„Safe-Harbor-Abkommen“: Stellungnahme des ULD zur EuGH Entscheidung
Das Unabhängige Landeszentrum für Datenschutz (ULD), Anstalt öffentlichen Rechts, Schleswig-Holstein, hat am 14.10.2015 ein Positionspapier zum Safe-Harbor-Urteil des EuGH veröffentlicht.
Der EuGH hat mit Urteil vom 6.10.2015 die Feststellung der Europäischen Kommission, dass die USA ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten (Safe-Harbor-Abkommen), für ungültig erklärt (EuGH, C-362/14).
Das ULD nimmt u.a. Stellung zu den Fragen, auf Basis welcher Rechtsgrundlagen eine Übermittlung personenbezogener Daten in die USA noch in Betracht kommt, beziehungsweise nicht mehr zulässig ist, und wie mit den Standardvertragsklauseln umzugehen ist.
Rechtsgrundlagen für die Übermittlung personenbezogener Daten
Nach dem ULD muss die Übermittlung personenbezogener Daten in Länder, in denen kein angemessenes Datenschutzniveau besteht (wie den USA), für nichtöffentliche Stellen anhand von § 4c Abs. 1 des Bundesdatenschutzgesetzes (BDSG) beurteilt werden.
- 4c Abs. 1 Nr. 1 BDSG legitimiert Datenübermittlung in ein Drittland ohne angemessenes Datenschutzniveau auf Basis einer Einwilligung des Betroffenen. Das ULD vertritt die Auffassung, dass (sogar) eine Einwilligung als Rechtsgrundlage die aber anlasslose Massenüberwachung durch Geheimdienste entgegen steht.
- b) 4c Abs. 1 Nr. 2 und 3 BDSG legitimiert Datenübermittlung für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, soweit dies erforderlich ist. Erfasst sind hiervon etwa Reise- und Flugbuchungen. Weiterhin wäre die Datenübermittlung zulässig, sofern diese zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll.
Beide Tatbestände bilden jedoch keine Übermittlungsgrundlagen für Beschäftigtendaten, welche in den USA z.B. zur Leistungs- oder Verhaltenskontrolle verarbeitet werden.
Umgang mit Standardvertragsklauseln durch nichtöffentliche Stellen
Exemplarisch verweist das ULD auf Klausel 5 Buchstabe b des Beschlusses der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittstaaten vom 5. Februar 2010 (2010/87/EU). Demnach garantiert der Datenimporteur gegenüber dem europäischen Datenexporteur unter anderem, dass er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen. Genau diese vertragliche Pflicht können US-amerikanische Vertragspartner mit Blick auf das in den USA geltende Recht aber nicht einhalten. Der Datenexporteur ist in derartigen Fällen berechtigt, die Datenübermittlung auszusetzen oder den Standardvertrag zu kündigen.
Das ULD meint „Nichtöffentliche Stellen, die für ihren Datentransfer in die USA Standardvertragsklauseln verwenden, müssen nun in Erwägung ziehen, den zugrunde liegenden Standardvertrag mit dem Datenimporteur in den USA zu kündigen oder die Datenübermittlungen auszusetzen. In konsequenter Anwendung der Vorgaben des EuGH in seinem Urteil ist eine Datenübermittlung auf Basis von Standardvertragsklauseln nicht mehr zulässig.“
Das in diesem Beitrag verwendete Foto „uss-constitution“ stammt von dkeeze @pixabay.com. Herzlichen Dank!