2/2: Alternative: EU-Standardvertragsklauseln
LTO: Das klingt ganz ähnlich wie Safe Harbor. Warum haben dann, da die Zulässigkeit der Grundsätze ja schon länger umstritten war, nicht bereits mehr Unternehmen umgesattelt?
Dönch: Das liegt unter anderem daran, dass man sich zum Beispiel beim Hosting personenbezogener Daten auf US-Servern mit den EU-Standardvertragsklauseln schwer tut: Denn hierfür müssen US-Unternehmen große Zugeständnisse in Richtung Geltung des EU-Datenschutzrechts machen - dieser Schritt fällt vielen US-Unternehmen erfahrungsgemäß nicht gerade leicht.
Auch die Erlaubnistatbestände des BDSG helfen in dieser Konstellation regelmäßig nicht weiter. Deshalb haben trotz dieser Alternativen in der Vergangenheit viele Unternehmen mit Safe Harbor operiert.
LTO: Müssen all diese Unternehmen nun mit jedem einzelnen Kunden vereinbaren, dass dieser dem Datentransfer in die USA zustimmt?
Dönch: Mit der wirksamen Einwilligung des Betroffenen können Unternehmen immer personenbezogene Daten von EU-Mitgliedstaaten in die USA - oder auch in andere Staaten- übermitteln. Allerdings ist es nicht in jeder Konstellation ganz einfach, eine wirksame Einwilligung von den Kunden einzuholen. Daher sollten Unternehmen in einem ersten Schritt prüfen, ob noch andere Möglichkeiten zur Verfügung stehen.
Alternative: Binding Corporate Rules
LTO: Welche kämen noch in Betracht?
Dönch: Vor allem internationale Konzerne können mit den Binding Corporate Rules konzernintern verbindliche Regelungen zum Datenschutz aufstellen und sich diesen verbindlich unterwerfen. Auch dies dient dazu, ein angemessenes Datenschutzniveau herzustellen.
LTO: Was hilft denn die konzerninterne Vereinbarung im Außenverhältnis gegenüber dem Kunden?
Dönch: Allein die konzerninterne Vereinbarung reicht hierfür in der Tat noch nicht aus. Denn die Binding Corporate Rules müssen von der Datenschutzbehörde des EU-Mitgliedstaates genehmigt werden, in dem das die personenbezogenen Daten übermittelnde Unternehmen seinen Sitz hat. Dieser Prozess kann einige Zeit in Anspruch nehmen.
Wie viel Zeit wird den Unternehmen bleiben?
LTO: Und dennoch halten Sie das für effizienter, als die Einwilligung vom Kunden einzuholen? Könnte man denn nicht relativ einfach die AGB anpassen?
Dönch: Die Anforderungen des BDSG an eine wirksame Einwilligung in die Weitergabe personenbezogener Daten sind hoch. So muss im Vorfeld der Einwilligung z.B. auf den vorgesehenen Zweck der Datennutzung hingewiesen werden. Diesen Zweck ausreichend präzise zu fassen, ist nicht immer ganz leicht - muss doch den Umständen des konkreten Einzelfalles Rechnung getragen werden. Und AGB einerseits und Einzelfall andererseits stehen ja bekanntlich in einem Spannungsverhältnis.
LTO: Und wenn für ein Unternehmen nun keine der Alternativen gangbar ist?
Dönch: Dann wäre die Datenübermittlung tatsächlich auszusetzen, da sie anderenfalls ohne ausreichende Rechtsgrundlage erfolgen würde.
Ich habe auch keine Zweifel daran, dass die Datenschutzbehörden in der EU die EuGH-Entscheidung umsetzen und hierauf zum Beispiel mit Bußgeldern reagieren werden. Spannend ist allenfalls die Frage, wie viel Zeit die Datenschutzbehörden den Unternehmen lassen werden, um nach dem Aus für Safe Harbor Alternativen zu implementieren.
LTO: Frau Dönch, wir danken Ihnen für das Gespräch.
Julia Dönch ist als Rechtsanwältin bei BDO Legal im Bereich IP/IT tätig. BDO Legal ist der deutsche rechtliche Kooperationspartner der BDO AG Wirtschaftsprüfungsgesellschaft. Julia Dönch berät und vertritt Unternehmen bei datenschutzrechtlichen Projekten und entwickelt Datenschutzkonzepte.
Die Fragen stellte Pia Lorenz.
Pia Lorenz, Unternehmen nach dem Ende von Safe Harbor: . In: Legal Tribune Online, 07.10.2015 , https://www.lto.de/persistent/a_id/17129 (abgerufen am: 05.11.2024 )
Infos zum Zitiervorschlag