Datenübermittlungen in die USA unzulässig ?

Aufsichtsbehörden ziehen nach NSA-Skandal die Schrauben an

Unternehmen müssen ab sofort damit rechnen, daß Datenübertragungen in die USA nicht mehr genehmigt werden bzw. nur noch mit Auflagen zulässig sind.

Laut einer Pressemeldung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sollen laufende Rechtsgrundlagen für solche Datenübertragungen ausgesetzt werden. Ob das auch für bereits genehmigte Datenübertragungen gilt, bleibt in der Meldung unklar. Zumindest spricht sich die Konferenz dafür aus, die bisherige Praxis des sog. “Safe-Harbour”-Verfahrens nicht mehr akzeptieren zu wollen, weil vor dem Hintergrund der aktuellen Skandale um die Datenabgriffe der NSA eine ”hohe Wahrscheinlichkeit” bestehe, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt seien.

Wörtlich heißt es, “bevor (…) nicht sichergestellt ist, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird” würden die Aufsichtsbehörden für den Datenschutz “keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.”

Dramatische Folgen für deutsche Unternehmen ?

Dieser Standpunkt der Aufsichtsbehörden kann für deutsche Unternehmen dramatische Folgen haben, denn im Ergebnis bedeutet er, daß die Weitergabe personenbezogener Daten, insbesondere also solcher von Kunden, aber auch von Arbeitnehmern, künftig als unzulässig angesehen werden kann, auch wenn dies bisher zulässig schien.

Bezogen allein auf das “Safe-Harbour”-Verfahren ist das eigentlich nicht so neu, wie es scheinen mag, denn die Aufsichtsbehörden haben bereits seit einigen Jahren ihre Auffassung zur Effektivität des “Safe-Harbour”-Verfahrens dahin geändert, daß Sie zusätzlich den Abschluß von Standardvertragsklauseln auch für Datenflüsse in die USA verlangen.

Die aktuelle Praxis einiger Aufsichtsbehörden hatte sich nach den Erfahrungen meiner Kanzlei bereits seit einiger Zeit dahin geändert, daß nicht mehr sowohl ein “Safe-Harbour”-Eintrag als auch der Abschluß von Standardvertragsklauseln gefordert wurde, sondern daß die Behörden es ausreichen ließen, wenn nur noch die Standardvertragsklauseln umgesetzt wurden (was streng formal gesehen dem Buchstaben der geltenden Regelungen widerspricht).

Neu ist nun allerdings, daß selbst die Standardvertragklauseln in Zweifel gezogen werden. Offenbar wollen die Aufsichtsbehörden auf die Datenfischerei der NSA dadurch reagieren, daß sie den Schwerpunkt der Prüfung weg von einer Vermutung für die Zulässigkeit bei Einhaltung standardisierter Verfahren hin zu einer tatsächlichen Prüfung verlagern möchten. Wie das bei der gegenwärtigen Personal- und Sachausstattung dieser Behörden realisiert werden soll, ist eine andere Frage.

In der Pressemeldung heißt es dazu etwas sybillinisch:

“Wirtschaftsunternehmen, die personenbezogene Daten in die USA übermitteln, tragen für diese Daten die Verantwortung. Wie alle Menschen in Deutschland müssen auch sie deshalb ein Interesse daran haben, dass personenbezogene Datenflüsse von Geheimdiensten nicht im großen Stil anlasslos überwacht werden.”

Was ist zu tun ?

Jedem Unternehmen, daß personenbezogene Daten in die USA übertragen möchte oder dies bereits tut, ist zu raten, kurzfristig zu überprüfen, ob und in welchem Umfang dies bereits bisher überhaupt zulässig war oder künftig zulässig sein kann.

Die Erfahrung in meiner Beratungspraxis zeigt, daß in der Vergangenheit bereits die längst geltenden Standards selbst bei großen Konzernen nicht oder nur mit einer sehr laxen Auslegung eingehalten worden sind.

Wer künftig rechtskonform mit Daten umgehen will, sollte daher nicht nur dafür sorgen, daß er beizeiten das bisherige Niveau der datenschutzrechtlichen Anforderungen erfüllt, sondern ergründen, ob und welche Anpassungen jetzt notwendig werden – und sei es auch nur, um Reputationsschäden aus dem Weg zu gehen.

Erfahrene Berater auf diesem Gebiet finden Sie für Rechtsfragen bei firstlex und bezüglich der IT-Sicherheit bei firstbrain.

Hinterlasse eine Antwort