Von Kathrin Schürmann
Die datenschutzrechtliche Relevanz von PRISM und Co. für deutsche Unternehmen verdeutlichte zuletzt die Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 24. Juli 2013. Darin verkünden Deutschlands oberste Datenschützer, vorerst keine neuen Genehmigungen für die Datenübermittlung in sogenannte Drittstaaten (das sind alle Länder, die nicht zum Europäischen Wirtschaftsraum gehören) zu erteilen. Ausdrücklich betreffe dies auch Genehmigungen zur Nutzung „bestimmter Cloud-Dienste“.
Es sei nicht gewährleistet, dass personenbezogene Daten, die deutsche Unternehmen in die USA und andere Drittstaaten übermitteln, dort einem angemessenen Datenschutzniveau unterliegen. Außerdem wollen die Datenschutzbeauftragten nun prüfen, ob alle Datenübermittlungen auf Grundlage des Safe-Harbor-Abkommens und der EU-Standardvertragsklauseln auszusetzen sind, solange die Bundesregierung nicht dargelegt hat, „dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland im Sinne der genannten Grundsätze begrenzt wird.“
Die Entscheidung erscheint zunächst wie ein Paukenschlag. In der Presseberichterstattung wird zuweilen der Eindruck erweckt, als ob der Datenstrom in die USA nun versiege. So heißt es etwa: „Datenschützer stoppen neue Datentransfers von Firmen in die USA“ (Heise Security) oder „Deutsche Datenschützer untersagen Datentransfers in die USA“ (Golem.de). Bei näherer Betrachtung relativiert sich dieser Eindruck jedoch.
Genehmigung nicht immer erforderlich
Die Ankündigung der Datenschützer verliert an Schärfe, betrachtet man sie vor dem datenschutzrechtlichen Hintergrund. Denn häufig ist für die Übermittlung von personenbezogenen Daten in das Ausland überhaupt keine Genehmigung der Datenschutzbehörden erforderlich. So ist nach den Vorschriften des Bundesdatenschutzgesetzes eine Genehmigung nicht erforderlich, wenn die Daten an einen Datenimporteur innerhalb des europäischen Wirtschaftsraumes oder in einem sogenannten „sicheren Drittstaat“ übermittelt werden sollen. Welche Staaten als sichere Drittstaaten anzusehen sind, wird für die EU-Mitgliedsstaaten – und damit auch für die deutschen Datenschutzbehörden – verbindlich von der EU-Kommission festgelegt. Dazu gehören zum Beispiel Australien, Kanada, die Schweiz und Israel.
Eine Sonderlage besteht für die USA: Die USA gelten an sich zwar nicht als sicherer Drittstaat. Aufgrund des Safe-Harbor-Abkommens zwischen der EU-Kommission und dem US-Handelsministerium kann sich der Datenimporteur in den USA jedoch gegenüber der zuständigen US-Behörde zur Einhaltung der im Safe-Harbor-Abkommen enthaltenen Regelungen verpflichten. In diesem Fall gilt ausnahmsweise auch der Datentransfer in die USA als „sicher“, so dass die Genehmigung der deutschen Datenschutzbehörden nicht erforderlich ist. Eine aktuelle Übersicht über die „sicheren Drittstaaten“ stellt die EU-Kommission auf ihrer Website bereit.
Eine Genehmigung ist ferner nicht erforderlich, wenn die Datenübermittlungen auf Grundlage der (unveränderten) EU-Standardvertragsklauseln erfolgen. Denn auch in diesem Fall hat die EU-Kommission für die Mitgliedsstaaten verbindlich festgestellt, dass in diesem Fall ein ausreichendes Datenschutzniveau gewährleistet ist.
Zusammenfassend kann daher festgestellt werden, dass Datenübermittlungen in die meisten für deutsche Unternehmen bedeutsamen Zielländer von Datenübermittlungen ohnehin keiner Genehmigung bedürfen. Insoweit geht die Ankündigung der Datenschützer, vorerst keine neuen Genehmigungen mehr zu erteilen, ins Leere. Allerdings hat die Europäische Kommission am 19. Juli 2013 erklärt, dass sie das Safe-Harbor-Abkommen aus Anlass der jüngsten Enthüllungen einer Prüfung unterziehen wird. Die Prüfung soll bis Ende 2013 abgeschlossen sein.
Untersagung von Datenübermittlungen
Soweit deutsche Unternehmen personenbezogene Daten aufgrund einer Genehmigung der Datenschutzbehörden in „unsichere Drittstaaten“ übermitteln, kann die zuständige Aufsichtsbehörde die von ihr erteilten Genehmigungen grundsätzlich zurücknehmen oder widerrufen. Die Datenschutzbehörden sind grundsätzlich auch befugt, bei Verstößen gegen das Bundesdatenschutzgesetz einzugreifen und Datenübermittlungen in das Ausland zu untersagen.
In der Praxis dürfte sich ein solches Vorgehen jedoch schwierig gestalten, da die Behörden an die bindenden Feststellungen der EU-Kommission gebunden sind und darlegen müssten, inwiefern deutsches Datenschutzrecht durch die Datenübermittlungen verletzt wird beziehungsweise die Gefahr eines Schadens besteht. Die deutschen Behörden können das Safe-Harbor-Abkommen auch nicht außer Kraft setzen. Es können lediglich Datenübermittlungen an bestimmte US-Unternehmen auf Grundlage des Safe-Harbor-Abkommens untersagt werden. Auch hierzu müsste dargelegt werden, dass aufgrund der Datenübermittlung das „unmittelbar bevorstehende Risiko eines schweres Schadens“ besteht. Dies dürfte in der Praxis schwierig sein. Ferner müsste das betroffene US-Unternehmen vor einer Verbotsmaßnahme angehört werden.
Ausblick
Es ist kaum vorstellbar, dass die deutschen Datenschutzbehörden ihre Androhung in die Tat umsetzen werden und gegen Datenübermittlungen in die USA und andere Drittstaaten vorgehen werden. Zum einen würde dies empfindliche und unvorhersehbare Folgen für die deutsche Wirtschaft zur Folge haben. Zum anderen ist bereits zweifelhaft, ob die gesetzlichen Voraussetzungen für solch einen massiven Eingriff vorliegen. Die Ankündigung der Datenschützer ist daher wohl vor allem als politisches Signal zu verstehen – insbesondere in Richtung der Bundesregierung und der EU-Kommission. Es wäre jedenfalls nicht das erste Mal, dass die Datenschützer zu solchen Mitteln greifen. Auf jeden Fall sollten deutsche Unternehmen die weiteren Entwicklungen im Blick behalten.
Über die Autorin:
Kathrin Schürmann ist seit 2007 in der Kanzlei Schürmann Wolschendorf Dreyer tätig und berät Unternehmen schwerpunktmäßig in Fragen des IT- und Datenschutzrechts sowie des Wettbewerbsrechts.