Datenschutz: mögliche Lösungen

Dieser Artikel versucht zu klären, was das EuGH-Urteil von 6. Oktober für Unternehmen in Österreich konkret bedeutet.

Die Konsequenzen des EuGH-Urteils sind derart einschneidend, dass sich vorerst einmal vermutlich nicht viel ändern wird, weil alle Beteiligten mit der Umsetzung überfordert sind. Das ändert aber nichts daran, dass gegen geltendes Recht verstößt, wer weiterhin (als Beispiel) Mitarbeiterdaten in die USA transferiert bzw. transferieren lässt, wenn dieser Datentransfer bisher nur aufgrund der Safe-Harbor-Regelung erlaubt war.
Österreichische Unternehmen müssten diese Datentransfers ab sofort von der Datenschutzbehörde genehmigen lassen, wenn nicht eine der im Datenschutzgesetz (DSG) definierten Ausnahmen greift (siehe Liste der Ausnahmen laut DSG in der rechten Spalte). Die Datenschutzbehörde wird allerdings diese Genehmigung nur erteilen, wenn im konkreten Einzelfall angemessener Datenschutz besteht, was aufgrund des EuGH-Erkenntnisses unwahrscheinlich ist.

Das alles stößt in der HR-Branche naturgemäß auf wenig Begeisterung, denn jetzt müssen die für die Personaldaten Verantwortlichen überprüfen, ob sie bei ihren Datenanwendungen auch US-amerikanische Server oder Dienste nutzen. Alleine schon diese Überprüfung ist nicht so einfach, wie man glauben könnte. Denn der Arbeitgeber ist »Auftraggeber« laut Datenschutzgesetz und als solcher auch für die Datenanwendungen bei etwaigen externen Dienstleistern verantwortlich. Das bedeutet konkret, dass die Unternehmen bei ihren Datendienstleistern nachfragen müssen, wo genau die Daten verarbeitet und gespeichert werden. In vielen Fällen bedienen sich diese Dienstleister aber wiederum anderer Serviceanbieter usw.

Eine Lösung wird wohl in den nächsten Monaten herbeigeführt (ausverhandelt) werden müssen, wie eine solche Lösung aussehen sollte oder auch nur könnte und ob sie auch wirklich kommt, ist derzeit aber nicht absehbar, siehe die oben beschriebene Zwickmühle zwischen US-amerikanischem und europäischem Recht. Wenn die US-Regierung unsere Grundrechte schwächen oder von vornherein nicht anerkennen will, dann mag ihr das – wie in der Vergangenheit – in Verhandlungen mit der EU-Kommission gelingen, am EuGH scheint sie sich aber die Zähne auszubeißen.

Die Liste der betroffenen Serviceanbieter ist lange und beinhaltet vieles, das wie selbstverständlich genutzt wird: Gmail, Hotmail und alle anderen E-Mail-Dienste amerikanischer Anbieter, Facebook, Google Drive, Microsoft 365, Amazon Cloud, Salesforce, Dropbox und andere Cloud-Dienste, Skype und ähnliche Tools, aber auch Personalverwaltungs-Software, Oracle, IBM Notes usw. Auch ursprünglich europäische Anbieter wie SAP könnten betroffen sein. Darüber hinaus trifft es Tausende kleinere US-amerikanische Dienstleister, die Liste der im Rahmen von Safe Harbor (selbst) zertifizierten US-Unternehmen ist unter http://www.export.gov/safeharbor öffentlich einsehbar.

Für Privatnutzer dieser Dienste ändert sich vorerst nichts, denn erstens ist die private Nutzung aus Sicht der Datenschutzbehörde genehmigungsfrei und zweitens haben die Privatnutzer entweder dem Transfer ihrer personenbezogenen Daten in die USA schon zugestimmt oder sie werden dies demnächst tun (müssen).

