Bekanntlich hat der EuGH entschieden, dass das Safe Habor Abkommen unwirksam ist und die jeweiligen Datenschutzbehörden eigenständig die Rechtmäßigkeit der Datenübermittlung in die USA überprüfen können (vergleiche: Was die EuGH-Entscheidung zu Safe Harbor wirklich bedeutet).

IT-Outsourcing und Cloud ComputingFür die Beratungspraxis stellt sich nun die Frage, wie international operierende Vertragsparteien mit dieser Situation umgehen sollen. Relevant ist diese Frage für alle Datentransfers personenbezogener Daten mit US-Berührungen.
Neben Facebook und Google sind für den eCommerce vor allem Payment Themen wie Kartenzahlung, Fraud Prevention oder auch Cloud Services genannt. Bei Licht betrachtet dürfte daher im eCommerce Bereich ein Großteil der Unternehmen betroffen sein. Darüber hinaus nutzen aber auch eine Vielzahl von Unternehmen SaaS-Services mit IT-Infrastrukturen in den USA.

Gegenwärtiger Stand ist, dass zwar die Datenübertragung noch nicht als rechtswidrig festgestellt wurde; das obiter dictum des EuGH lässt indes mit den Verweisen auf Patriot Act und Snowden erwarten, dass die Entscheidung der zuständigen Datenschutzbehörden dorthin gehen wird.

Was also tun?

Als Interimslösung wird die Nutzung der EU-Standardvertragsklauseln oder Corporate Binding Rules empfohlen. Diese Maßnahme dürfte aber ohne Einsatz der Politik nur bis Ende Januar 2015 helfen. Problematisch ist nämlich, dass – vergleichbar mit Safe Habor – die EU-Standardvertragsklauseln die vertragliche Bestätigung vorsehen, wonach – zusammengefasst – der Vertragspartner bestätigt, dass im datenverarbeiteten Land eine angemessenes Datenschutzniveaus gegeben ist:

EU-Standard-5b

 

 

Vor dem Hintergrund der Ausführung des EuGH dürfte dies für die USA höchst zweifelhaft sein. Anzumerken ist, dass die Art. 29 Gruppe und in deren Fahrwasser die Datenschutzbehörden den Unternehmen – mehr oder weniger – eine Grace Period (nur) bis Ende Januar 2015 eingeräumt haben.

Betrachtet man die jüngsten Anschläge und daraus gezogenen politischen Konsequenzen dürfte fraglich sein, ob auf politischem Wege hier noch rechtzeitig eine Lösung präsentiert wird.

Und nun? Einwilligung des Betroffenen?

Von einigen Behörden wird die sog. Einwilligungslösung vertreten, wonach sämtliche Nutzer in die Datenverarbeitung in den USA (ausdrücklich) einwilligen (können) sollen – flankiert mit der Nutzung der EU-Standardvertragsklauseln (z.B.: LDI NRW).

Aber: hilft viel auch viel?

Beschreitet man diesen Weg sind Betroffene jedenfalls vor der Einwilligung eindeutig darüber zu informieren, dass ihre Daten an eine Stelle übermittelt werden soll, bei der kein angemessenes Datenschutzniveau besteht. Nur unter diesen Umständen könnte die Einwilligung wirksame Grundlage für die Übermittlung nach § 4c Abs. 1 Nr. 1 BDSG sein. Zusätzlich sind natürlich die Voraussetzungen des § 4a BDSG für eine wirksame Einwilligung zu beachten.

Nach diesseitiger Rechtsauffassung dürfte die Belastbarkeit dieses Ansatzes zumindest fraglich sein, da streitig ist, ob ein Betroffener auf seine Grundrechte in dieser Weise verzichten kann.
Nach einigen Autoren soll nämlich zusätzliche Voraussetzung sein, dass das Empfängerland über ein angemessenes Datenschutzniveau verfügt.

Die ablehnenden Meinungen führen dazu an, dass die anlasslose Massenüberwachung durch Geheimdienste nach Ansicht des EuGH in den Wesensgehalt des Grundrechts auf Achtung des Privatlebens eingreife. Folge dessen sei, dass nach bundesverfassungsgerichtlicher Rechtsprechung derartige Eingriffe jedoch der Disposition des Einzelnen entzogen und somit auch nicht im Wege einer Einwilligung möglich seien.

Eine solche Einwilligung könne sich daher nicht in die Datenübermittlung in einen Staat erstrecken, in dem der Wesensgehalt der Grundrechte der EU nicht gewahrt wird. Jedenfalls wäre die Aufnahme einer solchen Einwilligung etwa in Allgemeine Geschäftsbedingungen mit größter Wahrscheinlichkeit sittenwidrig im Sinne des § 138 BGB (Positionspapier des ULD zum Safe-Harbor-Urteil).

Folgt nun Chaos?

Es bleibt abzuwarten, wie die Datenschutzbehörden damit umgehen. Naheliegend dürfte allerdings sein, dass speziell die medienbekannten Hardliner hier spätestens ab Februar 2015 Prüfungsanfragen stellen werden und das ein oder andere Exempel statuieren wird, so dass die Einleitung von Maßnahmen im Unternehmen dann erst zu spät werden könnte.

Lösung

Vertragsparteien sollten, möchten Sie nach § 43 BDSG Bußgelder bis € 300.000,- vermeiden, sich kurzfristig mit alternativen Lösungen beschäftigen.
Operativ wird dies in laufenden Verträgen im ersten Schritt über Change Requests eingeführt. Spannend wird es im zweiten Schritt, wer dafür zahlen muss.

Soweit ein Anbieter keine besonderen Rechtsgarantien gegeben hat, könnte rechtskonstruktiv wohl ein Wegfall der Geschäftsgrundlage vorliegen, so dass nicht nur der Vertrag, sondern auch die sich daraus ergebenden Vergütungen anzupassen sind.

Datenverarbeitung ausschließlich in der EU

Möchte man auf Nummer sicher gehen kann praktisch und rechtlich zum jetzigen Zeitpunkt nur empfohlen werden, entsprechende Eilprojekte aufzusetzen, die eine Verlagerung der Datenverarbeitung ausschließlich in der EU zum Ergebnis hat; da gegenwärtig auch die Angemessenheit des Datenschutzniveaus in der Schweiz geprüft wird, sollte man sich nicht auf EWR-Anbieter verlassen, sondern sich auf die Datenverarbeitung innerhalb der EU konzentrieren.

Geht man über die Einwilligungslösung bleibt ein erhebliches Risiko, dass der  hierfür erforderliche Aufwand vergebens ist; auch diese ist aber technische vorzubereiten und umzusetzen.

Nach diesseitiger Einschätzung dürfte speziell bei komplexen System auch dem härtesten Datenschützer einleuchten, dass eine Transition auf einen neuen Provider nicht in wenigen Wochen von statten gehen kann. Legt allerdings die Unternehmensleitung die Hände in den Schoß, getreu des Kaisers Motto: Schau´n mer mal, dann sehen wir schon, dürfte das Risiko wegen Datenschutzverstößen belangt zu werden, exponentiell steigen.

Ergebnis für Unternehmen, die diese Risiken reduzieren wollen kann daher nur sein:

Plan B beginnt heute!