Safe Harbor, die erste Stellungnahme des Unabhängigen Landeszentrums für Datenschutz S-H (ULD) und die damit verbundenen Konsequenzen für Unternehmen

Nun, meine erste Einschätzung zur Entscheidung des EuGH C-362/14 gab es am 06. Oktober unter dem Titel „Aus, aus, aus! Safe Harbor ist aus!„. Dort hatte ich die Entscheidung des EuGH grob skizziert und klar gestellt, dass es aber unabhängig von Safe Harbor nach § 4c Abs. 1 Nr. 3 BDSG schon immer Möglichkeiten der Datenübermittlung an andere Stellen gab,  auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht (!) gewährleistet ist, nämlich dann, wenn:

  1. der Betroffene seine Einwilligung gegeben hat oder
  2. die Übermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, erforderlich ist oder
  3. die Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll […].

Ich schrieb ferner, dass noch nicht abzusehen ist, wie die Datenschutzbehörden dies im Zusammenhang mit dem ergangenen Urteil bewerten würden, dass aber wohl davon auszugehen sei, dass die nationalen Aufsichtsbehörden die Entscheidung mit Sicherheit dergestalt lesen werden, als ihnen die Entscheidung nun erweiterte (wiedererhaltene, durch die Kommissions-Entscheidung vorher beschnittene) Befugnisse gewährt.

Der  Hamburgische Beauftragte für Datenschutz ließ noch am selben Tag verlauten: „Bei der Umsetzung dieser Entscheidung werden die nationalen und europäischen Datenschutzbehörden künftig eine Schlüsselrolle einnehmen.“ (PM vom 06.10.2015).

Nun hat sich das Unabhängige Landeszentrum Schleswig-Holstein gestern mit dem Positionspapier des ULD zum Urteil des Gerichtshofs der Europäischen Union vom 6. Oktober 2015, C-362/14 zu Wort gemeldet.

Dieses mag in Gänze ein jeder selbst lesen. Im Wesentlichen besagt es das Folgende:

Ein Datenschutzabkommen mit den USA, dass dem Schutzniveau europäischem Rechts entsprechen könnte, ist kurz- wie mittelfristig nicht zu erwarten, da hierfür Änderungen des US-Amerikanischen Rechts notwendig wären (es dürfte keinen zweckfreien Zugriff mehr auf Kommunikationsdaten geben und es bedürfte wirksamen gerichtlichen Rechtsschutzes auch für europäische Bürger). Aus den gleichen Gründen würde im Ergebnis eine erneute Kommissions-Entscheidung dahingehend, dass die USA ein angemessenes Schutzniveau böten, scheitern („Safe Harbor“ war eine solche Kommissions-Entscheidung).

Dann wendet sich das ULD der oben genannten Norm § 4c Abs. 1 Nr. 3 BDSG zu.

Einwilligungen – nicht möglich

In diesem Zusammenhang erklärt es, dass Einwilligungen von Betroffenen quasi nicht wirksam eingeholt werden könnten. Denn selbst bei einer umfassenden Aufklärung darüber, dass man sich des europäischem Schutzniveaus begebe, könne der Einzelne eine derartige Disposition über seine Grundrechte nicht vornehmen. Das ULD verweist dabei pauschal auf Rechtsprechung des Bundesverfassungsgerichts (natürlich ohne eine konkrete Entscheidung zu nennen).

Dazu sei an dieser Stelle gesagt, dass diese pauschale Behauptung, der Einzelne könne per se keine wirksame Einwilligung zu einer Verarbeitung personenbezogener Daten unterhalb des Schutzniveaus der europäischen Union geben auch und gerade vor dem Hintergrund der Rechtssprechung so kaum belast- und haltbar ist.

Update, 15.10.2015: Der äußerst geschätzte Kollege Stephan Hansen-Oest hat sich gestern noch exakt mit dieser Einwilligungs-Thematik ausführlich beschäftigt und nimmt die Rechtsposition des ULD in seinem Artikel Meine Meinung zum Positionspapier des ULD zur Safe Harbor Entscheidung des EuGH konkret anhand bestehender Bundesverfassungsgerichtsurteile auseinander. Sehr lesenswert.

EU-Standard-Klauseln – unwirksam

Ebenfalls erteilt das ULD den EU-Standardklauseln eine Absage. Denn nach diesen garantiert der Datenimporteur gegenüber dem europäischen Datenexporteur unter anderem, dass er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen. Eben diesen vertraglichen Pflichten kann der US-Vertragspartner nun nicht mehr nachkommen, da eben solche Gesetze – bekanntermaßen – in den USA bestehen. An dieser Stelle: Soweit so folgerichtig.

Binding Corporate Rules und Social PlugIns – vermutlich unzulässig

Doch leider erklärt sich das ULD weder zu Binding Corporate Rules noch zu den ganzen Otto-Normal-Verbraucher-Social PlugIns und Datenübertragungen.

Nach der Logik des ULD müssten BCRs ebenfalls unzulässig sein. Denn BCRs sind ja ebenfalls nur privatrechtliche „bilaterale“, vielmehr innerkonzerne, Verträge, die ebenfalls keine US-Behörde draußen halten bzw. kein Bollwerk gegen deren Zugriffsberechtigungen darstellen würden.

Und Social PlugIns? Tja. Diese übermitteln personenbezogene Daten. Und zwar in der Regel weit mehr, als nur die IP-Adresse (die nach überwiegender Auffassung der behördlichen Datenschützer bereits ein personenbezogenes Datum darstellt, Hessen ist hier der einzige „Abweichler“). Gleiches gilt im Übrigen im Zweifel für all die Werbe-IDs, die Atlas, Apple, Google und zahlreiche Werbenetzwerke unermüdlich in die Accounts der User pflanzen (dazu ein anderes Mal mehr, bzw. kauft Euch/kaufen Sie sich ab Anfang November  „Social goes Mobile – Kunden gezielt erreichen„, Herausgegeben von Heike Scholz, darin nehme ich mich unter anderem auch dieses Themas an. 😉 ).

Also, alles abschalten! Denn selbst die beste Shariff-Lösung und/oder ausdrücklich Einwilligungen der User nützen – nach Auffassung des ULD nichts. Schließen wären selbst qua Vertrags-/Nutzungsbedingungen erteilte Einwilligungen der Nutzer zu derartigen Datenverarbeitung  nach Auffassung des ULD a unwirksam. Nun gut. Dann bleibt uns wenigstens der Webseiten-Overlay-Overkill erspart.

Datenübermittlung zur Vertragserfüllung – jedenfalls bei Reisebuchungen

Aber halt?! Vielleicht müssen wir doch nicht abschalten? Das ULD sieht eine Möglichkeit der zulässigen Datenverarbeitung Richtung USA, nämlich zu Zwecken der Vertragserfüllung. Und schließlich habe ich zum Beispiel mit Facebook einen Vertrag, Facebook bietet mir ein soziales Netzwerk. Im Internet. Und Social Plug-Ins, damit ich schnell mal was liken kann. Also zur Vertragserfüllung!? Oder!? Ähm…. nein. Facebook ist dem ULD bekanntermaßen (und ja, nicht ganz zu Unrecht) ein Dorn im Auge. Und so stellt das ULD in seinem Positionspapier klar, dass es bei der Übermittlung von personenbezogenen Daten zur Vertragserfüllung etwa um Reise- oder Flugbuchungen handeln kann. Ausgeschlossen seien jedoch ganz klar Beschäftigtendaten, da diese ja zur Verhaltens- und Leistungskontrolle ausgewertet werden (können). (Was ebenfalls eine sehr fragwürdige Argumentation ist. Denn was haben Leistungs- und Verhaltenskontrollen denn nun genau mit Safe Harbor zu tun? Derartige Kontrollen kann hier jeder Arbeitgeber auf die schnelle durchführen, dafür braucht er keinen amerikanischen Server. Ob er das darf, gleich auf welchem Server ist eine völlig andere Frage).

Also, herzlichen Glückwunsch! Sie können und dürfen einen Flug bei American Airlines buchen. Aber nicht als Company für Ihre Mitarbeiter. Denn dann werden Beschäftigtendaten übermittelt. Den Flug muss Ihr Arbeitnehmer schon privat buchen!

Okay, ich werde hier sehr polemisch …. Lassen wir das. Aufzeigen will ich jedoch damit, dass das Positionspapier selbst durchaus Widersprüche aufweist und darin enthaltene „klare Rechtspositionen“ oder „klare Schlüsse“ vielleicht gar nicht so klar sind.

Die Konsequenz des ULD-Papiers

Abschalten. Verbindungen in die USA kappen. Datenverkehr einstellen. (Außer Sie buchen einen Flug. Dann mag das okay sein.). Jedenfalls so lange bis die US endlich mal das Schutzniveau angehoben haben, dem einzelnen wirksamen Rechtschutz gewähren und ein „wirksames“ Datenschutzabkommen getroffen wurde.

Bis dahin prüft nun das ULD, ob es nicht Anordnungen gegen Unternehmen trifft, wonach diese die Datenübermittlung einstellen müssen und ob nicht bereits Ordnungswidrigkeitentatbestände verwirklicht haben. Als maximales Bußgeld stehen dabei 300.000 EUR auf der Uhr (vgl. 43 Abs. 2 Nr. 1 BDSG).

Wohl also dem, der seinen Firmensitz nicht in Schleswig-Holstein hat. Schließlich ist der Datenschutz Ländersache. Und diejenigen, die in den übrigen 15 Bundesländern sitzen, können jetzt erstmal abwarten, was denn „ihre“ Datenschutzbehörde so meint. Toll, oder?

Fazit

Es ist Wahnsinn. Einfach nur Wahnsinn. Da wird ewige Zeiten verschlafen, sich grundlegend um Datenschutz bzw. internationale Datenschutzniveaus zu kümmern (ist ja auch nicht so wichtig, geht ja eben „nur“ um den Datenschutz) und wundert sich dann über ein Urteil, dessen zu Grunde liegende Tatsachen nicht erst seit gestern bekannt sind.

Nun kann es aber doch nicht wirklich sein, dass eine von 16 (!) Datenschutzbehörde/n (!) dieses Urteil zum Anlass nimmt, ernsthaft zu sagen „Wir stellen wirksame Einwilligungen von Betroffenen in Abrede. Es gibt damit quasi keine datenschutzkonforme Möglichkeit der Übermittlung von personenbezogenen Daten in die USA. Im Zweifel müssen Sie die Datenübermittlung einstellen andernfalls überziehen wie Sie mit Anordnungen und Bußgeldbescheiden – jedenfalls in Schleswig-Holstein.“

Ich meine, natürlich gibt es Unternehmen, die mal eben fix Ihre Daten nach Magdeburg schaffen können (die reiben sich dort schon die Hände). Aber davon abgesehen, dass es zahlreiche Unternehmen gibt, die dass qua Geschäftsmodell nicht können, bitte wie viele Unternehmen arbeiten alleine mit Microsoft!? Ein Blick auf das Datenschutzcenter von Office 365 in Zusammenschau mit dem Positionspapier zeigt… tja, öhm, nach Auffassung des ULD alles null and void.

Also, um nicht missverstanden zu werden. Ich halte das Hochhalten, nein, überhaupt einmal Sicherstellen, von europäischen, Datenschutzniveaus und damit verbundenem effektiven Rechtsschutz für eine ganz elementare und außerordentlich wichtige Aufgabe. Die aber zuvörderst dringend von der EU gelöst werden muss.

Es ist schlicht Irrsinn, in einer Zeit, in denen sich bereits gefestigte Datenströme nicht mehr mal eben entwirren, abklemmen oder in national sichere überführen lassen, nun zwei Tage nach dem Urteil des EuGH, den betroffenen Unternehmen (!!), die bis zum 06. Oktober alles vermeintlich richtige getan zu haben, umgehend mit Anordnungen und Bußgeldbescheiden zu drohen. Noch dazu mit zum Teil äußerst fragwürdigen, jedenfalls keineswegs gesicherten Rechtsauffassungen.

Lösung?

Was dem Positionspapier wirklich fehlt, sind Lösungsansätze. Das ist sehr schade. Liegt aber wohl daran, dass es nach Auffassung des ULD eben keine andere Lösungen zu geben scheint, als Datenübermittlungen einzustellen oder eben auf den Bescheid der Behörde zu warten.

Insoweit bleibt wirklich nur zu hoffen, dass sich die anderen Datenschutzbehörden und im Ergebnis der Düsseldorfer Kreis, dieser Auffassung nicht anschließen. Und nicht Unternehmen, die – ich wiederhole mich – bis zum 06. Oktober alles richtig gemacht haben, für das Verschlafen der Politik augenblicklich bestraft werden, sondern vernunftgemäße Übergangsfristen sund einen Rahmen für datenschutzkonformes Arbeiten (mit)schaffen.

Liebes ULD,

ihr wolltet doch eigentlich auch sagen, dass ihr selbstverständlich Übergangsfristen setzen wollt, Einwilligungen und EU-Standard-Verträgen nicht per se eine Absage erteilt und dass ihr natürlich mit Eurer Datenschutz-Expertise alles in Eurer Macht stehende tun wollt, um ein den europäischen Grundrechten entsprechendes Datenschutzabkommen mit den USA voranzutreiben, oder?

In diesem Sinne,

wir dürfen alle weiter gespannt bleiben!

PS: Wenn Ihnen irgendein ein Anwalt derzeit sagt, er wisse sicher (!), was Sie jetzt tun müssten, dann können Sie sicher sein, dass er zu diesem Zeitpunkt lügt. Es sei denn er sagt Ihnen, dass Sie tatsächliche schlicht alle Datenübermittlungen einstellen sollen. Hinsichtlich aller anderen Hinweise gilt: Derzeit weiß niemand nichts genaues. Auch ihr Anwalt nicht. We are sorry.

PPS: Für diejenigen, die maßgeblich die Social Plug-In Frage interessiert: Also, Sie können sich hinsichtlich der Personenbeziehbarkeit von IP-Adressen auf den Standpunkt stellen, dass dies nicht der Fall ist (Frage liegt derzeit beim EuGH) Und Sie können Einwilligungen der Nutzer einholen und sich auf den Standpunkt stellen, dass diese sehr wohl wirksam eingeholt werden. Ob diese Auffassungen Bestand haben werden… tja, wie gesagt, niemand weiß nichts genaues.