Datenübermittlung in die USA

06.02.2017 - 12:33

Datenübermittlung in die USA

Die Weitergabe personenbezogener Daten in die USA auf der Rechtsgrundlage des Privacy Shields und was dabei zu beachten ist.

Kann eine Übermittlung personenbezogener Daten über den Privacy Shield in die USA erfolgen?
 

  • In letzter Zeit wurden häufig, vor allem von Krankenhäusern die Frage gestellt, ob eine aus medizinischen Gründen erforderliche Datenübermittlung an amerikanische Stellen zur Untersuchung möglich ist.
  • Viele weitere Anwender möchten ihre Daten in einer amerikanischen Cloud speichern, insbesondere bei den Dienstleistungen von Firmen, wie Microsoft, Google, Adobe und anderen. Zur Aufbewahrung von Dokumenten, in Verbindung mit ihrer weltweiten Abrufbarkeit auf praktisch allen Systemen, sind solche Angebote, wie Dropbox und ähnliche sehr beliebt, deren Rechner sich meist in den USA befinden.
  • Und schließlich sorgen mobile Betriebssysteme in vielen Fällen automatisch für eine Speicherung der dort verarbeiteten Datenin der firmeneigenen Cloud (iCloud, OneDrive), wobei auch amerikanische Server zur Verfügung stehen.


Gibt es hierfür ausreichende rechtliche Regelungen? Die USA gelten allgemein als unsicheres Drittland, weil es dort keine Datenschutzgesetze und entsprechende Aufsichtsbehörden wie in Europa gibt. Auf der anderen Seite ist die Datenübermittlung an amerikanische Firmen von wesentlicher wirtschaftlicher Bedeutung.

Früher wurde daher das Verfahren der sogenannten Safe-Harbor-Grundsätze angewandt. Dieses ist jedoch vom Europäischen Gerichtshof (EuGH) durch Urteil vom 06.10.2015 aus verschiedenen Gründen für ungültig erklärt worden. Stattdessen ist nunmehr mit den Regelungen des sogenannten EU-Privacy-Shield ein Ersatz geschaffen worden. Die Kommission der Europäischen Union hat am 12.07.2016 beschlossen, dass hiermit ein angemessenes Datenschutzniveau für Datenübermittlungen in die USA besteht. Die Artikel-29-Gruppe hat zudem anerkannt, dass hiermit Verbesserungen im Vergleich zum Safe-Harbor erzielt worden sind. Allerdings würden nicht alle Bedenken ausgeräumt. Der EuGH muss sich daher erneut mit der Wirksamkeit einer Regelung zum Datenaustausch zwischen Stellen in der EU und USA auseinandersetzen. Eine endgültige Entscheidung liegt zurzeit noch nicht vor.

Was ist daher rechtlich im Augenblick möglich?

Hierzu gibt die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen eine sehr eingehende und leicht verständliche Einführung. Auf ihrer Webseite werden unter „Häufig gestellte Fragen“ zum Thema „Datenübermittlungen in die USA – Fragen und Antworten zum EU-US Privacy Shield“ viele Unsicherheiten beseitigt.

Dabei stehen zwei Fragen im Vordergrund:

1. Besteht nach § 4 Abs. 1 BDSG (vergleichbar § 3 Abs. 1 KDO) eine Rechtsgrundlage für die Übermittlung?

2. Erfahren die Betroffenen durch die Übermittlung einen unverhältnismäßigen Eingriff in ihre Privatsphäre?

Nach § 12 Abs. 2 KDO hat die übermittelnde Stelle hierzu eine Überprüfungspflicht!

Diese erfordert zunächst einmal festzustellen, ob das empfangende Unternehmen überhaupt aktuell nach dem Privacy Shield zertifiziert ist. Eine aktuelle Liste findet sich unter www.privacyshield.gov/list (ausschließlich in englischer Sprache). Das alleinige Vertrauen auf die Webeangaben des Anbieters reicht nicht aus. Die Zertifizierung muss jährlich erneuert werden. Darüber hinaus werden zwei Lizenzen vergeben. Die Stufe „HR“ bezieht sich auf Beschäftigtendaten des jeweiligen Unternehmens, die Stufe „Non-HR“ auf alle anderen personenbezogenen Daten. Im Originaltext heißt es hierzu:

„HR = Personal data about an organization's own employees, past or present, collected in the context of the employment relationship. Non-HR = Other personal data.“

Die zertifizierten Unternehmen verpflichten sich, die im Privacy-Shield festgelegten Datenschutzgrundsätze einzuhalten. Stichworte hierzu sind „Informationspflicht“, „Wahlmöglichkeit des Betroffenen“, „Verantwortlichkeit für Weitergabe“, „Sicherheit“, „Datenintegrität und Zweckbindung“, „Auskunftsrecht der Betroffenen“ sowie „Rechtsschutz, Durchsetzung und Haftung“. Für Personaldaten sind außerdem besondere Vorgaben zu beachten (Stufe „HR“). Für den Übermittler ist unter Kenntnis dieser Voraussetzungen festzustellen, ob es für den Betroffenen weiterhin Risiken der Verletzung seines Persönlichkeitsrechts bestehen.

Anzunehmen sind solche Verletzungen vor allem bei Daten, die der gesetzlichen Verschwiegenheitspflicht nach § 203 StGB unterliegen oder aus anderen Gründen einen hohen Vertraulichkeitscharakter haben. Denn es bleibt dabei, dass amerikanische staatliche Behörden einen Anspruch haben, diese Daten einsehen können und ihnen durch Übermittlung zur Verfügung gestellt werden. Dieses Recht besteht auch dann, wenn es bei der Nachforschung  um Daten europäischer Staatsbürger handelt. § 203 StGB verlangt aber, dass die Daten keinem, auch nur theoretischem Risiko ausgesetzt werden dürfen, von Unberechtigten eingesehen werden zu können. Unberechtigt sind nach deutschem Recht auch Ermittlungsbehörden, solange die Person gegen die ermittelt wird, keine Entbindung von der Verschwiegenheitspflicht vorgenommen hat.

Nach dem Privacy Shield besteht nunmehr die Möglichkeit für alle zuständigen Aufsichtsinstanzen darüber zu entscheiden, ob eine Datenübermittlung an einen bestimmten Empfänger in den USA zulässig ist oder nicht. Sie sind im Gegensatz zum früheren Safe-Harbor-Abkommen nicht mehr an die Festlegung der EU-Kommission gebunden.

Weitere Informationen:

EU-U.S. Privacy Shield Framework

LDI NRW: Datenübermittlung in die USA – Fragen und Antworten zum EU-US Privacy Shield

Art.-29-Gruppe der EU: Presseerklärung vom 26.07.2016