Das Urteil des Europäischen Gerichtshofs vom 06. Oktober 2015, das die Safe Harbor-Entscheidung der Kommission für ungültig erklärte, schlägt große Wellen in der Öffentlichkeit und der Presse. Doch was bedeutet das Urteil für Shopbetreiber? Hier geben wir erste Antworten auf die wichtigsten Fragen.
Update: Stellungnahme der Datenschützer
Zwar war Beklagter im irischen Ausgangsverfahren Facebook, die Auswirkungen der Entscheidung beschränken sich jedoch nicht auf diesen US-amerikanischen Social-Media-Dienst. Vielmehr hat der EuGH (Urt. v. 6. Oktober 2015, Rs. C-362/14) entschieden, dass die Übermittlung personenbezogener Daten in die USA aufgrund von Safe Harbor insgesamt nicht mehr zulässig ist. Auch andere Datenübermittlungen in die USA, die andere Unternehmen tätigen, sind von der Entscheidung betroffen.
[poll id="84"]
Sie können auch von der Entscheidung des EuGH betroffen sein, wenn Sie mit Dienstleistern arbeiten, die bisher personenbezogene Daten unter dem Schutz von Safe Harbor in die USA übermittelt haben. Dies kann zum Beispiel ein US-amerikanischer Shopsystem-Anbieter sein oder ein Anbieter von Mail-Dienstleistungen für Email-Newsletter.
Grundsätzlich sind Datenübermittlungen in einen Staat außerhalb der EU nicht zulässig. Etwas anderes gilt nur, wenn gemäß § 4b Abs. 3 BDSG ein angemessenes Datenschutzniveau bei dem Datenempfänger in dem Drittstaat sichergestellt wird oder der Betroffene ausdrücklich in die Übermittlung eingewilligt hat.
Durch die Safe Harbor-Entscheidung des EuGH zählen die USA nicht länger zu den Staaten mit einem angemessenen Datenschutzniveau. Als Lösung für eine rechtskonforme Übertragung personenbezogener Daten in die USA bleibt derzeit daher nur die Einwilligung des Betroffenen, wobei unklar ist, welche konkreten Voraussetzungen an eine solche Einwilligung zu stellen sind.
In Bezug auf Fanseiten ist allein Facebook in der Pflicht, dafür zu sorgen, dass die Übermittlung personenbezogener Daten durch seine Dienste im Einklang mit den europäischen Datenschutzvorschriften stattfindet. Dies wurde durch das OVG in Schleswig Holstein in einem Urteil vom 4. September 2014 festgestellt.
Doch auch hier ist Vorsicht geboten: Das Urteil ist umstritten und trifft jedenfalls keine Entscheidung über Datenschutzverstöße, die als Wettbewerbsverstöße über § 4 Nr. 11 UWG von Mitbewerbern abgemahnt werden können – hierfür dürfte in der Regel der Fanseitenbetreiber selbst verantwortlich sein.
Das Einbinden von Facebook-Plugins oder Plugins anderer Social Media Dienste wurde bereits vor der Safe Harbor-Entscheidung des EuGH diskutiert. Nach einhelliger Auffassung der deutschen Datenschutzbehörden ist der Shopbetreiber verpflichtet, die Plugins nicht unverändert einzubinden, sondern eine unmittelbare Datenübertragung bei Seitenbesuch zu unterbinden. Hierfür wird häufig die 2-Klick-Lösung empfohlen, um die Datenschutzvorschriften einzuhalten. Die Nichteinhaltung dieser Pflicht wurde in der Vergangenheit bereits von der Verbraucherzentrale NRW abgemahnt. Das EuGH-Urteil ändert diese Pflicht nicht, im Gegenteil: es verschärft das Problem eher, da die meisten Social Media Dienste ihren Sitz in den USA haben. Ob der erste Klick dann als wirksame Einwilligung in eine Übermittlung der eigenen Daten in die USA gewertet werden kann, ist jedoch mehr als fraglich.
Im Falle einer nach deutschem Recht datenschutzkonformen Konfigurierung von Google Analytics werden keine personenbezogenen Daten in die USA übermittelt. Es werden lediglich anonymisierte Daten übertragen, da eine Anonymisierung noch innerhalb der EU stattfindet. Somit gelten die Anforderungen zur Übermittlung personenbezogener Daten in Drittländer außerhalb der EU nicht.
Die Safe Harbor-Entscheidung des EuGH ist sofort rechtskräftig. Somit gibt es keine Übergangsfrist, in der Unternehmen noch Datenübermittlungen nach der alten Rechtslage tätigen können. Allerdings sollte dies auch kein Grund zu Panik sein. Auch die nationalen Datenschutzbehörden werden das Urteil und seine Folgen zunächst diskutieren.
