2015/12/03 Safe Harbor - Der Nebel lichtet sich
Philipp Hochstöger
Bisherige Rechtslage - Konsequenzen des EuGH-Urteils - Alternative Rechtsgrundlagen - Ausnahme von der Genehmigungspflicht: Zustimmung - Auswirkungen auf Standardvertragsklauseln und Binding Corporate Rules - Kann die Datenschutzbehörde Datentransfers aussetzen? - Muss die Datenschutzbehörde genehmigen?
Der europäische Gerichtshof hat die Kommissionsentscheidung 2000/520/EG für ungültig erklärt. Das Urteil hat massive Auswirkungen auf den transatlantischen Datenverkehr, schließlich sind auch die Standardvertragsklauseln und Binding Corporate Rules zumindest indirekt betroffen. Zwar können Standardvertragsklauseln und Binding Corporate Rules weiterhin verwendet werden um ein angemessenes Datenschutzniveau sicherzustellen, allerdings hat die Datenschutzbehörde im Einzelfall zu prüfen und den Datentransfer allenfalls auszusetzen. Der Datentransfer kann auch wie bisher auf die Zustimmung des Betroffenen gestützt werden. Die Einholung der Zustimmung wird aber nur in seltenen Fällen ein taugliches Mittel darstellen.
Bisherige Rechtslage
In den §§ 12 und 13 DSG 2000 wird geregelt, wann eine genehmigungspflichtige Übermittlung und Überlassung von Daten ins Ausland vorliegt und wann die Übermittlung oder Überlassung genehmigungsfrei ist. Grundsätzlich ist die Übermittlung und Überlassung von Daten an Empfänger in Vertragsstaaten des Europäischen Wirtschaftsraumes, sowie an Empfänger in Drittstaaten mit angemessenem Datenschutz genehmigungsfrei. Welche Drittstaaten angemessenen Datenschutz gewährleisten, wird in der Datenschutzangemessenheits-Verordnung (DSAV) festgestellt. Die USA findet man in der Aufzählung der DSAV nicht. Jedoch verweist die DSAV auf das Safe Harbor-Abkommen. Übermittlungen und Überlassungen an US-Unternehmen, die sich im Wege einer Selbstzertifizierung den Grundsätzen des Safe Harbor-Abkommens unterwarfen, waren genehmigungsfrei.
Konsequenzen des Safe Harbor-Urteils
Erfolgte der Datentransfer ausschließlich auf Grundlage des Safe Harbor-Abkommens, ist der Datentransfer rechtswidrig. Es muss ein Antrag auf Einzelgenehmigung bei der Datenschutzbehörde gestellt werden, falls keine der alternativen Rechtsgrundlagen zutreffen oder herangezogen werden können. Im Genehmigungsverfahren sind andere Garantien, wie der Abschluss von Standardvertragsklauseln vorzuweisen.
Alternative Rechtsgrundlagen
§§ 12 und 13 DSG 2000 sehen zahlreiche Alternativen für eine zulässige Datenübermittlung in die USA vor. Eine Datenübermittlung in die USA ist unter anderem genehmigungsfrei,
- wenn zulässigerweise veröffentliche Daten übermittelt werden (§ 12 Abs. 3 Z 1 DSG 2000),
- wenn Daten, die für den Empfänger nur indirekt personenbezogen sind, übermittelt werden (§ 12 Abs. 3 Z 2 DSG 2000),
- wenn ein eindeutig im Interesse des Betroffenen abgeschlossener Vertrag nicht anders als durch Übermittlung der Daten ins Ausland erfüllt werden kann (§ 12 Abs. 3 Z 6 DSG 2000),
- wenn die Übermittlung in einer Standardverordnung oder Musterverordnung ausdrücklich angeführt ist (§ 12 Abs. 3 Z 8 DSG 2000),
- wenn der Betroffene ohne jeden Zweifel seine Zustimmung zur Übermittlung seiner Daten ins Ausland gegeben hat (§ 12 Abs. 3 Z 5 DSG 2000).
Auf sämtliche Rechtsgrundlagen kann an dieser Stelle nicht eingegangen werden. Von besonderer Bedeutung ist in diesem Zusammenhang die Rechtsgrundlage der Zustimmung.
Ausnahme von der Genehmigungspflicht: Zustimmung
Stimmt der Betroffene dem Datentransfer zu, entfällt das Genehmigungsverfahren bei der Datenschutzbehörde.
