Entscheidung des Europäischen Gerichtshofs (EuGH) zum Datentransfer nach USA (Safe Harbor-Abkommen – Sicherer (Daten-)Hafen)
Frage: Ich habe als Unternehmer eine Webseite und nutze in diesem Zusammenhang verschiedene Dienste von US-Unternehmen (Analytics, Newsletterversand, Hosting, E-Mail-Dienst …). Bin ich dadurch von dem EuGH-Urteil zu Safe Harbor betroffen?
Antwort: Das ist eine datenschutzrechtliche Frage, bei der ich etwas ausholen muss, um sie verständlich zu beantworten. Der EuGH hat am 6.11.2015 entschieden, dass die Entscheidung der EU-Kommission zum sogenannte Safe Harbor Abkommen mit den USA ungültig ist. Um das zu verstehen, muss man einige Grundbegriffe kennen. Die Entscheidung betrifft ganz allgemeine das Datenschutzrecht. Als Webseitenbetreiber sind Sie für die Daten der Menschen verantwortlich, die Sie erheben und verarbeiten. Wenn jemand eine Seite aufruft, hierlässt er die IP-Adresse seines Rechner, von welcher Seite er kommt, welche Suchbegriffe er verwendet hat, welchen Browser, welches Betriebssystem etc. Wenn er dann noch ein Account auf der Seite hat, seine Daten in ein Kontaktformular schreibt, einen Newsletter bestellt oder eine E-Mail schreibt, können Sie diese Daten verknüpfen und haben personenbezogene Daten, für die das Datenschutzrecht einschlägig ist. Das Datenschutzrecht ist in Deutschland durch das Grundrecht auf informationelle Selbstbestimmung und in der EU durch die Grundrechts-Charta geschützt. In dieses Recht greift man ein, wenn man die Daten verarbeitet. „Verarbeiten“ ist ein Begriff, der das Speicher, Verändern, Übermitteln durch Weitergeben oder Einblick gewähren, Sperren oder Löschen umfasst. Also bereits das einfache Speichern einer Newsletterabonnentenliste bei einem Hostinganbieter ist Datenverarbeitung. Wenn dieser US-Anbieter in seinen AGB (Terms and Conditions, Privacy Statement) sich als „Safe Harbor“ zertifiziert ausgegeben hat, sind Sie von dem Urteil betroffen und dürfen im Grunde ab sofort den US-Dienst nicht mehr nutzen. Zwar haben die EU-Datenschutzaufsichtsbehörden der EU-Kommission eine Frist bis Ende Januar gegeben, ein neues Abkommen mit den USA zu verhandeln. Sie wollen solange nicht gezielt gegen die vormals auf Safe Harbor gestützte Datenübermittlungen vorgehen. Die deutschen Datenschutzaufsichtsbehörden habe erklärt, dass sich zwar solange nicht von sich aus aktiv werden, aber bei Beschwerden von Bürgern doch die Datenübermittlung untersagen oder gar ein Bußgeld bis zu 300.000 Euro verhängen können. Es gibt zwar noch ein paar wenige und nicht einfache juristische Auswege, aber das einfachste ist es sich nach Möglichkeit und so bald wie mögliche europäische Dienstleister zu suchen, die ihre Angebot auch komplett aus der EU heraus anbieten und nicht selbst US-Dienste in Anspruch nehmen.
Praxistipp: In Anbetracht der drohenden Bußgelder sollte jedes Unternehmen, ob Kleinunternehmer, KMU oder internationaler Konzern alle Datenverarbeitungsprozesse im eigenen Hause und erstrecht bei eingeschalteten Dienstleistern genau daraufhin überprüfen, ob dabei Daten von natürlichen Personen (nicht von juristischen Personen) verarbeitet werden und ob diese Daten in den USA verarbeitet werden und wenn ja, ob das bisher auf eine sogenannte Safe Harbor Zertifizierung der US-Dienstleister gestützt wurde. Wenn ja, muss man sich eine andere Rechtsgrundlage oder einen anderen Dienstleister suchen.
Genauere Informationen zu dem Urteil, den Hintergründen und der Bewertung finden Sie in meiner dreiteiligen Blog-Reihe unter
http://ka-rechtsanwalt.de/die-safe-harbor-entscheidung-des-eugh-teil-1-von-3/
David Seiler, Rechtsanwalt und Partner in der Rechtsanwaltskanzlei Kelleners & Albert www.ka-rechtsanwalt.de