Bislang war die Übermittlung personenbezogener Daten aus der EU in die USA erlaubt, der Transfer galt als ausreichend geschützt, und bestimmte Unternehmen in den USA galten als sicherer Datenhafen. Diese Safe-Harbor-Vereinbarung kippte der Europäische Gerichtshof. Unternehmen, die auf Basis dieser Vereinbarung weiter Daten in die USA transferieren, droht ein Bußgeld von bis zu 300.000 Euro.
Nach europäischem Datenschutzrecht dürfen personenbezogene Daten außerhalb der Europäischen Union nur weitergegeben werden, wenn im Empfängerland sichergestellt ist, dass ein angemessenes Datenschutzniveau vorliegt. Der Datentransfer an amerikanische Unternehmen galt als zulässig, wenn sie sich einem Zertifizierungsverfahren unterwerfen und dies an die US Federal Trade Commission (FTC) melden. Am 6. Oktober 2015 entschied der Europäische Gerichtshof (EuGH), dass die Grundlage für diese Vereinbarung (Safe Harbor) zwischen EU-Kommission und FTC nicht gegeben ist.
Die Begründung: Amerikanische Behörden konnten auf die übermittelten personenbezogenen Daten zugreifen und diese in einer Weise verarbeiten, die mit der Zielsetzung der Übermittlung unvereinbar war und über das hinausging, was zum Schutz der US-nationalen Sicherheit absolut notwendig und verhältnismäßig gewesen wäre. Für die Betroffenen gab es zudem keine administrativen oder gerichtlichen Rechtsbehelfe, mit denen sie Zugang zu ihren Daten erhalten und sie gegebenenfalls berichtigen oder löschen lassen konnten.
Stein des Anstoßes
Anstoß, sich mit diesem Thema zu befassen, war lediglich die Frage, ob es in der Kompetenz einer Datenschutzaufsichtsbehörde liegt, Entscheidungen der EU-Kommission zu überprüfen. Ein Österreicher hatte gegen ein soziales Netzwerk mit Sitz in Irland geklagt, weil es seine Daten auf Safe-Harbor-Basis in die USA überträgt. Die irische Aufsichtsbehörde hatte sich für nicht zuständig erklärt.
Der EuGH entschied, dass eine Datenschutzaufsichtsbehörde wohl Entscheidungen der EU-Kommission überprüfen könne, aufheben aber könne diese nur der EuGH. Doch der EuGH entschied auch gleich über Safe Harbor selbst und brachte damit US-amerikanische IT-Anbieter in Erklärungsnöte und verursachte für viele europäische Unternehmen ein Dilemma.
Über die Geltung anderer Zulässigkeitsvoraussetzungen wie des Einsatzes von Standardvertragsklauseln, Binding Corporate Rules oder die Wirksamkeit von Einwilligungen Betroffener traf der EuGH keine Aussage. Es wird auf den jeweiligen Einzelfall ankommen; wahrscheinlich wird der EuGH aber auch in diesen Fällen nicht anders entscheiden.
Was tun nun die Aufsichtsbehörden?
Die europäischen Aufsichtsbehörden haben angekündigt, vor Ende Januar 2016 nicht von sich aus tätig zu werden, und empfehlen betroffenen Unternehmen, „eine andere Zulässigkeitsmöglichkeit des Datentransfers zu wählen oder die Datenverarbeitung ohne USA-Bezug durchführen zu lassen“. Darüber hinaus behalten sie sich vor, auch andere Varianten im Hinblick auf die EuGH-Aussagen zu prüfen. Einzelne Aufsichtsbehörden haben bei Unternehmen nachgefragt, wie sie damit umgehen.
Parallel verhandelt die EU-Kommission mit der FTC über eine Fortführung von Safe Harbor (Safe Harbor II). Diese Verhandlungen laufen bereits seit 2013 und werden nun die EuGH-Entscheidung berücksichtigen müssen.
Wer ist betroffen?
Auch Unternehmen, deren Dienstleister seine Leistungen in den USA erbringt, sind betroffen.
Einerseits sind Unternehmen in einer US-amerikanischen Konzernstruktur betroffen, bei denen personenbezogene Daten innerhalb des Konzerns in die USA transferiert werden. Basieren diese Transfers bisher auf der Safe-Harbor-Vereinbarung, muss sofort gehandelt werden, andernfalls droht ein Bußgeld bis zu 300.000 Euro.
Aber auch Unternehmen, die Dienstleister im Rahmen einer Auftragsdatenverarbeitung einschalten, sind unmittelbar betroffen, wenn der Dienstleister seine Leistungen in den USA erbringt oder ein Zugriff auf personenbezogene Daten aus den USA nicht ausgeschlossen werden kann.
Folgende Fragen sind zu beantworten; sie sind auch für DATEV-Mitglieder relevant, die derartige Dienstleistungen in Anspruch nehmen:
- Habe ich Dienstleister mit Sitz in den USA, die für mich dort Dienstleistungen erbringen?
- Hat mein Dienstleister Subunternehmer mit Sitz in den USA, die von dort aus agieren, oder werden Subunternehmerleistungen in den USA erbracht?
- Ist der Datentransfer über Safe Harbor vereinbart?
Zur Klärung des Sachverhalts und um geeignete Maßnahmen einzuleiten, sollten die konkreten Vereinbarungen geprüft und der eigene betriebliche Datenschutzbeauftragte hinzugezogen werden beziehungsweise die Experten des DATEV-Consultings.
DATEV-Dienstleistungen sind sicher
Mitglieder der DATEV sind durch den Einsatz von DATEV-Dienstleistungen nicht betroffen.
Die DATEV-Rechenzentren befinden sich ausschließlich in Deutschland. Das Speichern und Verarbeiten in den Rechenzentren findet also ausschließlich in Deutschland statt.
Mit Kunden vertraglich vereinbarte Leistungen erbringt DATEV weitgehend selbst. Lediglich in geringem Umfang werden Subunternehmer eingesetzt, die bestimmte Leistungsteile erbringen; unter anderem Callcenter mit Standorten in Deutschland, die Serviceanrufe im Auftrag der DATEV entgegennehmen. Es werden keine Subunternehmer für die vertraglich vereinbarten Leistungen eingesetzt, deren Leistung einen Transfer personenbezogener Daten in die USA auf Basis von Safe Harbor enthält.
Alle Dienstleister, die DATEV bei ihren Leistungen unterstützen, werden sehr sorgfältig ausgewählt, es wird eine Regelung zur Verpflichtung des eingesetzten Personals auf das Datengeheimnis vereinbart und – soweit erforderlich – mit diesen auch eine Vereinbarung zur Auftragsdatenverarbeitung abgeschlossen.
MEHR DAZU
Weitere Informationen auf www.datev.de/consulting oder in der Broschüre DATEV-Consulting (Art.-Nr. 10957)
Fragen zum Beratungsangebot der DATEV beantwortet gern Ihr kundenverantwortlicher Ansprechpartner bei DATEV.
Kontakt:
E-Mail: consulting @datev.de
Tel. +49 911 319-7051