Safe Harbor zum Dritten: Das Positionspapier der Datenschutzkonferenz und die Auswirkungen auf die Unternehmen

Am 06. Oktober gaben wir eine kurze Einschätzung zum Urteil EuGH C 362-/14, mit dem „Safe Harbor“ für ungültig erklärt wurde, ab. Am 14. Oktober setzten wir uns mit der ersten Stellungnahme des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (also der Schleswig-Holsteinischen Datenschutzbehörde) kritisch auseinander.

Zwischenzeitlich hat sich die Artikel 29 Gruppe sowie die Datenschutzkonferenz zu den Konsequenzen des Urteils für deutsche bzw. europäische Unternehmen geäußert. Dazu nun im Folgenden.

Das Statement der Art. 29-Gruppe

Zunächst hatte die Art. 29 Gruppe ein Statement eben zu der besagten EuGH-Entscheidung und deren praktischen Konsequenzen am Freitagabend, 16. Oktober, herausgegeben. Die Art. 29 Gruppe ist – vereinfacht ausgedrückt – der Düsseldorfer Kreis bzw. vielmehr die Datenschutzkonferenz auf europäischer Ebene, hier treffen sich die Vertreter der nationalen Datenschutzbeauftragten der EU zur Abstimmung, allerdings plus noch Vertreter der EU-Körper und der EU-Kommission (Wer es genau wissen will, bitte, hier.)

In diesem Statement wurden kurz die wichtigsten Punkte der EuGH-Entscheidung wiederholt und so dann die Mitgliedstaaten aufgerufen, sich (endlich) mit des US-Behörden, auf eine politische, technische und rechtliche Lösung bezüglich der Datentransfers zu einigen.

Zwischenzeitlich, jedenfalls bis Ende Januar 2016, sollen – nach dem Statement der Art. 29 Gruppe – EU-Standardverträge und Binding Corporate Rules weiter genutzt werden können. Im Wortlaut heißt es hier: During this period, data protection authorities consider that Standard Contractual Clauses and Binding Corporate Rules can still be used.

Soweit so gut. Theoretisch gab es also eine „Galgenfrist“ bis Ende Januar 2016, laut diesen Papieres, jedenfalls hinsichtlich der Standard-Verträge und BCRs. Jedenfalls so halb. Denn es hieß dort auch weiter  „In any case, this will not prevent data protection authorities to investigate particular cases, for instance on the basis of complaints, and to exercise their powers in order to protect individuals.

Anders ausgedrückt: Eigentlich lassen wir Sie bis Ende Januar in Ruhe, es sei denn, jemand beschwert sich über Sie. Dann können wir Ihr Unternehmen doch auseinander nehmen.

Ein Satz, der die ohnehin schon aufgeschreckten Compliance-Abteilungen zum weiteren Haareraufen animiert.

Das Positionspapier der Datenschutzkonferenz

Nun hat sich heute, am 26. Oktober, man mag fast „endlich“ rufen, auch die Datenschutzkonferenz zu einem Positionspapier zu Safe Harbor durchgerungen. Genau genommen handelt es sich um die Konferenz der Datenschutzbeauftragten des Bundes und der Länder.

[Exkurs*: Nicht zu verwechseln mit dem Düsseldorfer Kreis, der bis 2013 eine informelle Vereinigung der obersten Datenschutzbehörden für den nicht-öffentlichen Bereich, also für die Wirtschaft, darstellte und inzwischen ein Gremium der Datenschutzkonferenz ist. Die Beschlüsse des Düsseldorfer Kreises sind gegenüber den Behörden nicht verbindlich. Werden im Regelfall aber von diesen berücksichtigt. Selbst wenn es keine weitere Stellungnahme der DSK gibt. *Zur Sammlung einer Fleißkarte, vor allem bei Herrn Schmidt. ;)]

Das Positionspapier der Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder ist hier in voller Länge abrufbar.

Auch dieses Positionspapier fasst einmal kurz die EuGH-Entscheidung in den Punkten 1-4 zusammen. Erklärt sodann in den Punkten 5-10, was Unternehmen in Sachen Datentransfer zu tun haben und fordert in den Punkten 11-14 Gesetzgeber, Kommission und Regierung auf, endlich was zu tun (Klagerecht, Druck auf die USA, Umbrella Agreement, Datenschutzgrund-VO)

Klingt gut. Leider ist auch hier der praktische Nutzen für die Unternehmen beschränkt. Konkret heißt es in dem Papier unter anderem:

Nr. 5: Soweit Datenschutzbehörden Kenntnis über ausschließlich auf Safe-Harbor gestützte Datenübermittlungen in die USA erlangen, werden sie diese untersagen.

Nr. 6: Die Datenschutzbehörden werden bei Ausübung ihrer Prüfbefugnisse nach Art. 4 der jeweiligen Kommissionsentscheidungen zu den Standardvertragsklauseln vom 27. Dezember 2004 (2004/915/EG) und vom 5. Februar 2010 (2010/87/EU) die vom EuGH formulierten Grundsätze, insbesondere die Randnummern 94 und 95 des Urteils, zugrunde legen.