Allerdings stellt sich bei den meisten Datenübermittlungen, vor allem im betrieblichen Bereich, die Frage, ob die Einholung der Zustimmung ein taugliches Mittel darstellt:
Abgesehen davon, dass die Einholung der Zustimmung aller Mitarbeiter/Kunden einen enormen Verwaltungsaufwand bedeutet, können Zustimmungserklärungen jederzeit widerrufen werden.
Nach § 4 Z 14 DSG 2000 bedeutet Zustimmung „die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt“. Definitionsgemäß muss die Zustimmung ohne Zwang abgegeben werden. Insbesondere bei Mitarbeiterdatenverarbeitungen geht die Datenschutzbehörde davon aus, dass es häufig an der geforderten Freiwilligkeit mangelt.
In der Entscheidung K178.209/0006-DSK/2006 hatte die Datenschutzkommission über die Genehmigungspflicht einer webbasierten Datenbank betreffend Projekte und Qualifikationen von Konzernmitarbeitern abzusprechen. Betreiber der Datenbank ist ein amerikanisches Unternehmen, Antragstellerin ist das österreichische Tochterunternehmen. Mitarbeiter bestimmen selber darüber, welche Daten in die Datenbank aufgenommen werden, können die Daten löschen und ändern. Das genügte der Datenschutzkommission nicht für das Vorliegen einer freiwilligen Zustimmung: Angesichts des Zwecks der Datenbank, nämlich dem Arbeitseinsatz der Mitarbeiter, sei davon auszugehen, dass eine faktische Notwendigkeit bestehe, Eintragungen vorzunehmen, sodass von echter Freiwilligkeit nicht auszugehen sei. Im vorliegenden Fall lag daher mangels Zustimmung, Genehmigungsfreiheit nicht vor.
Die Entscheidung der Datenschutzkommission zeigt auf, dass vor allem für die Übermittlung von Arbeitnehmerdaten die Zustimmung der Betroffenen nur in seltenen Fällen eine unzureichende Alternative darstellen wird.
Standardvertragsklauseln
Nach Art 26 Abs. 2 RL 95/46/EG (Datenschutzrichtlinie) kann ein Mitgliedstaat eine Übermittlung oder eine Kategorie von Übermittlungen personenbezogener Daten in ein Drittland genehmigen, das kein angemessenes Schutzniveau gewährleistet, wenn der für die Verarbeitung Verantwortliche ausreichende Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten der Personen sowie hinsichtlich der Ausübung der damit verbundenen Rechte bietet. Derartige Garantien können sich insbesondere aus entsprechenden Vertragsklauseln ergeben.
Die Kommission kann nach Art. 26 Abs. 4 RL 95/46/EG befinden, dass Standardvertragsklauseln ausreichende Garantien nach Art 26 Abs. 2 bieten. In mehreren Entscheidungen (2001/497/EG, 2004/915/EG oder 2010/87/EG) hat die Kommission Standardvertragsklauseln festgelegt. Haben der "Datenimporteur" und "Datenexporteur" entsprechende Standardvertragsklausel abgeschlossen, führte dies bisher dazu, dass die Datenschutzbehörde die Genehmigung nicht verweigern durfte.
Zwar weist die EU-Kommission in einer kürzlich veröffentlichten Stellungnahme (COM 2015, 566 final) daraufhin, dass Standardvertragsklauseln weiterhin verwendet werden dürfen. Jedoch darf nicht vergessen werden, dass die EuGH-Entscheidung auch Auswirkungen auf die Standardvertragsklauseln hat.
Nach dem EuGH-Urteil werden die nationalen Kontrollstellen den Datentransfer in die USA auch bei der Verwendung von Standardvertragsklauseln genauer zu prüfen haben. Das betrifft sowohl Unternehmen die bereits eine Genehmigung auf Grund von Standardvertragsklauseln erteilt bekommen haben, als auch Unternehmen die einen Antrag auf Genehmigung des Datentransfers beantragen.
Werden Standardvertragsklauseln verwendet müssen sich "Datenimporteur" und "Datenexporteur" darüber im Klaren sein, dass die Datenschutzbehörde unter Umständen die Datenübermittlung in die USA aussetzen bzw. untersagen kann. So sieht Art. 4 Abs. 1 der Kommissionentscheidung 2010/87/EG vor, dass Kontrollstellen in den Mitgliedstaaten Datenübermittlungen in Drittländer verbieten oder aussetzen können, wenn "feststeht, dass der Datenimporteur nach den für ihn geltenden Rechtsvorschriften Anforderungen unterliegt, die ihn zwingen, von den einschlägigen Datenschutzvorschriften in einem Maß abzuweichen, das über die Beschränkungen hinausgeht, die im Sinne von Artikel 13 der Richtlinie 95/46/EG für eine demokratische Gesellschaft erforderlich sind und dass sich diese Anforderungen wahrscheinlich sehr nachteilig auf die Garantien auswirken, die die Standardvertragsklauseln bieten sollen." Die anderen Kommissionsentscheidungen betreffend Standardvertragsklauseln, enthalten ähnliche Regelungen.
