 Euro hinweist und mitteilt, man werde den Erlass entsprechender Anordnungen prüfen.
Die irische Datenschutzbehörde ließ übrigens am 21.10.2015 laut eines Berichts von Beck-Online verlauten, man wolle sorgfältig die Rechtmäßigkeit der Datenübertragungen von Facebook in die USA prüfen. Facebook selbst hat Kooperation angekündigt.
Also: Nichts Genaues weiß man nicht, Die Situation ist undurchsichtiger denn je und letztlich weiß keiner so genau, wie das Thema in absehbarer Zeit wieder auf rechtmäßige Beine gestellt werden soll.
Wir werden weiter berichten.
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht