Die Schlussanträge des Generalanwalts am EuGH in Sachen Schrems gegen die irische Datenschutzbehörde (C-362/14) haben in der präsentierten weitreichenden Deutlichkeit dann doch viele überrascht. Folgt der EuGH den Anträgen, werden mit einem Mal viele Datenübermittlungen in die USA unzulässig, weil die zugrundeliegenden Safe-Harbor-Zertifikate nicht mehr ausreichen, um ein angemessenes Datenschutzniveau im Sinne von § 4b Absatz 2 BDSG anzunehmen. Das Ende derartiger Übermittlungen wäre damit natürlich nicht besiegelt.

Verbotsprinzip für Datenübermittlungen

Viele Unternehmen bedienen sich an Online-Marketing-Tools aus dem Ausland. Häufig werde dabei auch personenbezogene Daten anfallen, auf die der ausländische Dienstleister auch zugreifen kann. Dabei gilt wie immer im Datenschutzrecht das Verbotsprinzip: Jede Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten bedarf der gesetzlichen Erlaubnis oder einer Einwilligung des Betroffen. Die Hürden für Übermittlungen von Daten in das EU-Ausland sind dabei noch einmal höher.

Keine Übermittlung dank ADV

Die Verarbeitung von personenbezogenen Daten erfasst auch deren Übermittlung an Dritte (§ 3 Abs. 4 Nr. 1 BDSG). Einer Einwilligung oder gesetzlichen Erlaubnis bedarf es jedoch dann nicht, wenn zwischen dem verantwortlichen Unternehmen und dem Anbieter des Marketing-Tools ein schriftlicher Auftragsdatenverarbeitungsvertrag (ADV) geschlossen wurde, der den gesetzlichen Anforderungen aus §§ 9 und 11 BDSG genügt. Der Anbieter gilt in diesem Falle nicht als Dritter und es wird fingiert, das die Datenverarbeitung innerhalb eines Unternehmens stattfindet. Folglich findet gar keine Übermittlung im datenschutzrechtlichen Sinne statt, die dem Verbotsprinzip unterliegt, mithin bedarf es keiner (weiteren) Rechtfertigung.

Übermittlung ins EU-Ausland

Ein ADV kann jedoch nur die Übermittlung von personenbezogenen Daten zwischen Unternehmen innerhalb der EU legitimieren. Eine Übermittlung in das EU-Ausland (z.B. Schweiz, Kanada, USA) unterliegt weiteren Anforderungen.

Nach § 4b Abs. 2 Satz 2 BDSG muss eine Übermittlung unterbleiben, wenn der Betroffene schutzwürdige Interessen am Ausschluss der Übermittlung hat. Dies nimmt das Gesetz insbesondere an, wenn ein angemessenes Datenschutzniveau bei dem Anbieter nicht gewährleistet ist. Um dagegen ein angemessenes Datenschutzniveau anzunehmen bestehen die folgenden Möglichkeiten:

(1) Safe-Harbor

Eine Möglichkeit ist, wenn sich der Anbieter den besagten Safe-Harbor-Regelungen unterworfen hat. Hierfür ist in den USA ein bestimmtes Zertifizierungsverfahren vorgesehen, welches von der EU-Kommission anerkannt wird. Diese hatte ein angemessenes Schutzniveau unter den Grundsätzen der Safe-Harbor-Prinzipien in den USA festgestellt.

Diese Entscheidung hat der Generalanwalt jedoch nun torpediert. Sollte der EuGH die Entscheidung für ungültig erklären, ließe sich eine Übermittlung in die USA nicht mehr anhand eines Safe-Harbor-Zertifikates rechtfertigen. Bereits heute fordern Aufsichtsbehörden von Unternehmen bei Übermittlungen in die USA genau hinzusehen, ob die hiesigen Datenschutzstandards auch tatsächlich eingehalten werden.

(2) Sichere Drittstaaten

Einige Staaten wurden als sogenanntes sicheres Drittland von der EU-Kommission akzeptiert. Hierzu gehören die Schweiz, Kanada, Israel, Australien, Neuseeland, Argentinien und andere, nicht aber die USA.

(3) Individueller Datenschutzvertrag

Denkbar ist aber auch der Abschluss eines Vertrages, mit dem sich die Parteien auf die Einhaltung der Grundregeln des europäischen Datenschutzrechtes verpflichten und dadurch ein ausreichender Schutz des Persönlichkeitsrechts garantiert ist (vgl. § 4c Abs. 2 BDSG). Allerdings bedarf es einer Prüfung und Genehmigung durch die zuständige Aufsichtsbehörde. Das kann in der Praxis langwierig sein. Gleiches gilt im Konzern für sog. Binding Corporate Rules.

(4) Standardvertragsklauseln

Die EU-Kommission hat mittlerweile drei Versionen der sog. Standardvertragsklauseln verabschiedet. Eine Übermittlung von personenbezogenen Daten auf Grundlage dieser Standardvertragsklauseln in das EU-Ausland ist zulässig. Es bedarf hierfür keiner zusätzlichen Genehmigung. Voraussetzung ist allerdings, dass die Klauseln nur in unveränderter Form verändert werden. Teilweise sind aber Ergänzung möglich, die auf einem schmalen Grad verlaufen.

Weitere Ausnahmen

Weitere Ausnahmen sieht § 4c Abs. 1 BDSG vor, wenn der Betroffene eingewilligt hat oder die Übermittlung zu bestimmten Zwecken zulässig ist.

Fazit

Ein Verzicht auf Safe-Harbor wäre kein Beinbruch. Gerade mit den Standardvertragsklauseln steht eine praktikable Alternative zur Verfügung, die zudem dazu taugt, den Blick für den Datenschutz zu schärfen. Es macht eben einen Unterschied, ob Unternehmen nach Automatismen Übermitteln oder eine vertragliche Vereinbarung treffen müssen.