Im Folgenden erhalten Sie von uns einen Überblick über die jüngsten Entwicklungen zur Zulässigkeit der Übermittlung von personenbezogenen Daten in die USA sowie eine Stellungnahme mit zugehörigen Empfehlungen.
„Safe Harbor“
Bisher wurde die Übermittlung von personenbezogenen Daten an Stellen in den USA durch das Safe-Harbor-Abkommen legitimiert, wenn der Empfänger in den USA als Teilnehmer des Safe Harbor registriert war.
Durch Urteil des Europäischen Gerichtshofes (EuGH, Urteil vom 6. Oktober 2015, 2015-Schrems-Rechtssache C-362/14, BeckEuRS 2015, 447115) ist das Safe-Harbor-Abkommen für ungültig erklärt worden. Es kann nicht länger als Rechtsgrundlage für die Übermittlung von Daten dienen. Dass existierende Alternativen, wie Binding-Corporate-Rules, EU-Standardvertragsklauseln und Einwilligungen durch Betroffene, nach dem Urteil des EuGH die gewünschte Rechtssicherheit aufweisen, ist stark anzuzweifeln. Die Aufsichtsbehörden für den Datenschutz in Deutschland haben nun Stellung genommen, doch hat deren Meinung keine bindende Wirkung.
Auch wenn der betriebliche Bedarf besteht, kann derzeit keine Übermittlung von personenbezogenen Daten in die USA vorgenommen werden, ohne dass ein Risiko eingegangen wird.
Stellungnahme und Empfehlung
Die Übermittlung von personenbezogenen Daten in die USA stellt derzeit eine Herausforderung dar, insofern diese rechtskonform ausgestaltet werden soll. Es kommt zwar die Einholung der Einwilligungen aller Betroffenen in Betracht, dies scheint jedoch nicht nur einen unverhältnismäßig hohen Aufwand zu bedeuten, sondern es ist auch nicht klar, ob alle Betroffenen einwilligen. Selbst wenn die Einwilligungen erteilt werden, ist es unwahrscheinlich, dass eine prüfende Aufsichtsbehörde die Einwilligungen als Legitimation akzeptiert, da die Einwilligung im Arbeitsverhältnis als Legitimation für Datenverarbeitungen bereits im Allgemeinen angezweifelt wird.
Auch Binding Corporate Rules und EU-Standardvertragsklauseln stellen derzeit keine rechtssichere Lösung dar. Die „Artikel 29-Datenschutzgruppe“ (unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes) will bis Ende Januar 2016 prüfen, ob diese nach dem Urteil des EuGH weiterhin eine Datenübermittlung in die USA legitimieren können.
Die Aufsichtsbehörden haben angedeutet, bei Beschwerden von Betroffenen entsprechende Prüfungen vorzunehmen und teilweise eigenständige Kontrollen vorzunehmen. Hierbei unterscheiden sich jedoch die Äußerungen der verschiedenen Aufsichtsbehörden der Bundesländer.
Da entsprechende Verstöße gemäß § 43 Abs. 2 i. V. m. Abs. 3 Satz 1 Alt. 2 BDSG zu Bußgeldern bis zu 300.000 Euro führen können, ist es jedoch am wenigsten zu empfehlen, nichts zu tun. Die entsprechenden Datenübermittlungen sollten zunächst zeitnah identifiziert und analysiert werden.
Die Vereinbarung von EU-Standardvertragsklauseln ist derzeit die beste Alternative, da diese individuell zwischen dem Empfänger und dem Übermittler geschlossen werden und dabei die Umstände der konkreten Übermittlung berücksichtigen. Jedoch darf auch dabei nicht abschließend davon ausgegangen werden, dass diese einer Prüfung durch die Aufsichtsbehörde standhalten.
Stand: 2017
