Privacy Shield, Safe Harbor vs. DSGVO: Rechtslage beachten!

Beim EU-US Privacy Shield handelt es sich um ein Übereinkommen im Datenschutzrecht, das zwischen der Europäischen Union und den Vereinigten Staaten von Amerika (USA) ausgehandelt wurde. Ob und wie Sie den Datentransfer von Deutschland in die USA auch jetzt, nach Wirksamwerden der Datenschutzgrundverordnung (DSGVO), rechtssicher gestalten – wir verraten es Ihnen in unserem Gastbeitrag von Sabine Heukrodt-Bauer, LL.M. Fachanwältin für Informationstechnologierecht (IT-Recht) und Fachanwältin für gewerblichen Rechtsschutz.

E-Mail-Marketing und das Privacy Shield – Gibt es Änderungsbedarf aufgrund des neuen EU-Datenschutzrechts?

Sabine Heukrodt-Bauer,
LL.M. Fachanwältin für Informationstechnologierecht (IT-Recht)
Fachanwältin für gewerblichen Rechtsschutz
zum Thema "Privacy Shield vs. DSGVO"

Die Bedeutung des transatlantischen Datenverkehrs ist für die deutsche Wirtschaft unbestritten hoch. Viele Unternehmen nutzen Cloud-Computing-Lösungen von Anbietern, die ihren Sitz in den USA haben bzw. bei denen die Server in den USA stehen. Im E-Mail-Marketing werden dazu allerdings personenbezogene Daten von Deutschland in die USA übertragen. Das ist nur unter ganz bestimmten datenschutzrechtlichen Vorgaben zulässig. Hinzu kommt, dass zum 25.05.2018 die neue Datenschutz-Grundverordnung (DSGVO) in allen Mitgliedsländern der Europäischen Union in Kraft tritt. Bei Verstößen drohen künftig hohe Bußgelder für denjenigen, der sich nicht an die Vorschriften hält. Je nach Verstoß können hier bis zu 10 Mio. EUR bzw. 20 Mio. EUR oder bis zu 4 Prozent des gesamten, weltweit erzielten Jahresumsatzes verhängt werden.

Safe Harbor, Privacy Shield – Was gilt den nun?

Früher konnte der Datentransfer zu Anbietern mit Servern in den USA auf der Grundlage des sog. „Safe Harbor“-Datenschutzabkommens erfolgen, das die USA und die Europäische Union (EU) verabschiedet hatten. Am 6.10.2015 entschied jedoch der Europäische Gerichtshof, dass das Datenschutzniveau in den USA keineswegs dem der EU vergleichbar sei und die USA nicht als sicheres Drittland für die Datenverarbeitung anzusehen seien. Daraufhin war jegliche Übertragung von personenbezogenen Daten auf Server in die USA zunächst unzulässig, und gegen einige größere Unternehmen wurden in den folgenden Monaten auch Bußgelder verhängt.

Seit dem 12. Juli 2016 gilt nun als „Nachfolgemodell“ der sog. „EU-US-Privacy-Shield“, der zwischen den USA und der EU ausgehandelt wurde. Hier wurden neue Datenschutzvorgaben für US-Firmen, der Datenzugriff von US-Behörden, eine Rechtsdurchsetzung Betroffener in den USA, aber auch bestimmte Review-Mechanismen neu geregelt. Das Privacy-Shield stellt die aktuelle Rechtsgrundlage dar, wenn es um den Datentransfer in die USA geht.

Was sind eigentlich personenbezogene Daten?

Datenschutzrechtlich problematisch wird es grundsätzlich immer erst dann, sobald „personenbezogene Daten“ in die USA übertragen werden sollen. Nach dem aktuellen Bundesdatenschutzgesetz (BDSG) handelt es sich dabei um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Was „bestimmbar“ ist, war in den letzten Jahren immer streitig. Die Datenschutzbehörden gingen jedoch schon immer davon aus, dass E-Mail-Adressen, Cookies oder auch IP-Adressen zu den personenbezogenen Daten gehören.

Mit der DSGVO wird der Begriff jetzt klargestellt und auch erweitert. Zu den personenbezogenen Daten gehören alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann (Art. 4 Nr. 1 DSGVO). Es reicht also aus, dass eine Person auch nur theoretisch, zum Beispiel aufgrund des Zusammenführens von Daten, identifiziert werden kann.

Im E-Mail-Marketing bedeutet das: Auch bei anonymen E-Mail-Adressen, wie etwa mickeymouse100@hotmail.com, liegt der Personenbezug vor, weil der Adressinhaber letztlich identifiziert werden kann. Die Anforderungen der DSGVO und des Privacy-Shields sind also grundsätzlich auch in einem solchen Fall einzuhalten. (Hier finden Sie eine DSGVO Checkliste mit den wichtigsten Anforderungen, wie Sie E-Mail-Marketing und Lead Management rechtskonform gestalten.)

Wie ist vorzugehen, wenn Daten in die USA transferiert werden sollen?

Europäische Unternehmen, die ihre personenbezogenen Daten in den USA verarbeiten, müssen aktuell diese Punkte beachten:

1. Besitzt das US-Unternehmen ein gültiges Zertifikat?

Ob Ihr spezieller Dienstleister das erforderliche Zertifikat besitzt, ist über die Liste des US-Handelsministeriums zu überprüfen, in der sich die Unternehmen eintragen lassen können:

www.privacyshield.gov/list

Diese Zertifikate sind jährlich zu erneuern und wieder nachzuweisen.

Falls ein Unternehmen nicht gelistet sein sollte, verweist die Artikel 29-Datenschutzgruppe, das ist der Zusammenschluss von Vertretern aller europäischen Datenschutzaufsichtsbehörden, im Rahmen ihrer Leitlinien auf die Möglichkeit der vertraglichen Bindung unter Verwendung der sogenannten EU-Standardvertragsklauseln hin. Informationen dazu finden Sie hier.

2. Werden die Anforderungen einer Auftragsdatenverarbeitung erfüllt?

Erfolgt eine Verarbeitung personenbezogener Daten im Auftrag eines europäischen Unternehmens durch ein US-Unternehmen, müssen die involvierten Parteien nach derzeitiger Rechtslage einen schriftlichen, separaten Vertrag zur Auftragsverarbeitung nach § 11 BDSG abschließen. Bei den meisten Cloud-Diensten dürfte eine solche Auftragsdatenverarbeitung vorliegen.

Mit Inkrafttreten der neuen DSGVO zum 25.05.2018 ist zwar ein separater Vertrag nicht mehr erforderlich, aber die „Auftragsverarbeitung“, wie sie dann nach Art. 28, 29 DSGVO heißt, muss trotzdem vertraglich geregelt werden. Die neue DSGVO sieht dann allerdings diverse eigene Verpflichtungen des Auftragnehmers, also des Auftragsverarbeiters vor, so dass sämtliche Verträge bis Mai 2018 nochmals angepasst werden müssen.

Gilt das Privacy Shield auch noch nach Inkrafttreten der DSGVO?

Im April 2017 gab es die Anfrage einer Abgeordneten des EU-Parlaments, ob denn das Privacy Shield die Anforderungen der DSGVO erfüllen kann. Die zuständige EU-Kommissarin antwortete, dass das der Fall sei.

Insoweit ist allerdings anzumerken, dass sich die EU-Kommission in der Vergangenheit weder zum Safe-Harbor-Abkommen, noch zum Privacy Shield je kritisch geäußert hätte oder gar tätig geworden ist. Festzuhalten ist, dass es erhebliche, datenschutzrechtliche Bedenken gegen das Privacy Shield gibt, die im Rahmen des Inkrafttretens der DSGVO auch nicht gelöst werden. Dem entsprechen die Veröffentlichungen der Artikel-29-Datenschutzgruppe, die sich bislang recht kritisch mit dem Privacy Shield auseinandersetzt.

Das Privacy Shield sieht außerdem eine jährliche Überprüfung seiner Wirksamkeit vor. Die erste Überprüfung fand gerade mit einem positiven Ergebnis seitens der EU-Kommission statt (vgl. Pressemitteilung der EU-Kommission vom 18.10.2017).

Daher gelten auch mit Inkrafttreten der DSGVO am 25.05.2018 weiterhin die dargestellten Anforderungen an den transatlantischen Datenverkehr. Bestehende Verträge mit US-Firmen sollten also frühzeitig – insbesondere auf die neuen Rechte und Pflichten im Bereich der Auftragsverarbeitung – auf den Stand ab dem 25.05.2018 angepasst werden.

Herrscht jetzt Rechtssicherheit im transatlantischen Datenverkehr?

Das Privacy Shield steht schon seit seinem Inkrafttreten stark in der Kritik und ist von Beginn an umstritten. Sollte es ebenfalls vom Europäischen Gerichtshof für unwirksam erklärt werden, stehen deutsche Unternehmen, die Cloud-Anbieter in den USA nutzen, unter starkem Zeitdruck. Es sollen bereits einige Klagen eingereicht worden sein. Aber auch die aktuelle Politik des US-Präsidenten Trump, der am 25.01.2017 eine Anordnung zur Verbesserung der Inneren Sicherheit in den USA (Executive Order: Enhancing Public Safety in the Interior of the United States) erlassen hat, sorgte bei der EU Kommission für Diskussionsbedarf. Das EU-Parlament hat in diesem Zusammenhang am 05.04.2017 eine kritische Resolution zum Privacy Shield angenommen und letztlich die vorhandenen Zweifel an seiner Vereinbarkeit mit europäischen Datenschutzgrundsätzen bekräftigt.

Privacy Shield vs. DSGVO - Was zu empfehlen ist?

In jedem Fall sollte die aktuelle Entwicklung im transatlantischen Datenverkehr im Auge behalten werden. Wie aufgezeigt, ist die Rechtslage nach wie vor extrem unsicher. Dies führt dazu, dass Unternehmen sich für den Fall der Fälle neben dem Privacy Shield um Alternativen bemühen sollten.

Zu nennen sind hier besonders die bereits erwähnten EU-Standardvertragsklauseln, mit denen das Datenschutzniveau ebenfalls gewährleistet werden kann. Diese Lösung könnte sogar mit dem Privacy Shield als „Sicherheitsnetz“ kombiniert werden. Wichtig ist, dass Unternehmen laufend die aktuelle Rechtslage zum Datentransfer in die USA beobachten, um gegebenenfalls vorbereitet zu sein und schnell reagieren zu können.

Sollte das Privacy Shield „kippen“ und Unternehmen nicht sofort reagieren oder vorbereitet sein, könnten Unternehmen kurzfristig von den zuständigen Datenschutzbehörden aufgefordert werden, die betroffenen Daten sofort auf einen Server innerhalb der EU zu übertragen. Soweit also die Nutzung von Cloud-Services von US-Anbietern mit Servern in den USA nicht unbedingt erforderlich ist, sollten deutsche bzw. europäische Unternehmen auch überlegen, möglichst direkt auf Anbieter mit Servern innerhalb der EU zurückzugreifen. So können sie allen Problemen langfristig aus dem Weg gehen.