US-Grundsätze des "sicheren Hafens" vom EuGH für ungültig erklärt

Trennlinie

Safe Harbor: US-Grundsätze des "sicheren Hafens" vom EuGH für ungültig erklärt

Hannover im November 2015 von Stephan Rehfeld

Auswirkungen auf den Datenschutz in Ihrer täglichen Arbeit

Bisher wurde eine sehr große Anzahl an Übermittlungen personenbezogener Daten in die USA auf Basis des Safe Harbor-Abkommens vorgenommen. Dieses Abkommen wurde am 6.10.2015 vom EuGH für ungültig erklärt. Lesen Sie hier die Pressemitteilung des EuGHs und im Weiteren wie sich dies auf Ihre tägliche Arbeit auswirkt. Insbesondere Steuerberater und andere Berufsgeheimnisträger sind betroffen.

Übermittlung personenbezogener Daten in EU / EWR

Das Bundesdatenschutzgesetz unterscheidet die Übermittlung personenbezogener Daten innerhalb der EU / des EWR und Datenübermittlungen in Drittstaaten. Die Vereinigten Staaten werden als unsicherer Drittstaat qualifiziert. In unsichere Drittstaaten dürfen personenbezogene Daten nur übermittelt werden, wenn der Betroffene eingewilligt hat oder wenn mit dem Unternehmen, an das die personenbezogenen Daten übermittelt werden sollen, ein spezieller datenschutzrechtlicher Vertrag geschlossen worden ist, die sogenannten Standardvertragsklauseln.

Übermittlung personenbezogener Daten in die USA

Um zum Beispiel Cloud-Dienste in den USA nutzen zu können, haben Unternehmen zwei Optionen:

  • die datenschutzkonforme Einwilligung der Betroffenen und
  •  den Abschluss von Standardvertragsklauseln mit dem US-amerikanischen Partner.

Beide Optionen haben ihre Vor- und Nachteile. Werden in den USA von europäischen Unternehmen beispielsweise Cloud-Dienste zur Personalverwaltung genutzt, kann nicht auf die Einwilligung von Arbeitnehmern zurückgegriffen werden, da an Einwilligungen hohe formale Anforderungen gestellt werden und sie für Arbeitgeber zusätzlich den Nachteil haben, dass sie jederzeit für die Zukunft widerrufen werden können. Dies würde bei einem Personalverwaltungssystem zu einem Tohuwabohu führen.

Die Standardvertragsklauseln wiederum sind sehr aufwändig. Um den transatlantischen Datenverkehr mit personenbezogenen Daten zu erleichtern, wurde zwischen der EU und den USA das Safe Harbor-Abkommen geschlossen, viele Unternehmen nutzten diese Alternative.

EuGH hat das Safe Harbor-Abkommen gekippt

In seinem Urteil vom 6.10.2015 C-362/14 erklärt der EuGH das Safe Harbor-Abkommen für ungültig, mit der Konsequenz, dass die Übermittlung personenbezogener Daten auf Basis dieses Abkommens illegal ist. Es muss allerdings angemerkt werden, dass sich das Urteil bereits seit Jahren abzeichnete und somit für europäische Unternehmen nicht wirklich überraschend kam.

 

 

 

 

 

 

 

 

Auswirkungen für Steuerberatungskanzleien

Personenbezogene Mandanten- und Mitarbeiterdaten werden von Steuerberatungskanzleien in der Regel in den Kanzleiräumen oder in deutschen Rechenzentren verarbeitet. Dennoch hat das Urteil des EuGH Auswirkungen auf den Kanzleialltag. Im Kanzleialltag werden oft US-amerikanische Cloud-Dienste genutzt, zum Beispiel E-Mail-Dienste, SMS-Dienste (iMessage auf iPhones, WhatsApp etc.), Cloud-Speicher (zum Beispiel Dropbox) oder auch Spracherkennungen (Siri, Google Now, Cortana).

Sofern sich Steuerberatungskanzleien bei der Nutzung dieser Dienste bisher auf das Safe Harbor-Abkommen gestützt haben, ist die Nutzung dieser Dienste jetzt illegal, auch für personenbezogene Daten, die keinem Berufsgeheimnis unterliegen, wie zum Beispiel Mitarbeiterdat

Kein Ausweg in Sicht

Aktuell gestattet das BDSG eine Übermittlung personenbezogener Daten auf Basis der Einwilligung des Betroffenen (§ 4c BDSG) oder auch auf Basis der Standardvertragsklauseln. Allerdings interpretieren die Aufsichtsbehörden das Urteil des EuGH so, dass die USA ein so unsicherer Drittstaat sei, dass eine Datenübermittlung personenbezogener Daten gar nicht mehr zulässig, beziehungsweise sehr genau zu prüfen sei. So z.B. das ULD "Gerichtshof der Europäischen Union erklärt „Safe Harbor“ für ungültig – was müssen Unternehmen und öffentliche Stellen in Schleswig-Holstein nun beachten?" 

Auch setzen die europäischen Datenschutzbeauftragten (Artikel 29-Gruppe) die verantwortlichen Stellen unter zeitlichen Druck, Übermittlungen personenbezogener Daten auf eine neue datenschutzrechtliche Basis zu stellen. Hier lesen Sie das Statement of the Article 29 Working Party.

Fazit

Die Cloud ist für europäische Unternehmen und auch Steuerberatungskanzleien kleiner geworden. Steuerberatungskanzleien sollten ihre EDV ganz genau prüfen, ob US-amerikanische Cloud-Dienste genutzt werden und sollten personenbezogene Daten aktuell nur auf Basis von Standardvertragsklauseln oder datenschutzkonformer Einwilligung der Betroffenen in die USA übermitteln. Bei illegalen Übermittlungen drohen existenzbedrohende Bußgelder.

Update am 2.12.2015