„Donald Trump, der neue US-Präsident ist kaum im Amt und schon wird einiges umgeworfen. Sein Aktivismus könnte auch Auswirkungen auf den europäischen Datenschutz haben, und zwar bei der Frage, wie die Beauftragung von US-Dienstleistern rechtlich zu gestalten ist.
Donald Trump, der neue US-Präsident ist kaum im Amt und schon wird einiges umgeworfen. Sein Aktivismus könnte auch Auswirkungen auf den europäischen Datenschutz haben, und zwar bei der Frage, wie die Beauftragung von US-Dienstleistern rechtlich zu gestalten ist.
Grundsätzliches zur Datenübermittlung an Dienstleister
Möchte ein Unternehmen an ein anderes Unternehmen innerhalb des europäsichen Wirtschaftsraums (EWR) personenbezogene Daten zur Verarbeitung im Auftrag übermitteln, muss ein sogenannter Auftragsdatenverarbeitungsvertrag gemäß § 11 BDSG (Bundesdatenschutzgesetz) geschlossen werden.
Wenn personenbezogene Daten hingegen durch einen außereuropäischen Dienstleister verarbeitet werden sollen, handelt es sich formal nicht um einen Fall der Auftragsdatenverarbeitung. Denn nach dem deutschen Datenschutzrecht werden außereuropäische Dienstleister (genauer: außerhalb des EWR) nicht im selben Maße privilegiert, wie europäische Auftragnehmern. Während die Datenweitergabe im Fall der innereuropäischen Auftragsdatenverarbeitung also ohne zusätzlichen Begründungsaufwand erfolgen kann, muss die Weitergabe der betreffenden Daten an den außereuropäischen Dienstleister besonders gerechtfertigt werden,denn hier gelten die besonderen Anforderungen des BDSG für den Drittstaatentransfer.
Danach muss das Datenschutzniveau im Drittstaat zusätzlich zu den sonstigen Anforderungen beachtet werden. Einigen Drittstaaten wurde seitens der Europäischen Kommission bereits ein angemessenes Datenschutzniveau bescheinigt (sogenannte „sichere Drittstaaten“ wie z. B. Argentinien, Kanada, Schweiz). Diese Staaten werden datenschutzrechtlich europäischen „gleichgestellt“, der Datenexport wird dadruch erleichtert.
Rechtfertigung der Datenübermittlung in die USA bisher
Da die USA nicht als sicherer Drittstaat anerkannt sind, ist die Datenübermittlung dorthin schwieriger. Es müssen vertraglich ausreichende Garantien zum Schutz des allgemeinen Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte gewährleistet werden.
Die Garantien werden in der Regel durch den Abschluss von EU-Standardvertragsklauseln mit den jeweiligen Unternehmen vereinbart oder sie bestehen für solche Unternehmen, die im „EU-U.S. Privacy Shield“ (im Folgenden „Privacy Shield“; hier finden Sie die Liste) registriert sind. US-Unternehmen können sich seit 01.08.2016 für das „Privacy Shield“ zertifizieren. Zwischenzeitlich haben bereits mehr als 1.500 Unternehmen von dieser Möglichkeit Gebrauch gemacht.
Daran ändert sich formal erstmal nichts. Dennoch ist es wichtig, gerade jetzt, aufgrund von Trumps neuestem Beschluss, die Zusammenarbeit mit US-Dienstleistern noch genauer unter die Lupe zu nehmen.
Was hat Trump geändert bzw. hat er überhaupt was geändert?
Präsident Trump unterzeichnete am 25. Januar 2017 die Anordnung (Executive Order) zur „Verbesserung der öffentlichen Sicherheit“. Darin ist u. a. folgende Regelung enthalten: „Agencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.”
Auf Deutsch: “Soweit dies mit anwendbarem Recht in Einklang steht, haben die Behörden sicherzustellen, dass solche Personen, die weder US-Staatsangehörige sind noch einen gesetzmäßigen ständigen Aufenthalt in den USA haben, vom Schutz des Privacy Act bezüglich ihrer personenbezogenen Daten ausgeschlossen sind.”
Derzeit äußern sich einige wichtige Stimmen in der Datenschutzwelt, dahingehend dass die Anordnung Auswirkungen auf den „Privacy Act“ haben könnte. Der „Privacy Act“ schützte ursprünglich persönliche Daten, die bei US-Unternehmen gespeichert sind, vor Massenüberwachung bzw. Zugriff durch Geheimdienste. Der „Privacy Act“ war wesentliche Grundlage dafür, dass die Europäische Kommission einen Angemessenheitsbeschluss für eine Datenübermittlung in die USA fasste und den „Privacy Shield“ etablierte, der die Datenübermittlung an dort registrierte Unternehmen legitimierte.
Mit der neuen Anordnung hat die US-Regierung nunmehr beschlossen, dass Ausländer gewisse Freiheitsrechte nicht mehr genießen sollen. Problematisch ist hierbei, dass auch EU-Bürger durch dieses Gesetz ihren Schutz vor Überwachung durch Geheimdienste in den USA verlieren und die Geheimdienste nun „freie Fahrt“ haben, Daten von nicht US-Staatsangehörigen bei US-Unternehmen anzufordern.
Folge könnte sein, dass die Europäische Kommission ihren Angemessenheitsbeschluss für eine Datenübermittlung in die USA zurücknimmt und deswegen auch das „Privacy Shield“ nicht mehr als Rechtfertigung für Datentransfers dienen dürfte.
Vor dem Hintergrund, dass das Privacy Shield – auch schon vor Trumps Executive Order – von vielen Seiten zum Teil scharf kritisiert wurde und gegen den Angemessenheitsbeschluss der Europäischen Kommission zum „Privacy Shield“die irische Datenschutzgruppe Digital Rights Ireland (DRI) am 16.09.2016 beim Gericht der Europäischen Union Nichtigkeitsklage eingereicht hat, scheint eine baldige ablehnende Reaktion der Europäischen Kommission gegen das „Privacy Shield“ umso wahrscheinlicher.
Es stellt sich auch die Frage, inwieweit ein US-Unternehmen, das EU-Standartvertragsklauseln mit seinem europäischen Geschäftspartner abgeschlossen hat, nunmehr bei einer Anfrage des Geheimdienstes, die Herausgabe von ausländischen Daten verweigern kann. Der Vorteil der EU-Standardvertragsklauseln ist aber zumindest der, dass hier innerparteilich die Unternehmen vereinbaren, dass das US-Unternehmen verpflichtet ist einen solchen Zugriff an den europäischen Geschäftspartner zu melden. So kann die Geschäftsbeziehung dann möglicherweise rechtzeitig aufgekündigt werden
In Klausel 5 der EU-Standartvertragsklauseln heißt es insofern, dass der Datenimporteur (hier das US-US-Unternehmen) „seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs (hier das EU-Unternehmen) und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten“
Was bedeutet das für europäische Unternehmen?
Diese Informationen sollen zunächst lediglich der Stärkung des Bewusstseins hinsichtlich der Zusammenarbeit mit US-Dienstleistern dienen und soll keinesfalls dazu führen, die Zusammenarbeit mit US-Dienstleistern sofort einzustellen. Handlungsbedarf besteht hier zunächst nicht, da sowohl das „Privacy Shield“, als auch die EU-Standardvertragsklauseln immer noch rechtlichen Bestand haben und sich formal nichts geändert hat. Das „Privacy Shield“ ist nicht außer Kraft gesetzt und zu den EU-Standartvertragsklauseln hat sich die Europäische Kommission noch vor kurzem durch eine Aktualisierung des Standardwerks nochmal bekannt.
Bisher handelt es sich bei der Anordnung um ein rein politisches Signal seitens der neuen US-Regierung, das sich (wahrscheinlich unbeabsichtigt) auf die Datenübermittlung Europa – USA – bisher nur theoretisch -auswirkt bzw. in absehbarer Zeit praktisch auswirken kann.
Handlungsempfehlung
Unsere Empfehlung ist erstmal, die weiteren Entwicklungen aufmerksam zu beobachten. Abzuwarten ist vor allem, wie die Europäische Kommission bzw. deutsche Datenschutzbehörden auf dieses Thema reagieren werden, denn bedenkenlos kann eine Datenübermittlung in die USA theoretisch nicht mehr erfolgen. Praktisch können vor allem technische Vorkehrungen wie eine Verschlüsselung der übermittelten Daten helfen, aber die nun bestehende Rechtsunsicherheit wird hierdurch nicht beseitigt.
Wer auf der ganz sicheren Seite stehen will, wird sich bereits jetzt – um etwaigen zukünftigen Unannehmlichkeiten vorzubeugen – verstärkt auf die Zusammenarbeit mit europäischen Dienstleistern konzentrieren.
Autorinnen: Kathrin Schürmann (Bild links)ist Rechtsanwältin und Datenschutzexpertin bei ISiCO Datenschutz. Sie ist seit 2010 externe Datenschutzbeauftragte eines großen Online-Händlers. In ihrer Funktion als Datenschutzexpertin arbeitet Kathrin Schürmann als Beraterin für ISiCO Datenschutz, ein Unternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet. Beratungsschwerpunkte: IT- und Datenschutzrecht, Urheber- und Medienrecht und Gewerblicher Rechtsschutz.
Inna Gendelman (Bild rechts) ist Rechtsanwältin und Beraterin für ISiCO Datenschutz. Sie berät ihre Mandanten (vorrangig aus dem Startup-Umfeld) bei der Entwicklung von Datenschutzkonzepten und der Vertragsgestaltung, bei der datenschutz- und wettbewerbsrechtskonformen Umsetzung von Online-Marketingvorhaben sowie bei app- und mobile-basierten Geschäftsmodellen.“
Trump und der Datenschutz: Worauf müssen sich Unternehmen in der EU einstellen?
