„Donald Trump, der neue US-Pr\u00e4sident ist kaum im Amt und schon wird einiges umgeworfen. Sein Aktivismus k\u00f6nnte auch Auswirkungen auf den europ\u00e4ischen Datenschutz haben, und zwar bei der Frage, wie die Beauftragung von US-Dienstleistern rechtlich zu gestalten ist.<\/p>\n
Donald Trump, der neue US-Pr\u00e4sident ist kaum im Amt und schon wird einiges umgeworfen. Sein Aktivismus k\u00f6nnte auch Auswirkungen auf den europ\u00e4ischen Datenschutz haben, und zwar bei der Frage, wie die Beauftragung von US-Dienstleistern rechtlich zu gestalten ist.<\/p>\n
Grunds\u00e4tzliches zur Daten\u00fcbermittlung an Dienstleister
\nM\u00f6chte ein Unternehmen an ein anderes Unternehmen innerhalb des europ\u00e4sichen Wirtschaftsraums (EWR) personenbezogene Daten zur Verarbeitung im Auftrag \u00fcbermitteln, muss ein sogenannter Auftragsdatenverarbeitungsvertrag gem\u00e4\u00df \u00a7 11 BDSG (Bundesdatenschutzgesetz) geschlossen werden.<\/p>\n
Wenn personenbezogene Daten hingegen durch einen au\u00dfereurop\u00e4ischen Dienstleister verarbeitet werden sollen, handelt es sich formal nicht um einen Fall der Auftragsdatenverarbeitung. Denn nach dem deutschen Datenschutzrecht werden au\u00dfereurop\u00e4ische Dienstleister (genauer: au\u00dferhalb des EWR) nicht im selben Ma\u00dfe privilegiert, wie europ\u00e4ische Auftragnehmern. W\u00e4hrend die Datenweitergabe im Fall der innereurop\u00e4ischen Auftragsdatenverarbeitung also ohne zus\u00e4tzlichen Begr\u00fcndungsaufwand erfolgen kann, muss die Weitergabe der betreffenden Daten an den au\u00dfereurop\u00e4ischen Dienstleister besonders gerechtfertigt werden,denn hier gelten die besonderen Anforderungen des BDSG f\u00fcr den Drittstaatentransfer.<\/p>\n
Danach muss das Datenschutzniveau im Drittstaat zus\u00e4tzlich zu den sonstigen Anforderungen beachtet werden. Einigen Drittstaaten wurde seitens der Europ\u00e4ischen Kommission bereits ein angemessenes Datenschutzniveau bescheinigt (sogenannte \u201esichere Drittstaaten\u201c wie z. B. Argentinien, Kanada, Schweiz). Diese Staaten werden datenschutzrechtlich europ\u00e4ischen \u201egleichgestellt\u201c, der Datenexport wird dadruch erleichtert.<\/p>\n
Rechtfertigung der Daten\u00fcbermittlung in die USA bisher
\nDa die USA nicht als sicherer Drittstaat anerkannt sind, ist die Daten\u00fcbermittlung dorthin schwieriger. Es m\u00fcssen vertraglich ausreichende Garantien zum Schutz des allgemeinen Pers\u00f6nlichkeitsrechts und der Aus\u00fcbung der damit verbundenen Rechte gew\u00e4hrleistet werden.<\/p>\n
Die Garantien werden in der Regel durch den Abschluss von EU-Standardvertragsklauseln mit den jeweiligen Unternehmen vereinbart oder sie bestehen f\u00fcr solche Unternehmen, die im \u201eEU-U.S. Privacy Shield\u201c (im Folgenden \u201ePrivacy Shield\u201c; hier finden Sie die Liste) registriert sind. US-Unternehmen k\u00f6nnen sich seit 01.08.2016 f\u00fcr das \u201ePrivacy Shield\u201c zertifizieren. Zwischenzeitlich haben bereits mehr als 1.500 Unternehmen von dieser M\u00f6glichkeit Gebrauch gemacht.<\/p>\n
Daran \u00e4ndert sich formal erstmal nichts. Dennoch ist es wichtig, gerade jetzt, aufgrund von Trumps neuestem Beschluss, die Zusammenarbeit mit US-Dienstleistern noch genauer unter die Lupe zu nehmen.<\/p>\n
Was hat Trump ge\u00e4ndert bzw. hat er \u00fcberhaupt was ge\u00e4ndert?
