Am 14. Oktober hat die Artikel 29 Gruppe ein Positionspapier für öffentliche und nicht-öffentliche Stellen verfasst, an dem sich Datenschützer bis auf Weiteres orientieren können und sollten. Das Positionspapier finden Sie auf Deutsch hier.

Im Kern bekräftig die Gruppe hier die Position des EuGH, dass die USA grundsätzlich aktuell nicht in der Lage sind ein nach EU-Gesetzen gefordertes angemessenes Datenschutzniveau zu gewährleisten. Sämtliche Bemühung in diese Richtung werden durch die nationale Sicherheitsgesetzgebung bezüglich Zugriffsrechten und Datenausspähung durch Geheimdienste und andere Bundesbehörden zunichte gemacht, die sich global (auch auf Niederlassungen und Tochtergesellschaften im Ausland) erstreckt.

Die Art. 29-Gruppe erläutert in dem Positionspapier für den Datentransfer durch nicht-öffentliche Stellen (Unternehmen) in die USA (Aspekte für öffentiche Stellen werden in diesem Blog-Artikel nicht behandelt):

[su_box title=“Aus: Positionspapier Art. 29-Gruppe zum EuGH-Urteil zu Safe Harbor“ style=“soft“ box_color=“#87d8ff“ title_color=“#ffffff“]3. b) Im Bereich der Privatwirtschaft kommen als Rechtsgrundlagen im Wesentlichen nur § 4c Abs. 1 Nr. 2 und 3 BDSG in Betracht. Demnach ist die Datenübermittlung zulässig für die Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind, soweit dies erforderlich ist, § 4c Abs. 1 Nr. 2 BDSG. Erfasst sind hiervon etwa Reise- und Flugbuchungen. Weiterhin wäre die Datenübermittlung zulässig, sofern diese zum Abschluss oder zur Erfüllung eines Vertrags erforderlich ist, der im Interesse des Betroffenen von der verantwortlichen Stelle mit einem Dritten geschlossen wurde oder geschlossen werden soll, § 4c Abs. 1 Nr. 3 BDSG. Beide Tatbestände bilden jedoch keine Übermittlungsgrundlagen für Beschäftigtendaten, welche in den USA z.B. zur Leistungs- oder Verhaltenskontrolle verarbeitet werden.[/su_box]

Die Datenübermittlung ist also nur zulässig, wenn sie im Rahmen (zur Erfüllung) eines Vertrages oder Vorvertrages zwischen den Betroffenen und der verantwortlichen Stelle stattfindet. Beschäftigtendaten sind davon ausgenommen.

[su_box title=“Aus:Positionspapier Art. 29-Gruppe zum EuGH-Urteil zu Safe Harbor“ style=“soft“ box_color=“#87d8ff“ title_color=“#ffffff“]4. Ergebnis: Nichtöffentliche Stellen, die für ihren Datentransfer in die USA Standardvertragsklauseln verwenden, müssen nun in Erwägung ziehen, den zugrunde liegenden Standardvertrag mit dem Datenimporteur in den USA zu kündigen oder die Datenübermittlungen auszusetzen. In konsequenter Anwendung der Vorgaben des EuGH in seinem Urteil ist eine Datenübermittlung auf Basis von Standardvertragsklauseln nicht mehr zulässig.[/su_box]

Folgt man dem Urteil streng, fehlt auch die Voraussetzung für den Einsatz der EU-Standardvertragsklauseln. US-Unternehmen können eben leider nicht garantieren, dass sie keinen nationalen Gesetzen unterliegen, die ihnen die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten nach EU-Datenschutzrecht unmöglich machen. Siehe dazu Klausel 5 Buchstabe b des Beschlusses der Kommission über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittstaaten vom 5. Februar 2010 (2010/87/EU)

Fazit

Die persönliche Einwilligung Betroffener ist nur ausreichend, wenn die Datenübermittlung der Erfüllung eines Vertrags zwischen Betroffenen und dem Datenimporteur in den USA dient.

Ergänzung: Zu dieser Haltung gibt es durchaus kontroverse Meinungen wie Sie z.B. hier bei Nina Diercks und Stephan Hansen-Oest nachlesen können.

EU-Standardvertragsklauseln sind, streng genommen, kein hinreichender Ersatz für ein nicht ausreichendes Datenschutzniveau in den USA. Der EuGH hat zwar in diesem Urteil nicht festgestellt, ob das Datenschutzniveau in den USA grundsätzlich ausreichend ist oder nicht, allerdings die Verstöße gegen die EU-Grundrechtcharta aufgezeigt und als Grundlage für die Ungültigkeitserklärung von Safe Harbor bestimmt. Ebenso andwendbar ist diese Argumentation auf die EU-Standardvertragsklauseln oder jede andere Form von Abkommen oder Vereinbarung.

Auftragsdatenverarbeiter sollten sich ab sofort sehr genau überlegen, ob es tatsächlich erforderlich ist personenbezogene Daten von Auftraggebern in die USA zu transferieren und alternative Anbieter innerhalb der EU erwägen, die keine US-amerikanischen Niederlassungen oder Tochtergesellschaften sind. Entscheidend ist, dass die Unternehmen, denen man Daten übermitteln möchte, rechtlich unabhängig von US-Konzernen bzw. US-Gesetzgebung sind und über Rechenzentren in der EU verfügen. Die Daten dürfen bei der Verarbeitung nicht über die Grenzen der EU hinaus weitergegeben werden, was globale Cloud-Lösungen ausschließt, bei denen Daten jederzeit an einem anderen Ort auf der Welt (außerhalb der EU) verarbeitet werden können. Die Verarbeitung auf beispielweise irischen Servern ist damit nicht möglich, wenn auf diese Daten jederzeit zugegriffen werden kann