Nr. 7: Die Datenschutzbehörden werden derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von verbindlichen Unternehmensregelungen (BCR) oder Datenexportverträgen erteilen.

Nr. 8: Unternehmen sind daher aufgerufen, unverzüglich ihre Verfahren zum Datentransfer datenschutzgerecht zu gestalten. Unternehmen, die Daten in die USA oder andere Drittländer exportieren wollen, sollten sich dabei auch an der Entschließung der DSK vom 27.03.2014 „Gewährleistung der Menschenrechte bei der elektronischen Kommunikationâ?? und an der Orientierungshilfe „Cloud Computing“ vom 09.10.2014 orientieren.

Nr. 9 Eine Einwilligung zum Transfer personenbezogener Daten kann unter engen Bedingungen eine tragfähige Grundlage sein. Grundsätzlich darf der Datentransfer jedoch nicht wiederholt, massenhaft oder routinemäßig erfolgen.

Nr. 12: […] Ferner gilt es, zeitnah die Entscheidungen zu den Standardvertragsklauseln an die in dem EuGH-Urteil gemachten Vorgaben anzupassen.
Insoweit begrüßt die DSK die von der Art. 29-Gruppe gesetzte Frist bis zum 31. Januar 2016.

Das bedeutet, dass zum einen sehr verklausuliert – nämlich unter Verweis auf Randzeichen 94 und 95 – in Ziffer 6 die bisherigen EU-Standard-Verträge mehr oder minder für unwirksam erklärt werden.

Weiter werden BCRs sowie „individuelle“ Datenexport-Verträge auf den ersten Blick für null und void erklärt. Allerdings steht in Nr. 7 „werden keine neuen Genehmigungen … erteilen„. Dies liest sich im Zusammenhang mit dem Nachsatz der DSK in Nr. 12 bezüglich der Begrüßung der „Übergangsfrist“ der Art. 29 Gruppe jedoch so, als wenn hier gewollt eine Art „Bestandsschutz“ für bestehende BCRs und Datenexport-Verträge geschaffen würde. Gleiches gilt wohl (hoffentlich?!) bezüglich der EU-Standard-Vertragsklauseln, da hier eben davon die Rede ist, diese anzupassen. (Obacht: Es ist jedoch nicht ausgeschlossen, dass es sich bei diesen Formulierungen um ein „Redaktionsversehen“ handelt bzw. dieses Positionspapier so nun gerade nicht gelesen werden sollte.)

Und jetzt? 

Tja, nach erster Durchsicht des Papiers twitterte ich „Hurra, Hurra! Ein weiteres „Du redest laut, doch Du sagst gar nichts“ #positionspapier #dsk„. Und daran ändert sich – im Ergebnis – auch bei genauerem Lesen für die derzeit betroffenen Unternehmen leider nichts.

Denn in der Kurz-Zusammenfassung ist – meines Erachtens – auch dieses Papier wie folgt zu lesen:

Bemühen Sie sich als Unternehmen gefälligst jetzt um rechtskonformen Datenschutz im Hinblick auf Datentransfers in die die USA. Wir wissen zwar auch nicht richtig wie, aber jedenfalls eine Einwilligung könnte funktionieren. Und weil keiner nichts genaues weiß, lassen wir Sie bis Ende Januar mal in Ruhe. Wahrscheinlich. Vielleicht. Solange Sie keiner anschwärzt [Und hoffen ebenso wie Sie, liebes Unternehmen, dass sich bis dahin mal was in den USA getan hat!] 

Und jetzt mal „Butter bei die Fische!?(wie man im Norden sagt) bzw. „Was heißt das?“

Den Fischen Butter beizugeben, ist hier gar nicht so einfach.

Fangen wir mal mit dem Worst-Case an: Ja, theoretisch können die Datenschutzbehörden bei unzulässigen Datenübermittlungen in die USA Bußgelder von bis zu 300.000,00 EUR nach § 43 Abs. 2 Nr. 1 BDSG verhängen. Dass die Behörden jetzt gegenüber „Otto-Normal-Unternehmen“ von sich aus vorgehen, ist jedoch eher unwahrscheinlich. Daneben zeigt die Praxis, dass – erstmalig – erteilte Bußgeldbescheide bislang weit unter den angedrohten Höchstsummen lagen. Also, selbst wenn es zu einer Prüfung durch die DSB akut kommen sollte, ist in der Regel nicht unmittelbar mit einem Bescheid über 300.000,00 EUR zu rechnen.

Dennoch sollten Unternehmen die Entscheidung zu Safe Harbor und die Positionspapiere nicht auf die leichte Schulter nehmen, sondern sich – endlich – den Aufgaben des Datenschutzes (und nicht nur dieser einen) im Unternehmen zuwenden.

Und was machen wir als Unternehmen jetzt? 