\nPr\u00e4sident Trump unterzeichnete am 25. Januar 2017 die Anordnung (Executive Order) zur \u201eVerbesserung der \u00f6ffentlichen Sicherheit\u201c. Darin ist u. a. folgende Regelung enthalten: \u201eAgencies shall, to the extent consistent with applicable law, ensure that their privacy policies exclude persons who are not United States citizens or lawful permanent residents from the protections of the Privacy Act regarding personally identifiable information.\u201d<\/p>\n
Auf Deutsch: \u201cSoweit dies mit anwendbarem Recht in Einklang steht, haben die Beh\u00f6rden sicherzustellen, dass solche Personen, die weder US-Staatsangeh\u00f6rige sind noch einen gesetzm\u00e4\u00dfigen st\u00e4ndigen Aufenthalt in den USA haben, vom Schutz des Privacy Act bez\u00fcglich ihrer personenbezogenen Daten ausgeschlossen sind.\u201d<\/p>\n
Derzeit \u00e4u\u00dfern sich einige wichtige Stimmen in der Datenschutzwelt, dahingehend dass die Anordnung Auswirkungen auf den \u201ePrivacy Act\u201c haben k\u00f6nnte. Der \u201ePrivacy Act\u201c sch\u00fctzte urspr\u00fcnglich pers\u00f6nliche Daten, die bei US-Unternehmen gespeichert sind, vor Massen\u00fcberwachung bzw. Zugriff durch Geheimdienste. Der \u201ePrivacy Act\u201c war wesentliche Grundlage daf\u00fcr, dass die Europ\u00e4ische Kommission einen Angemessenheitsbeschluss f\u00fcr eine Daten\u00fcbermittlung in die USA fasste und den \u201ePrivacy Shield\u201c etablierte, der die Daten\u00fcbermittlung an dort registrierte Unternehmen legitimierte.<\/p>\n
Mit der neuen Anordnung hat die US-Regierung nunmehr beschlossen, dass Ausl\u00e4nder gewisse Freiheitsrechte nicht mehr genie\u00dfen sollen. Problematisch ist hierbei, dass auch EU-B\u00fcrger durch dieses Gesetz ihren Schutz vor \u00dcberwachung durch Geheimdienste in den USA verlieren und die Geheimdienste nun \u201efreie Fahrt\u201c haben, Daten von nicht US-Staatsangeh\u00f6rigen bei US-Unternehmen anzufordern.<\/p>\n
Folge k\u00f6nnte sein, dass die Europ\u00e4ische Kommission ihren Angemessenheitsbeschluss f\u00fcr eine Daten\u00fcbermittlung in die USA zur\u00fccknimmt und deswegen auch das \u201ePrivacy Shield\u201c nicht mehr als Rechtfertigung f\u00fcr Datentransfers dienen d\u00fcrfte.<\/p>\n
Vor dem Hintergrund, dass das Privacy Shield \u2013 auch schon vor Trumps Executive Order \u2013 von vielen Seiten zum Teil scharf kritisiert wurde und gegen den Angemessenheitsbeschluss der Europ\u00e4ischen Kommission zum \u201ePrivacy Shield\u201cdie irische Datenschutzgruppe Digital Rights Ireland (DRI) am 16.09.2016 beim Gericht der Europ\u00e4ischen Union Nichtigkeitsklage eingereicht hat, scheint eine baldige ablehnende Reaktion der Europ\u00e4ischen Kommission gegen das \u201ePrivacy Shield\u201c umso wahrscheinlicher.<\/p>\n
Es stellt sich auch die Frage, inwieweit ein US-Unternehmen, das EU-Standartvertragsklauseln mit seinem europ\u00e4ischen Gesch\u00e4ftspartner abgeschlossen hat, nunmehr bei einer Anfrage des Geheimdienstes, die Herausgabe von ausl\u00e4ndischen Daten verweigern kann. Der Vorteil der EU-Standardvertragsklauseln ist aber zumindest der, dass hier innerparteilich die Unternehmen vereinbaren, dass das US-Unternehmen verpflichtet ist einen solchen Zugriff an den europ\u00e4ischen Gesch\u00e4ftspartner zu melden. So kann die Gesch\u00e4ftsbeziehung dann m\u00f6glicherweise rechtzeitig aufgek\u00fcndigt werden<\/p>\n
In Klausel 5 der EU-Standartvertragsklauseln hei\u00dft es insofern, dass der Datenimporteur (hier das US-US-Unternehmen) \u201eseines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs (hier das EU-Unternehmen) und die Einhaltung seiner vertraglichen Pflichten unm\u00f6glich machen, und eine Gesetzes\u00e4nderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen \u00c4nderung Kenntnis erh\u00e4lt; unter diesen Umst\u00e4nden ist der Datenexporteur berechtigt, die Daten\u00fcbermittlung auszusetzen und\/oder vom Vertrag zur\u00fcckzutreten\u201c<\/p>\n
Was bedeutet das f\u00fcr europ\u00e4ische Unternehmen?
