Safe Harbor: Datenschützer drohen mit Strafe bei Datentransfer in die USA

Wie wirkt sich der gerichtliche Stopp des Safe-Harbor-Abkommens auf die Übermittlung persönlicher Daten von EU-Bürgern in die USA aus? Diese schwierige Frage versucht die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen in einer ersten Analyse zu beantworten. Ihre Antwort klingt ernüchternd: "Mit Blick auf die hohen Anforderungen, die der Europäische Gerichtshof (EuGH) in seinem Urteil aufgestellt hat, kann eine dauerhafte Lösung nur in einer wesentlichen Änderung im US-amerikanischen Recht liegen", teilte Hansen am Mittwoch in Kiel mit. Schleswig-holsteinische Unternehmen, die personenbezogene Daten in die USA übermittelten, "sollten ihre Verfahren schnellstmöglich überprüfen und Alternativen für eine Verarbeitung personenbezogener Daten in den USA erwägen".

Der EuGH hatte in der vergangenen Woche festgestellt, dass die Daten europäischer Facebook-Nutzer in den USA nicht ausreichend vor dem Zugriff staatlicher Stellen geschützt seien. Das Gericht kritisierte weiterhin, dass europäische Bürger nicht in den USA gegen den Missbrauch ihrer Daten klagen können. Das Safe-Harbor-Abkommen zwischen der EU und den USA sei daher ungültig.

EU kann Probleme nicht alleine beheben

Nach Ansicht des Unabhängigen Landeszentrums für Datenschutz (ULD) hat die EU-Kommission derzeit keine Möglichkeiten, den Datentransfer in die USA wieder zu legitimieren. "Eine Entscheidung der Kommission zur Angemessenheit des Datenschutzniveaus in den USA erfordert ebenso wie der Abschluss eines völkerrechtlichen Datenschutzabkommens eine umfassende Änderung US-amerikanischen Rechts. Da entsprechende Änderungen derzeit nicht zu erwarten sind, scheiden beide Handlungsoptionen kurz- oder mittelfristig aus", schreibt das ULD in seiner Stellungnahme.

Aber auch für andere "Handlungsoptionen" sieht es nach Ansicht der Datenschützer nicht gut aus. So reiche eine Einwilligung in den Datentransfer durch die Betroffenen nicht aus. "Die anlasslose Massenüberwachung durch Geheimdienste greift nach Ansicht des EuGH in den Wesensgehalt des Grundrechts auf Achtung des Privatlebens ein. Derartige Eingriffe sind nach bundesverfassungsgerichtlicher Rechtsprechung jedoch der Disposition des Einzelnen, auch im Wege einer Einwilligung, entzogen", heißt es. Zulässig sei hingegen die Datenübermittlung, um einen Vertrag zu erfüllen, beispielsweise für Reise- und Flugbuchungen. Dies gelte aber nicht für Daten von Beschäftigten, "welche in den USA zum Beispiel zur Leistungs- oder Verhaltenskontrolle verarbeitet werden".

Bis zu 300.000 Euro Bußgeld möglich

Problematisch ist demnach auch die Verwendung von Standardvertragsklauseln durch Unternehmen. So könnten US-amerikanische Vertragspartner mit Blick auf das in den USA geltende Recht nicht garantieren, die notwendigen Datenschutzstandards einzuhalten. "In konsequenter Anwendung der Vorgaben des EuGH in seinem Urteil ist eine Datenübermittlung auf Basis von Standardvertragsklauseln nicht mehr zulässig", schreibt das ULD. Firmen, die für ihren Datentransfer in die USA Standardvertragsklauseln verwendeten, müssten daher erwägen, den Vertrag mit dem Datenimporteur in den USA zu kündigen oder die Datenübermittlungen auszusetzen.

Das Urteil könnte daher Firmen, die weiterhin Daten in die USA übertragen, vor große Probleme stellen. So will das ULD prüfen, ob Anordnungen getroffen werden müssten, "auf deren Basis Datenübermittlungen in die USA ausgesetzt oder verboten werden müssen". Zudem sei zu prüfen, Unternehmen oder andere nichtöffentliche Stellen "infolge der Datenübermittlung in ein Drittland mit fehlendem angemessenen Datenschutzniveau Ordnungswidrigkeiten verwirklicht haben". Die Übermittlung personenbezogener Daten in die USA ohne Rechtsgrundlage könne mit einem Bußgeld in Höhe von bis zu 300.000 Euro geahndet werden.

Mit seiner Stellungnahme positioniert sich das ULD gegen andere Datenschutzexperten wie den Juristen Carlo Piltz. Dessen Ansicht nach haben Standardvertragsklauseln bindende Wirkung, solange sie nicht durch den EuGH aufgehoben oder die EU-Kommission abgeändert worden seien. Aufsichtsbehörden seien nicht befugt, die Ungültigkeit einer solchen Entscheidung festzustellen.