USA not safe

Nach europäischem Datenschutzrecht dürfen personenbezogene Daten außerhalb der Euro­pä­ischen Union nur weitergegeben werden, wenn im Empfängerland sichergestellt ist, dass ein angemessenes Datenschutzniveau vorliegt. Der Datentransfer an amerikanische Unternehmen galt als zulässig, wenn sie sich einem Zertifizierungsverfahren unterwerfen und dies an die US Federal Trade Commission (FTC) melden. Am 6. Oktober 2015 entschied der Europäische Ge­richts­hof (EuGH), dass die Grundlage für diese Vereinbarung (Safe Harbor) zwischen EU-Kom­mis­sion und FTC nicht gegeben ist.
Die Begründung: Amerikanische Behörden konnten auf die übermittelten personenbezogenen Daten zugreifen und diese in einer Weise verarbeiten, die mit der Zielsetzung der Übermittlung unvereinbar war und über das hinausging, was zum Schutz der US-nationalen Sicherheit absolut notwendig und verhältnismäßig gewesen wäre. Für die Betroffenen gab es zudem keine ad­mi­nis­tra­ti­ven oder gerichtlichen Rechtsbehelfe, mit denen sie Zugang zu ihren Daten erhalten und sie gegebenenfalls berichtigen oder löschen lassen konnten.

Stein des Anstoßes

Anstoß, sich mit diesem Thema zu befassen, war lediglich die Frage, ob es in der Kompetenz einer Datenschutzaufsichtsbehörde liegt, Entscheidungen der EU-Kommission zu überprüfen. Ein Österreicher hatte gegen ein soziales Netzwerk mit Sitz in Irland geklagt, weil es seine Daten auf Safe-Harbor-Basis in die USA überträgt. Die irische Aufsichtsbehörde hatte sich für nicht zuständig erklärt.
Der EuGH entschied, dass eine Datenschutzaufsichtsbehörde wohl Entscheidungen der EU-Kommission überprüfen könne, aufheben aber könne diese nur der EuGH. Doch der EuGH entschied auch gleich über Safe Harbor selbst und brachte damit US-amerikanische IT-Anbieter in Erklärungsnöte und verursachte für viele europäische Unternehmen ein Dilemma.
Über die Geltung anderer Zulässigkeitsvoraussetzungen wie des Einsatzes von Stan­dard­ver­trags­klauseln, Binding Corporate Rules oder die Wirksamkeit von Einwilligungen Betroffener traf der EuGH keine Aussage. Es wird auf den jeweiligen Einzelfall ankommen; wahr­schein­lich wird der EuGH aber auch in diesen Fällen nicht anders entscheiden.

Was tun nun die Aufsichtsbehörden?

Die europäischen Aufsichtsbehörden haben angekündigt, vor Ende Januar 2016 nicht von sich aus tätig zu werden, und empfehlen betroffenen Unternehmen, „eine andere Zu­läs­sig­keits­mög­lich­keit des Datentransfers zu wählen oder die Datenverarbeitung ohne USA-Bezug durchführen zu lassen“. Darüber hinaus behalten sie sich vor, auch andere Varianten im Hinblick auf die EuGH-Aussagen zu prüfen. Einzelne Aufsichtsbehörden haben bei Unternehmen nachgefragt, wie sie damit umgehen.
Parallel verhandelt die EU-Kommission mit der FTC über eine Fortführung von Safe Harbor (Safe Harbor II). Diese Verhandlungen laufen bereits seit 2013 und werden nun die EuGH-Entscheidung berücksichtigen müssen.

Wer ist betroffen?

Einerseits sind Unternehmen in einer US-ame­ri­ka­nischen Kon­zern­struk­tur be­trof­fen, bei denen per­so­nen­be­zo­gene Daten in­ner­halb des Kon­zerns in die USA trans­fe­riert werden. Ba­sieren diese Trans­fers bis­her auf der Safe-Harbor-Vereinbarung, muss sofort gehandelt werden, andernfalls droht ein Bußgeld bis zu 300.000 Euro.
Aber auch Unternehmen, die Dienstleister im Rahmen einer Auftragsdatenverarbeitung einschalten, sind unmittelbar betroffen, wenn der Dienstleister seine Leistungen in den USA erbringt oder ein Zugriff auf personenbezogene Daten aus den USA nicht ausgeschlossen werden kann.
Folgende Fragen sind zu beantworten; sie sind auch für DATEV-Mitglieder relevant, die derartige Dienstleistungen in Anspruch nehmen:

• Habe ich Dienstleister mit Sitz in den USA, die für mich dort Dienstleistungen erbringen?
• Hat mein Dienstleister Subunternehmer mit Sitz in den USA, die von dort aus agieren, oder werden Subunternehmerleistungen in den USA erbracht?
• Ist der Datentransfer über Safe Harbor vereinbart?

Zur Klärung des Sachverhalts und um geeignete Maßnahmen einzuleiten, sollten die konkreten Vereinbarungen geprüft und der eigene betriebliche Datenschutzbeauftragte hinzugezogen werden beziehungsweise die Experten des DATEV-Consultings.

DATEV-Dienstleistungen sind sicher

Mitglieder der DATEV sind durch den Einsatz von DATEV-Dienstleistungen nicht betroffen.
Die DATEV-Rechenzentren befinden sich ausschließlich in Deutschland. Das Speichern und Verarbeiten in den Rechenzentren findet also ausschließlich in Deutschland statt.
Mit Kunden vertraglich vereinbarte Leistungen erbringt DATEV weitgehend selbst. Lediglich in geringem Umfang werden Subunternehmer eingesetzt, die bestimmte Leistungsteile erbringen; unter anderem Callcenter mit Standorten in Deutschland, die Serviceanrufe im Auftrag der DATEV entgegennehmen. Es werden keine Subunternehmer für die vertraglich vereinbarten Leistungen eingesetzt, deren Leistung einen Transfer personenbezogener Daten in die USA auf Basis von Safe Harbor enthält.
Alle Dienstleister, die DATEV bei ihren Leistungen unterstützen, werden sehr sorgfältig aus­ge­wählt, es wird eine Regelung zur Verpflichtung des eingesetzten Personals auf das Da­ten­ge­heim­nis vereinbart und – soweit erforderlich – mit diesen auch eine Vereinbarung zur Auf­trags­da­ten­ver­ar­bei­tung abgeschlossen.