\nDiese Informationen sollen zun\u00e4chst lediglich der St\u00e4rkung des Bewusstseins hinsichtlich der Zusammenarbeit mit US-Dienstleistern dienen und soll keinesfalls dazu f\u00fchren, die Zusammenarbeit mit US-Dienstleistern sofort einzustellen. Handlungsbedarf besteht hier zun\u00e4chst nicht, da sowohl das \u201ePrivacy Shield\u201c, als auch die EU-Standardvertragsklauseln immer noch rechtlichen Bestand haben und sich formal nichts ge\u00e4ndert hat. Das \u201ePrivacy Shield\u201c ist nicht au\u00dfer Kraft gesetzt und zu den EU-Standartvertragsklauseln hat sich die Europ\u00e4ische Kommission noch vor kurzem durch eine Aktualisierung des Standardwerks nochmal bekannt.<\/p>\n
Bisher handelt es sich bei der Anordnung um ein rein politisches Signal seitens der neuen US-Regierung, das sich (wahrscheinlich unbeabsichtigt) auf die Daten\u00fcbermittlung Europa \u2013 USA \u2013 bisher nur theoretisch -auswirkt bzw. in absehbarer Zeit praktisch auswirken kann.<\/p>\n
Handlungsempfehlung
\nUnsere Empfehlung ist erstmal, die weiteren Entwicklungen aufmerksam zu beobachten. Abzuwarten ist vor allem, wie die Europ\u00e4ische Kommission bzw. deutsche Datenschutzbeh\u00f6rden auf dieses Thema reagieren werden, denn bedenkenlos kann eine Daten\u00fcbermittlung in die USA theoretisch nicht mehr erfolgen. Praktisch k\u00f6nnen vor allem technische Vorkehrungen wie eine Verschl\u00fcsselung der \u00fcbermittelten Daten helfen, aber die nun bestehende Rechtsunsicherheit wird hierdurch nicht beseitigt.<\/p>\n
Wer auf der ganz sicheren Seite stehen will, wird sich bereits jetzt \u2013 um etwaigen zuk\u00fcnftigen Unannehmlichkeiten vorzubeugen \u2013 verst\u00e4rkt auf die Zusammenarbeit mit europ\u00e4ischen Dienstleistern konzentrieren.<\/p>\n
Autorinnen: Kathrin Sch\u00fcrmann (Bild links)ist Rechtsanw\u00e4ltin und Datenschutzexpertin bei ISiCO Datenschutz. Sie ist seit 2010 externe Datenschutzbeauftragte eines gro\u00dfen Online-H\u00e4ndlers. In ihrer Funktion als Datenschutzexpertin arbeitet Kathrin Sch\u00fcrmann als Beraterin f\u00fcr ISiCO Datenschutz, ein Unternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet. Beratungsschwerpunkte: IT- und Datenschutzrecht, Urheber- und Medienrecht und Gewerblicher Rechtsschutz.
\nInna Gendelman (Bild rechts) ist Rechtsanw\u00e4ltin und Beraterin f\u00fcr ISiCO Datenschutz. Sie ber\u00e4t ihre Mandanten (vorrangig aus dem Startup-Umfeld) bei der Entwicklung von Datenschutzkonzepten und der Vertragsgestaltung, bei der datenschutz- und wettbewerbsrechtskonformen Umsetzung von Online-Marketingvorhaben sowie bei app- und mobile-basierten Gesch\u00e4ftsmodellen.“<\/p>\n