Es ist zu erwarten, dass sie sich in den nächsten Wochen dazu äußern werden, wie mit der neuen Situation am besten umgegangen werden soll. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rehinland-Pfalz hat sich bereits in einer Pressemitteilung vom 6. Oktober dazu geäußert:
"Die enge Abstimmung mit den deutschen und europäischen Datenschutzbehörden hat bereits begonnen. Als Aufsichtsbehörde werden wir die nächste Zeit nutzen, um so schnell wie möglich gemeinsam mit den Unternehmen in Rheinland-Pfalz Lösungen zu entwickeln. Ein erster Schritt dahin wird die Landesdatenschutzkonferenz am 15. Oktober sein, auf der wir zusammen mit der Landesregierung und den Betrieben in Rheinland-Pfalz die Problematik erörtern werden."
Das Urteil hat eindeutig die Befugnisse der nationalen Datenschutzbehörden zur Kontrolle der Übermittlung personenbezogener Daten in Drittländer geschildert. Eine unzulässige Übermittlung personenbezogener Daten in Drittländer kann im Einzelfall mit einem Ordnungsgeld oder sogar mit einer Unterlassungsverfügung belegt werden.
Eine Unterlassungsverfügung bedeutet das sofortige Verbot, den gerügten Dienst oder die gerügte Funktion weiter zu verwenden. Zum jetzigen Zeitpunkt ist unklar, wie streng die jeweiligen nationalen Datenschutzbehörden bei der Kontrolle der Übertragung personenbezogener Daten in die USA vorgehen werden.
In diesem Zusammenhang wäre es wünschenswert, dass sich die Behörden innerhalb der EU insoweit abstimmen und möglichst einheitlich und koordiniert vorgehen, um die schon vorhandene Rechtsunsicherheit zu minimieren. Dies werden die Datenschutzbehörden auch bei einem Treffen der Art. 29 Datenschutzgruppe diskutieren.
Wie bereits erläutert, ist es wichtig, nicht übereilt oder panisch zu reagieren. Erstellen Sie sich eine Auflistung der Dienstleister, mit denen Sie zusammenarbeiten – so haben Sie einen Überblick. Welche Lösungen für Dienstleister, die personenbezogene Daten in die USA übertragen, konkret zu empfehlen sind, wird sich in den nächsten Wochen zeigen, nachdem sich die nationalen Datenschutzbehörden, sowie die Art. 29-Datenschutzgruppe (Art. 29 Working Party) zu dem Urteil geäußert haben.
Daneben laufen derzeit bereits Gespräche über eine neue Safe Harbor-Regelung zwischen der EU und den USA. Für den Moment bleibt es zwar bei einer gewissen Rechtsunsicherheit, wenn Sie jedoch die öffentlichen Äußerungen der für Sie zuständigen Datenschutzbehörde weiterhin verfolgen, wird Ihnen ausreichend Zeit bleiben, um zu reagieren.
Die Safe Harbor-Entscheidung des EuGHs hat ein Erdbeben in der digitalen Wirtschaft ausgelöst. Die Gültigkeit von Safe Harbor wurde aber schon früher in Frage gestellt und war insbesondere nach Edward Snowdens Enthüllungen nicht mehr tragbar. Wie der EuGH im Safe Harbor-Urteil betont, liegt dies vor allem an dem US Patriot Act, der amerikanischen Ermittlungsbehörden weitreichende Eingriffsrechte gibt. Die Datenschutzbehörden werden sich zeitnah treffen, um ein koordiniertes Vorgehen zu diskutieren. Eine möglichst einheitliche Umsetzung sowie eine Übergangsfrist würden den Bedürfnissen von Unternehmen dabei entgegenkommen. Wir halten Sie auf dem Laufenden.
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (kurz: ULD) hat heute, am 14. Oktober 2015, ein Positionspapier zu den Konsequenzen des Safe Harbor-Urteils des EuGH veröffentlicht.
Die wesentlichen Erkenntnisse aus dem Papier lauten:
Entsprechende Ordnungswidrigkeiten können mit einem Bußgeld von bis zu 300.000 Euro geahndet werden.
Das Positionspapier können Sie im Volltext auf der Website des ULD als PDF abrufen. Die Auffassung des ULD stößt auf heftige Kritik, beispielsweise von Stephan Hansen-Oest in seinem Blog datenschutz-guru.de.
Sobald sich weitere Datenschutzbehörden zu dem Urteil äußern, werden wir Sie informieren.
Jennifer Rost, Datenschutzbeauftragte Trusted Shops GmbH & Rafael Gómez-Lus, Legal Expert Spain