Dass die USA in großem Stil überwacht und Unternehmen personenbezogene Daten an US-Behörden liefern, ist nicht erst seit dem EuGH Urteil bekannt. Bereits in zwei Mitteilungen (COM 2013, 846 und COM 2013, 847) hat die Kommission festgestellt, dass US-Behörden durch groß angelegte Überwachungsprogramme personenbezogene Daten, über das für die nationale Sicherheit unbedingt nötige Maß, abrufen und weiterverarbeiten können. Auch der EuGH hat mit seinem Urteil klar ausgesprochen, dass US-Überwachungsgesetze über die Beschränkungen, die im Artikel 13 der Richtlinie 95/46/EG für eine demokratische Gesellschaft erforderlich sind, hinausgehen.
Stützt sich der Datentransfer auf Standardvertragsklauseln, so ist nach dem zuvor Gesagten, zu unterscheiden: Unterliegt der Datenimporteur US-Überwachungsgesetzen, müsste die nationale Kontrollstelle die Datenübermittlung untersagen. Die Kommission bezieht sich in Ihren Mitteilungen vor allem auf Unternehmen, die an PRISM beteiligt sind (z.B. Microsoft, Google, Facebook, Apple und Yahoo). Aber auch spezielle weitere Rechtsvorschriften verpflichten gewisse Unternehmen, Daten an US- Behörden zu liefern. Werden personenbezogene Daten an US-Unternehmen transferiert, die nicht Teil des US-amerikanischen Überwachungsprogramms sind, ist der Abschluss von Standardvertragsklauseln weiterhin ein probates Mittel. Wie die Kommission zutreffend in einer Stellungnahme (COM 2015, 566 final) schreibt, obliege es schließlich dem Datenexporteur geeignete Maßnahmen für den Schutz personenbezogener Daten zu treffen. Dies könne zum Beispiel durch technische, organisatorische, geschäftsmodellbezogene oder rechtliche Maßnahmen sichergestellt werden. Die Datenschutzbehörden müssten jeden Einzelfall beurteilen und könnten sich nicht einzig darauf berufen, dass Standardvertragsklauseln und Binding Corporate Rules keine ausreichenden Garantien bieten würden.
Im Genehmigungsverfahren kann die Datenschutzbehörde zusätzliche Sicherheitsvorkehrungen fordern, auch wenn Standardvertragsklauseln verwendet werden. Jedenfalls hat sie zu prüfen ob ein angemessener Datenschutz im konkreten Einzelfall vorliegt.
Binding Corporate Rules
Das bisher Gesagte gilt prinzipiell auch für Binding Corporate Rules (verbindliche unternehmensinterne Datenschutzregelungen). Auch hier kann die Datenschutzbehörde Datentransfers untersagen.
Fazit
Wie die EU-Kommission in einer kürzlich veröffentlichten Stellungnahme (COM 2015, 566 final) schreibt, soll ein neues Abkommen bis Jänner 2016 ausverhandelt werden. Bis auf politischer Ebene eine Lösung gefunden wurde, müssen sich Unternehmen Alternativen wie Standvertragsklauseln bedienen, wenn keine der alternativen Rechtsgrundlagen herangezogen werden kann. Die Datenschutzbehörde muss jeden Einzelfall prüfen und kann die Genehmigung verweigern bzw. Datentransfers aussetzen. Die Einholung der Zustimmung der Betroffenen wird nur in seltenen Fällen ein taugliches Mittel für den transatlantischen Datentransfer darstellen.
mehr --> Was sind Datenschutz-Standardvertragsklauseln?
mehr --> K178.232/0006-DSK/2006
mehr --> ftp://ftp.freenet.at/beh/EuGH_C362_14.pdf
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-standardvertragsklauseln-3.pdf
mehr --> http://ftp.freenet.at/privacy/ds-eu/eg-standardvertragsklauseln-2.pdf
mehr --> http://ftp.freenet.at/privacy/ds-eu/eg-standardvertragsklauseln-1.pdf
|