Als Unternehmen können Sie derzeit eigentlich „nur“ das Folgende tun:

  • Prüfen Sie intern Ihre Datenerhebungen und -verarbeitung im Hinblick darauf, ob Sie personenbezogene Daten in die USA übermitteln,
  • Bedenken Sie dabei auch, dass Sie dringend Ihre Cloud- und Softwareanbieter/Dienstleister dahingehend prüfen müssen, ob diese ausschließlich Daten innerhalb Europas verarbeiten oder nicht.
  • Wenn die Prüfung zu dem Ergebnis führt, dass Datenweitergaben in die USA (oder sonstige nicht sichere Drittstaaten) erfolgen, dann prüfen Sie weiter, ob Agreements neben Safe-Harbor wie (genehmigte) Datenexport-Verträge oder BCRs bestehen und ob Sie ggf. auf dieser Basis bis Ende Januar arbeiten können.
  • Wenn es möglich ist, wechseln Sie Cloud- und/oder Software-Anbieter. Bestehende Verträge mit den Anbietern werden idR kein Hinderungsgrund sein, da eine Kündigung „aus wichtigem Grund“ (welcher hier wohl gegeben sein wird) grundsätzlich möglich ist.
  • Wenn Sie „offene Flanken“ haben und/oder faktisch Ihren Datentransfer aufgrund des Geschäftsmodells nicht einstellen können und/oder aus wirtschaftlichen Gründen – da zB. die Umstellung von etwa Office365 auf Anbieter XY bei einer Vielzahl von Mitarbeitern faktisch einfach Geld kostet – keine übereilten Entscheidungen treffen wollen, dann sollten Sie wenigstens verschiedene Szenarien planen und die aktuellen Ereignisse in Sachen „Safe Harbor“ genau verfolgen.

Was mit diesem letzten verschwurbelten Satz gemeint ist? Nun, die Probleme sind bekannt. Und alle Seiten, auch auf den politischen Ebenen, wissen, dass hier Lösungen gefunden werden müssen.

Folglich werden einerseits die Gesetzgeber, allen voran die EU und die USA mit Hochdruck an einer Lösung, u.a. dem sog. „Umbrella Agreement„, einem Datenschutzabkommen, arbeiten. Ganz „überraschend“ wurde hier letzte Woche  eine Hürde genommen: Das Repräsentatenhaus stimmte dem Entwurf („Judical Redress Act“) zu. Damit fehlt „nur noch“ die Zustimmung des US-Senats. [Allerdings findet auch dieser Entwurf bereits jetzt harsche Kritik. Es heißt, auch mit diesem werde kein hinreichendes Datenschutzniveau erreicht, insbesondere im Hinblick auf etwaige Eingriffsbefugnisse von Geheimdiensten. Den vollständigen Entwurf des Umbrella-Agreements kann man hier lesen.].

Andererseits werden die großen US-Unternehmen wie Google, Amazon, Microsoft und Co ihrerseits Druck an den entscheidenden Positionen ausüben, andererseits sich selbst aber bemühen, datenschutzkonforme Lösungen anzubieten. Nicht ohne Grund werden Server-Farmen in Europa ausgebaut und/oder bei Unternehmen T-Systems angemietet. Und zwar inklusive Wartung, um einen ausschließlich europäischen Datenschutz-Standard zu gewährleisten (Anmerkung: Jetzt kommt mir nicht mit der Praxis und dass auch dies Zugriffe im Zweifel nicht völlig ausschließt!).

In Folge dessen ist meines Erachtens davon auszugehen, dass hier kurzfristig Lösungen gefunden und auch wieder gangbare Alternativen für den Datenaustausch vorliegen werden. (Ich unverbesserlicher Optimist, ich!).

Kurz gesagt: Hektik und Hyperventilation – wie es von einigen Seiten suggeriert wird – ist derzeit nicht angebracht. Wohl aber ruhige Prüfungen und überlegtes Vorgehen im eigenen Haus.

Last but not least: Social PlugIns!? 

Zu den quer durch das europäische Web gepflasterten Social Plug-Ins und Werbe-IDs haben die Datenschützer noch kein Wort verloren. Schade eigentlich. Das wäre mal spannend. Vermutlich würde die Antwort zunächst auch hier lauten, abschalten, alles abschalten.

Wie ich bereits in den letzten Posts andeutete, ist hier all die weil – jedenfalls hinsichtlich der Social Plug-Ins – nur zu empfehlen, Lösungen wie Shariff u.ä. (die zunächst einen Datenaustausch unterbinden) zu implementieren und so dann auf wirksam erteilte Einwilligungen der User zu verweisen (wofür Sie vernünftige Datenschutzerklärungen benötigen).  Das ist kein 100% „sicherer“ Rettungsanker, aber der einzige, der derzeit diesbezüglich in Sicht und einfach praktisch umsetzbar ist.

Fazit

Es bleibt letztlich dabei, niemand weiß zu diesem Zeitpunkt nichts genaues. Denn eben die von den Behörden geforderte „Alternative“ zu bisherigen Datentransfers ist praktisch in Teilen nicht vorhanden.

In diesem Sinne,

ruhig bleiben, aber keinesfalls zu ruhig.