30
Dez
2015
Figuren

EU-Standardvertragsklauseln: Datenschutzbehörde nimmt Unternehmen ins Visier

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) überprüft Unternehmen, die Daten in die USA übermitteln

Die Aufsichtsbehörden für den Datenschutz gehen gegen Unternehmen vor, die Daten in die USA übermitteln. Der vorliegende Beitrag beschreibt das Vorgehen der Datenschutzbehörden und zeigt seine Folgen für die Wirtschaft. Zudem fasst der Überblick mögliche Verteidigungsstrategien für Unternehmen zusammen.

Ausgangslage: Nach der Grundsatzentscheidung des EuGH zu Safe Harbor stehen Datenübermittlungen in die USA grundsätzlich auf dem Prüfstand. Denn einige der Kritikpunkte der Luxemburger Richter lassen sich gegebenenfalls auch auf Datentransfers auf der Grundlage von EU-Standardvertragsklauseln, Binding Corporate Rules (BCRs) oder anderen Datenübermittlungsverträgen nach § 4c Abs. 2 BDSG übertragen.

Position der Aufsichtsbehörden: Mehrere deutsche Aufsichtsbehörden haben bereits recht klar geäußert, dass sie auch die Übermittlung personenbezogener Daten in die USA auf der Grundlage von EU-Standardvertragsklauseln für unzulässig halten.  Weitere Informationen zu den Aussagen der Datenschutzbehörden finden Sie hier. Auch die EU-Kommission hat die Aufsichtsbehörden für den Datenschutz in einer Stellungnahme bereits recht unverhohlen aufgefordert, diese Frage vor den EuGH zu bringen (“In case of doubts, they should bring a case before a national court which in turn may make a request for a preliminary ruling to the Court of Justice.“).

Position der Datenschutzbehörde in Rheinland-Pfalz: Der LFDI RLP nimmt die Kommission offenbar beim Wort. Diese Behörde hat in einem Positionspapier einen sehr restriktiven Kurs angekündigt: “Eine Übermittlung von personenbezogenen Daten in die USA ist nur noch ausnahmsweise zulässig (§ 4c BDSG). Solche Übermittlungen bedürfen – abgesehen von den Sonderfällen des § 4c Abs. 1 BDSG – der ausdrücklichen Genehmigung des LfDI RLP. (…) Das Urteil des EUGH stellt auch die Wirksamkeit der Standard-Vertragsklauseln der EU-Kommission in Frage. Jedenfalls wird der LfDI RLP im Einzelfall prüfen, ob Datenimporteure in den USA ihrer vertraglichen Verpflichtung nachgekommen sind, zu garantieren, dass sie keinen Gesetzen unterliegen, die ihnen die Befolgung der Anweisungen des Datenexporteurs oder die Einhaltung ihrer vertraglichen Pflichten unmöglich machen und nachteilige Gesetzesänderungen in den USA (hier: USA Patriot Act 2001 und seine Folgeregelungen) dem Datenexporteur mitzuteilen. Ebenfalls wird der LfDI RLP prüfen, wie der Datenexporteur hierauf reagierte, ob er angemessene Konsequenzen gezogen und insbesondere von seinem vertraglichen Kündigungsrecht Gebrauch gemacht hat.

Datenschutzkontrollen des LfDI RLP: Die Behörde hat diese Ankündigung aus ihrem Positionspapier umgesetzt und Kontrollen bei 122 der größten Unternehmen in Rheinland-Pfalz begonnen. Erste Zwischenergebnisse dieser Datenschutzkontrollen nach § 38 Abs. 3 BDSG können Sie hier abrufen.

Zwischenergebnisse der Kontrollen: Zwar konnten 53 % der Unternehmen die Fragen des LfDI vollständig, plausibel und fristgerecht beantworten. Allerdings offenbarten 47 % der Unternehmen offenbarten  erhebliche, teils gravierende Defizite im Umgang mit personenbezogenen Daten von Kunden, Geschäftspartnern und Beschäftigten. 17 % der Unternehmen gaben zwar an, keine Datentransfers in die USA vorzunehmen, setzen sich dann laut LfDI RLP jedoch selbst in Widerspruch zu dieser Aussage: Diesen Unternehmen sei offensichtlich nicht klar, dass bei der Nutzung von Cloud-, System-, Büro-  oder Analytics- Diensten, Office 365 sowie sozialen Netzwerken regelmäßig personenbezogene Daten in die USA übermittelt werden – sei es beim Nutzen der Programme, bei Backups, Fernwartungen oder Updates – und dass sie hierfür verantwortlich sind. Dies gelte ebenfalls für den Einsatz von US-Dienstleistern bei Lohnabrechnungen, Reiseabwicklungen für Beschäftigte oder 24/7-Dienste.

Ankündigung weiterer Maßnahmen: Der LfDI sieht noch ganz erheblichen Aufklärungsbedarf bei den Unternehmen und kündigt weitere Schritte an. “Im Januar 2016 wird sich insbesondere weiter klären, ob es ein Nachfolgeabkommen zu Safe Harbor geben wird und ob der Einsatz von Standardvertragsklauseln eine sinnvolle Alternative darstellt. Der LfDI wird die verantwortlichen Stellen weiter auf Alternativen zu Datenverarbeitungen in den USA hinweisen, also auf Dienstleister, die Datenverarbeitungen ausschließlich innerhalb der EU oder in Staaten mit angemessenem Datenschutzniveau vornehmen.” Gerade der Hinweis am Ende dieser Aussage des LfDI lässt sich in der Praxis für Unternehmen jedoch leider kaum umsetzen. Beispielsweise lassen sich bestehende IT-Service-Verträge nicht ohne Weiteres mit einem bloßen Hinweis auf die Rechtsposition der Datenschutzbehörde kündigen.

Folgen für Unternehmen: Die Wirtschaft bleibt auf den Einsatz von EU-Standardvertragsklauseln angewiesen – auch wenn jedenfalls für Konzerne langfristig wohl BCRs die flexiblere und sichere Lösung bleiben. In vielen Fällen sind die Standardvertragsklauseln jedoch die einzig gangbare Möglichkeit, um personenbezogene Daten in zulässiger Weise in die USA oder in andere Drittstaaten ohne angemessenes Datenschutzniveau zu übermitteln. Der Vorschlag des LfDI, auf Dienstleister auszuweichen, die Daten ausschließlich in der EU oder anderen Staaten mit entsprechendem Datenschutzniveau verarbeiten, ist für viele Unternehmen schlicht nicht umsetzbar. Auch Datentransfers im Konzern lassen sich sich auf dieser Grundlage nicht ermöglichen.

Empfehlungen: Die Vorgaben des LfDI RLP betreffen Unternehmen in Rheinland-Pfalz direkt. Aber auch Wirtschaftsunternehmen in anderen Bundesländern sollten sich auf ähnliche Kontrollen durch andere Landesdatenschutzbehörden einstellen und vorbereiten. Sofern der LfDI oder andere Behörden ihren Ankündigungen noch konkretere Maßnahmen folgen lassen, werden sie einzelnen betroffenen Unternehmen verbieten, personenbezogene Daten auf der Basis von EU-Standardvertragsklauseln in die USA zu übermitteln. Da dies in vielen Fällen schlicht nicht umsetzbar ist, sollten Unternehmen auf ein entsprechendes Verfahren vor dem zuständigen Verwaltungsgericht gut vorbereitet sein. Zumal die Wahrscheinlichkeit hoch ist, dass das Verwaltungsgericht die Frage der Zulässigkeit von EU-Standardvertragsklauseln direkt dem EuGH vorlegt. Ein solcher Prozess sollte nicht nur organisatorisch und rechtlich gut vorbereitet sein. Betroffene Unternehmen sollten auch ihre Kommunikation- und Compliance-Abteilungen frühzeitig in die Planung einbinden. Einen umfassenden Überblick zu Handlungsoptionen und möglichen Verteidigungsmaßnahmen für Unternehmen können Sie hier abrufen.

Gerne stehen wir Ihnen auch direkt für Nachfragen und Anregungen zur Verfügung.

 

Verfasst von Tim Wybitul (aus der Sozietät ausgeschieden)