Wer personenbezogene Daten in die USA übermittelt, hat entsprechend den Regelungen der §§ 4b, c BDSG mehrere Möglichkeiten, eine solche Datenübermittlung nach deutschem (und europäischem Datenschutzrecht) zu rechtfertigen. Erläuterungen zur Entscheidung des Europäischen Gerichtshofs (EuGH) vom 06.10.2015, Sache C-362/14 Maximillian Schrems / Data Protection Commissioner finden sie hier.
1. Der Betroffene hat in eine Datenübermittlung in die USA eingewilligt (§ 4c Abs. 1 Nr. 1)
Dies wird wohl der Weg vieler Online-Dienste sein, sich die Einwilligung seiner Nutzer einzuholen. Beachtet werden muss hierbei aber, dass nur der Betroffene selbst einwilligen kann. Eine Übermittlung von Daten Dritter ist über eine Einwilligung nicht möglich. Auch müssen hier die Anforderungen an Einwilligungen im Datenschutzrecht (§ 4a BDSG) erfüllt werden, welche nicht banal sind. Unter anderem muss eine solche Einwilligung freiwillig erfolgen (also auch abgelehnt werden dürfen) und dem Betroffene muss über eine hinreichend ausführliche Information die Tragweite seiner Erklärung bewusst gemacht werden.
2. Die Datenübermittlung muss zur Erfüllung eines Vertrages des Betroffenen mit der Stelle in den USA erforderlich sein (§ 4c Abs. 1 Nr. 2 BDSG)
Auch eine Möglichkeit gerade für Online-Dienste. Der Betroffene muss den Vertrag mit der verarbeitenden Stelle in den USA veranlasst haben und der Vertrag hat deutlichen Auslandsbezug hat. Typische Beispiele sind hier internationale Überweisungen, Reise- und Flugbuchungen, Mietwagenreservierungen usw. Bei manchen anderen Verträgen könnte allerdings ein fraglich sein, ob ein Auslandsbezug „erkennbar“ ist und ob eine solche Datenübermittlung wirklich auch „erforderlich“ ist.
3. Vertragliche Datenschutzvereinbarung oder EU-Standardvertragsklauseln
Eine Datenübermittlung an eine Stelle in einem Staat mit an sich nicht hinreichendem Datenschutzniveau ist auch dann möglich, wenn sich die empfangende Stelle durch vertragliche Maßnahmen zur Einhaltung eines angemessenen Datenschutzniveaus verpflichten. Dies kann durch eigene vertragliche Regelungen erfolgen, welche allerdings von der zuständigen Datenschutzaufsichtsbehörde genehmigt werden müssen oder mithilfe der EU-Standardvertragsklauseln. Bei letzteren handelt es sich um von der EU-Kommission zur Verfügung gestellte Musterverträge, welche zur Zusicherung eines ausreichenden Datenschutzniveaus geeignet sind. Der Einsatz von Standardvertragsklauseln ist allerdings nicht ganz so einfach: Zum einen gibt es verschiedene Varianten der Standardvertragsklauseln – die „originären“ Standardvertragsklauseln vom 15.06.2001 (Standardvertrag I) als auch die „alternativen“ Standardvertragsklauseln vom 27.12.2004 (Standardvertrag II). Diese gelten für „normale“ Datenübermittlungen (sog. controller-to-controller). Daneben gibt es auch Standardvertragsklauseln für eine Datenübermittlung an Auftragsdatenverarbeiter in Drittländern vom 05.02.2010 (sog. controller-to-processor). Die Standardvertragsklauseln erfahren zum Teil Kritik von Seiten der Datenschutzaufsichtsbehörden und sollen nach Ansicht dieser in bestimmten Konstellationen modifiziert bzw. erweitert werden. Der Einsatz von Standardvertragsklauseln sollte aber nicht als „Freifahrtschein“ betrachtet werden, denn diese Regelungen sehen durchaus beachtenswerte Regelungen gerade auch im Bereich der Haftung vor – hier gibt es auch wichtige Unterschiede zwischen dem Standardvertrag I und Standardvertrag II. Der Einsatz und die Wahl einer EU-Standardvertragsklausel sollte daher mit Bedacht gewählt werden.
4. Binding Corporate Rules (BCR) nach § 4c Abs. 2 BDSG
Hierbei handelt es sich um verbindliche Unternehmensregelungen zum Datenaustausch und Datenschutz. Die Erstellung eines solchen Rechtsrahmens zum Umgang mit personenbezogenen Daten sind in den meisten Fällen nur in großen Unternehmensgruppen oder Konzernen sinnvoll, die weltweit zwischen Ihren gruppen- oder konzernangehörigen Unternehmen personenbezogene Daten austauschen. Nach Genehmigung dieser Unternehmensregeln mit den Datenschutzaufsichtsbehörden dürfen die den Binding Corporate Rules unterfallenden Unternehmen unter Beachtung dieser Grundsätze weitgehend frei ihre personenbezogenen Daten weltweit austauschen. Nachteilig ist allerdings, dass der Abstimmungsaufwand mit unter anderem mehreren EU-Datenschutzaufsichtsbehörden immens sein kann.
Sind diese Alternativen rechtssicher?
Eine unter uns Datenschutz-Juristen nicht zu Unrecht diskutierte Frage, denn die dem EUGH-Urteil zugrundeliegende Argumentation des weitreichenden Zugriffs von US-Behörden auf personenbezogene Daten von EU-Bürgern, ist ja an sich auf jede Datenübermittlung in die USA (oder gar andere Staaten, sogar innerhalb der EU – siehe weitreichende Überwachungsmaßnahmen durch den britischen Geheimdienst) übertragbar.
Erste Stimmen in diese Richtung, die Folgen des Safe Harbor-Urteils auf andere Rechtsgrundlagen für eine Datenübermittlung in Drittstaaten zu hinterfragen, kommt auch schon prompt vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit: „Es ist zu prüfen, ob und inwieweit Datentransfers in die USA auszusetzen sind. Dies gilt auch, wenn sie auf andere Rechtsgrundlagen wie Standardvertragsklauseln, Einwilligung oder Binding Corporate Rules gestützt werden.“
Sollte sich diese Ansicht durchsetzen, was abzuwarten bleibt, stoßen hier die rechtlichen Gestaltungsmöglichkeiten an Ihre Grenzen. Denn es dürfte nachvollziehbar sein, dass sich kein US-Unternehmen in einem Vertrag mit seinem europäischen Vertragspartner wirksam verpflichten kann, US-Gesetze zu ignorieren, welche den US-Behörden den weitgehenden Zugriff auf Daten von EU-Bürgern einräumen.
Hier könnte nur eine politische Lösung oder einer überarbeitete Vereinbarung zielführend sein. Hierzu ist aber zu bemerken, dass diese seit 2013 – nach den Snowden-Enthüllungen – von Seiten der EU-Kommission aufgenommenen Verhandlungen über eine Verschärfung des Safe Harbor-Abkommens nicht vorankommen. EU-Kommissar Günther Oettinger hält laut einem Spiegel-Bericht eine verpflichtende staatliche Übereinkunft mit den USA für eher unwahrscheinlich.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe