US-Grundsätze des "sicheren Hafens" vom EuGH für ungültig erklärt
Safe Harbor: US-Grundsätze des "sicheren Hafens" vom EuGH für ungültig erklärt
Hannover im November 2015 von Stephan Rehfeld
Auswirkungen auf den Datenschutz in Ihrer täglichen Arbeit
Bisher wurde eine sehr große Anzahl an Übermittlungen personenbezogener Daten in die USA auf Basis des Safe Harbor-Abkommens vorgenommen. Dieses Abkommen wurde am 6.10.2015 vom EuGH für ungültig erklärt. Lesen Sie hier die Pressemitteilung des EuGHs und im Weiteren wie sich dies auf Ihre tägliche Arbeit auswirkt. Insbesondere Steuerberater und andere Berufsgeheimnisträger sind betroffen.
Übermittlung personenbezogener Daten in EU / EWR
Das Bundesdatenschutzgesetz unterscheidet die Übermittlung personenbezogener Daten innerhalb der EU / des EWR und Datenübermittlungen in Drittstaaten. Die Vereinigten Staaten werden als unsicherer Drittstaat qualifiziert. In unsichere Drittstaaten dürfen personenbezogene Daten nur übermittelt werden, wenn der Betroffene eingewilligt hat oder wenn mit dem Unternehmen, an das die personenbezogenen Daten übermittelt werden sollen, ein spezieller datenschutzrechtlicher Vertrag geschlossen worden ist, die sogenannten Standardvertragsklauseln.
Übermittlung personenbezogener Daten in die USA
Um zum Beispiel Cloud-Dienste in den USA nutzen zu können, haben Unternehmen zwei Optionen:
- die datenschutzkonforme Einwilligung der Betroffenen und
- den Abschluss von Standardvertragsklauseln mit dem US-amerikanischen Partner.
Beide Optionen haben ihre Vor- und Nachteile. Werden in den USA von europäischen Unternehmen beispielsweise Cloud-Dienste zur Personalverwaltung genutzt, kann nicht auf die Einwilligung von Arbeitnehmern zurückgegriffen werden, da an Einwilligungen hohe formale Anforderungen gestellt werden und sie für Arbeitgeber zusätzlich den Nachteil haben, dass sie jederzeit für die Zukunft widerrufen werden können. Dies würde bei einem Personalverwaltungssystem zu einem Tohuwabohu führen.
Die Standardvertragsklauseln wiederum sind sehr aufwändig. Um den transatlantischen Datenverkehr mit personenbezogenen Daten zu erleichtern, wurde zwischen der EU und den USA das Safe Harbor-Abkommen geschlossen, viele Unternehmen nutzten diese Alternative.
EuGH hat das Safe Harbor-Abkommen gekippt
In seinem Urteil vom 6.10.2015 C-362/14 erklärt der EuGH das Safe Harbor-Abkommen für ungültig, mit der Konsequenz, dass die Übermittlung personenbezogener Daten auf Basis dieses Abkommens illegal ist. Es muss allerdings angemerkt werden, dass sich das Urteil bereits seit Jahren abzeichnete und somit für europäische Unternehmen nicht wirklich überraschend kam.
zurück zur Übersicht
Auswirkungen für Steuerberatungskanzleien
Personenbezogene Mandanten- und Mitarbeiterdaten werden von Steuerberatungskanzleien in der Regel in den Kanzleiräumen oder in deutschen Rechenzentren verarbeitet. Dennoch hat das Urteil des EuGH Auswirkungen auf den Kanzleialltag. Im Kanzleialltag werden oft US-amerikanische Cloud-Dienste genutzt, zum Beispiel E-Mail-Dienste, SMS-Dienste (iMessage auf iPhones, WhatsApp etc.), Cloud-Speicher (zum Beispiel Dropbox) oder auch Spracherkennungen (Siri, Google Now, Cortana).
Sofern sich Steuerberatungskanzleien bei der Nutzung dieser Dienste bisher auf das Safe Harbor-Abkommen gestützt haben, ist die Nutzung dieser Dienste jetzt illegal, auch für personenbezogene Daten, die keinem Berufsgeheimnis unterliegen, wie zum Beispiel Mitarbeiterdat
Kein Ausweg in Sicht
Aktuell gestattet das BDSG eine Übermittlung personenbezogener Daten auf Basis der Einwilligung des Betroffenen (§ 4c BDSG) oder auch auf Basis der Standardvertragsklauseln. Allerdings interpretieren die Aufsichtsbehörden das Urteil des EuGH so, dass die USA ein so unsicherer Drittstaat sei, dass eine Datenübermittlung personenbezogener Daten gar nicht mehr zulässig, beziehungsweise sehr genau zu prüfen sei. So z.B. das ULD "Gerichtshof der Europäischen Union erklärt „Safe Harbor“ für ungültig – was müssen Unternehmen und öffentliche Stellen in Schleswig-Holstein nun beachten?"
Auch setzen die europäischen Datenschutzbeauftragten (Artikel 29-Gruppe) die verantwortlichen Stellen unter zeitlichen Druck, Übermittlungen personenbezogener Daten auf eine neue datenschutzrechtliche Basis zu stellen. Hier lesen Sie das Statement of the Article 29 Working Party.
Fazit
Die Cloud ist für europäische Unternehmen und auch Steuerberatungskanzleien kleiner geworden. Steuerberatungskanzleien sollten ihre EDV ganz genau prüfen, ob US-amerikanische Cloud-Dienste genutzt werden und sollten personenbezogene Daten aktuell nur auf Basis von Standardvertragsklauseln oder datenschutzkonformer Einwilligung der Betroffenen in die USA übermitteln. Bei illegalen Übermittlungen drohen existenzbedrohende Bußgelder.