In unserem Blog-Beitrag Safe-Harbor-Abkommen und Google Analytics berichteten wir bereits darüber, dass der Europäische Gerichtshof das Abkommen zwischen der EU und den USA für ungültig erklärt hat.
Wie ist nun der aktuelle Stand?
Die europäischen Datenschützer fordern, dass die Daten von europäischen Bürgern besser geschützt werden. Der EuGH bemängelte u.a., dass die Daten von z.B. Facebook-Nutzern aus Europa in den USA nicht ausreichend vor dem Zugriff staatlicher Stellen geschützt seien. Weiterhin ist es europäischen Bürgern nicht möglich, gegen den Missbrauch ihrer personenbezogenen Daten in den USA zu klagen. Aus diesem Grund setzt die Artikel-29-Gruppe den entsprechenden Vertragspartnern eine Frist bis Ende Januar 2016. Bis dahin haben die US-Behörden Zeit, auf das Urteil des EuGH zu reagieren.
Ob die Frist eingehalten wird, ist fraglich. Die EU-Kommission verhandelt schon seit längerer Zeit über eine Neufassung des Abkommens mit den USA. Doch in dem Fall würde nur eine wesentliche Änderung US-amerikanischer Gesetze dazu führen, dass die USA als sicheres Drittland für Daten europäischer Bürger eingestuft werden kann.
Welche Konsequenzen kann das Urteil für mein Unternehmen haben?
Laut dem Urteil des EuGH ist eine Datenübermittlung auf Basis von Standardvertragsklauseln an Auftragsverarbeiter in Drittstaaten nicht mehr zulässig. Wer auf Dienste zurückgreift, die sensible personenbezogene Daten sammeln und in die USA transferieren, muss in Erwägung ziehen, den Standardvertrag mit dem Datenimporteur in den USA zu kündigen oder die Datenübermittlung auszusetzen. Unternehmen wie Google übertragen ihre Daten auf Basis von solchen Standardvertragsklauseln in die USA. Nach dem Beschluss des EuGH wird die Artikel-29-Gruppe diese Tools prüfen. Es ist nicht auszuschließen, dass sie zukünftig für unzulässig erklärt werden.
Werden trotz Beschluss sensible Daten in ein Drittland ohne angemessenes Datenschutzniveau übermittelt, müssen die Unternehmen u.a. mit Bußgeldern in Höhe von bis zu 300.000€ rechnen (s. § 43 Abs. 2 Nr. 1 BDSG – Verstöße gegen das Bundesdatenschutzgesetz).
Was kann ich tun, um mich nicht strafbar zu machen?
Da aktuell noch die Frist zur Auseinandersetzung mit den US-Behörden läuft, gibt es noch keine endgültige Lösung für Verwender von Google & Co. Momentan gibt es nur die Möglichkeit, das Risiko einer Abmahnung so gering wie möglich zu halten. Unternehmen sollten zunächst ihr Risiko-Level einschätzen und gegebenenfalls rechtliche und technische Schritte einleiten, um dieses zu minimieren. Im Fall der Verwendung von Web Analyse Tools o.ä., welche die gesammelten Daten in die USA übermitteln, empfiehlt es sich nach alternativen Möglichkeiten Ausschau zu halten. Ein geringeres Risiko gibt es bei der Verwendung von selbst gehosteten Lösungen, Services, die in der EU gehostet werden sowie Open Source Software.