Der internationale Austausch von persönlichen Daten ohne die Vereinbarung Safe Harbor

Am 6. Oktober 2015 erklärte der Europäische Gerichtshof das Safe-Harbor-Abkommen, durch welches das Sicherheitsniveau für den  internationalen Austausch von personenbezogenen Daten mit den USA festlegt wurde, für ungültig.

Dabei geht es um die internationale Datenübertragung aus Spanien in Gebiete ausserhalb des europäischen Wirtschaftsraums.

Datenspeicherung im Cloud-Computing

Gemäss des bestehenden spanisches Datenschutzgesetzes (Ley Orgánica de Protección de Datos, LOPD) ist bei der Verwendung eines Cloud-Computing-Dienstes, der zur Speicherung von personenbezogenen Daten verwendet wird, der Anbieter des Services als der verantwortliche Datenmanager anzusehen. Befindet sich dieser Dienstleistungsanbieter nicht im europäischen Wirtschaftsraum, handelt es sich um eine internationale Datenübertragung.

Betroffen sind Services wie Gmail, Dropbox oder Mailchimp

Dies ist der Fall, wenn beispielsweise die Server von Google für das Organisieren der Emails von natürlichen Personen in Anspruch genommen werden, die Speicherung von Dateien mit persönlichen Daten in Dropbox erfolgt oder Emailkampagnen mit Mailchimp durchgeführt werden.

Genehmigung der spanischen Datenschutzbehörde

Jedes Unternehmen, welches internationalen Datenaustausch betreibt, muss dies der spanischen Datenschutzbehörde (Agencia Española de Protección de Datos, AEPD) melden. Wenn zudem der Datenempfänger – der Anbieter, der zum Management der personenbezogenen Daten verwendet wird – keinen entsprechenden Grad an Datenschutz bieten kann, so ist das Unternehmen dazu verpflichtet, eine Genehmigung seitens der AEPD zu bekommen.

Mitteilung der spanischen Datenschutzbehörde (AEPD)

In Bezug auf die allgemein herrschende Unsicherheit aufgrund der folgenden Nachricht: Ultimatum der AEPD für spanische Unternehmen: Verbot der Nutzung von Diensten wie Dropbox oder Google Apps, präzisiert die spanische Datenschutzbehörde folgende Punkte:

  • Seitens der AEPD ist keinerlei Ultimatum an spanische Unternehmen gestellt worden
  • Die Behörde teilte am vergangenen 29. Oktober im Rahmen  einer gemeinsamen Aktion der europäischen Datenschutzbehörden mit, dass sie sich mit allen Unternehmen, die für ihre internationale Datenübertragung Safe Habor benutzten, in Verbindung setzen wird
  • Die Behörde forderte in keinem Fall die Verantwortlichen dazu auf, die Nutzung von Cloud-Computing-Services zu unterlassen. Die Handlungen der AEPD haben ausserdem nicht zum Ziel, die Verwendung bestimmter Dienstleistungen zu untersagen. Ziel der spanischen Datenschutzbehörde ist, die Unternehmen über die neuen Regelungen zu informieren, damit diese gegebenenfalls bei dem verwendeten Anbieter ein Datenschutzkonzept anfordern können, das an die neue europäische Rechtsprechung angepasst ist.

Europäische Rechtsprechung gilt nicht für privaten Gebrauch

Die Rechtsprechung des europäischen Gerichtshofes richtet sich an Unternehmen und nicht an Bürger, die die Cloud-Computing-Dienstleistungen privat verwenden.

Fristen

Der durch die europäische Datenschutzbehörde vorgegebene zeitliche Rahmen sieht im Fall Spanien vor, dass die Verantwortlichen in den Unternehmen das Allgemeine Register der spanischen Datenschutzbehörde bis Ende Januar über das Weiterführen der Datenspeicherung und die Anpassung an die neuen Richtlinien informieren. Zu keinem Zeitpunkt hat die spanische Danteschutzbehörde angekündigt, Sanktionen gegen Unternehmen durchführen zu wollen.

Die spanische Datenschutzbehörde hat zum Ziel, gemeinsam mit den anderen europäischen Datenschutzbehörden nachhaltige Lösungen finden zu wollen, um die Rechtsprechung des Europäischen Gerichtshofes anzuwenden und einen Weg zu finden, die Anforderungen zu erfüllen.

Safe Habor 2.0

Die Europäische Kommission hat erklärt, dass sie hofft, mit den USA zu einer sog. Safe Habor 2.0 Vereinbarung zu gelangen.

Was können die spanischen Unternehmen tun?

In Erwartung einer Übereinkunft wird hier auf die Ausnahmen hingewiesen, die eine internationale Datenübertragung im Rahmen der geltenden Datenschutzrichtlinie erlauben:

  • Wenn das betroffene Unternehmen einer der Ausnahmen, geregelt in Art. 34 des Grundgesetzes zum Datenschutz 15/1999 (LOPD) und 66.2 der Verordnung 1720/2007 der Entwicklung des Grundgesetzes zum Datenschutz, unterliegt
  • Wenn das Unternehmen eine Berechtigung durch den Direktor der AEPD hat
  • Wenn Vertragsklauseln zutreffen, die im Voraus durch die Europäische Kommission genehmigt wurden, da sie ausreichende Datenschutzgarantien bieten
  • Wenn das Unternehmen die ausdrückliche Einverständnis der Besitzer der persönlichen Daten eingeholt hat.

Dieser Beitrag ist nicht als Rechtsberatung zu verstehen

Mehr zu Safe Habor:

Die Auswirkungen der Aufhebung der Vereinbarung Safe Harbor

Mariscal & Abogados verfügt über umfangreiche Erfahrung in der Rechtsberatung von Technologieunternehmen, Telekommunikationsunternehmen und Medien (TV, Presse, Radio und Internet).  Bitte zögern Sie nicht uns zu kontaktieren, wenn Sie eine Anfrage diesbezüglich stellen möchten.