Für ein Unternehmen, das derzeit auf Basis der Safe-Harbor-Regelung personenbezogene Daten an Empfänger in den USA transferiert, besteht nun erstens die Möglichkeit, auf § 12 Abs. 3 Z 8 des Datenschutzgesetzes »auszuweichen« (siehe rechte Spalte). Das heißt, die Übermittlung der Daten müsste in einer sogenannten Standardanordnung ausdrücklich angeführt sein. Allerdings ist von diesen Standardanordnungen nicht gerade viel abgedeckt. Zum Beispiel ist für die Personalverwaltung, die in der Standardanordnung SA002 geregelt ist, der Transfer in die USA von ausschließlich folgenden Daten zulässig: Name des Mitarbeiters, die organisatorische Zuordnung im Betrieb und die betrieblichen Kontaktdaten. Ende der Liste. Nur an Rechtsvertreter, Gerichte und Mitversicherte dürften weitere Daten übermittelt werden. Damit lässt sich wohl keine Personalverwaltung sinnvoll betreiben.
Eine Ausnahme bildet der Datentransfer innerhalb eines Konzerns, denn dieser wird in der Standardanordnung SA033 geregelt und die ist relativ großzügig ausgestaltet, beinhaltet z. B. für bestimmte Zwecke auch den Datentransfer an externe Unternehmen. Allerdings steht diese SA033 nach dem EuGH-Urteil auf wackligen Beinen, weil sie sich auf Standardvertragsklauseln stützt. Genau wie die Safe-Harbor-Regelung beruhen diese Standardvertragsklauseln auf Entscheidungen der EU-Kommission. Der »angemessene Datenschutz« wird bei beiden de facto von der US-Überwachung ausgehebelt. Die Safe-Harbor-Regelung wurde daher vom EuGH aufgehoben, den Standardvertragsklauseln droht nun ebenfalls, dass sie ungültig sind – für die Entscheidung darüber sind zunächst die nationalen Datenschutzbehörden zuständig.

Zweitens hat das Unternehmen die (theoretische) Möglichkeit, von jedem einzelnen Mitarbeiter die Zustimmung für den Datentransfer in die USA einzuholen, sich also § 12 Abs. 3 Z 5 DSG zu Nutzen zu machen. Derart pauschal wird das allerdings nicht ausreichend sein, es müssten wohl alle Mitarbeiter ihre Zustimmung zu jeder einzelnen Datenanwendung geben. Außerdem müsste jedem einzelnen Mitarbeiter die Möglichkeit eingeräumt werden, diese Zustimmung jederzeit zu widerrufen, was die Datenanwendung in der Praxis vor große Probleme stellt.
Auf alle anderen Punkte in § 12 Abs. 3 DSG wird man sich im unternehmerischen Regelfall nicht berufen können.

Drittens kann es versuchen – wie bereits oben kurz erwähnt –, für seine Datenanwendungen die nun notwendig gewordene Genehmigung bei der Datenschutzbehörde zu beantragen. Die ersten solchen Anfragen und die folgenden Bescheide der Datenschutzbehörde werden zeigen, ob das ein erfolgsversprechender Ansatz und somit eine mögliche Lösung ist. Im Falle von auf Servern innerhalb der USA gespeicherten personenbezogenen Daten europäischer Bürger ist das allerdings im Lichte des EuGH-Urteils unwahrscheinlich.

Viertens kann es tatsächlich alle Daten von US-amerikanischen Servern abziehen und auf Server innerhalb der EU (und einiger weniger als »Drittstaaten mit angemessenem Datenschutz« definierter Staaten) transferieren sowie bei seinen Dienstleistern erwirken, dass diese das ebenfalls machen. Abhängig von der IT-Infrastruktur kann das ein sehr aufwändiges Unterfangen sein. Es ist aber sicher die sauberste Lösung und übrigens auch die Lösung, die von der österreichischen Datenschutzbehörde an erster Stelle vorgeschlagen wird. Wer sich dazu entschließt, sollte gleich auf europäische Anbieter zurückgreifen, also nicht etwa auf europäische Standorte amerikanischer Unternehmen.

Fünftens kann es vorerst einmal abwarten und schauen, was passiert. Was z. B. von Institutionen wie der WKO oder auch der Datenschutzbehörde vorgeschlagen wird. Vermutlich wird es genau das sein, was die meisten österreichischen Unternehmen machen werden, in der Hoffnung, dass sich eine der vier genannten Möglichkeiten (oder auch eine ganz andere)in den nächsten Wochen oder Monaten als die sinnvollste oder beste herausstellt, die dann von den meisten umgesetzt werden wird. Man muss sich nur bewusst sein, dass man in der Zwischenzeit gegen geltendes Recht verstößt, wenn der Transfer von Mitarbeiterdaten, der bis jetzt durch das Safe-Harbor-Abkommen gedeckt war, weiterhin stattfindet.
Es könnte auch sein, dass der dafür zuständige Bundeskanzler unter dem Druck der Wirtschaft die Standardverordnungen »aufbohrt« und dann im Rahmen dieser wieder sehr viel mehr zulässig ist. Das ist aber nicht zu erwarten, weil das weder im Sinne des EuGH-Urteils wäre noch zur bisherigen österreichischen Datenschutzpolitik passen würde.

Und sechstens kann ein Unternehmen so weitermachen wie bisher und darauf hoffen, dass niemand nachfragt. Das wäre aber u. U. illegal, riskant und auch nicht im Sinne seiner Mitarbeiter. Denn eines sollte schon Konsens sein: Nicht das EuGH-Urteil ist das Problem, sondern die Massenüberwachung und der fahrlässige Umgang mit den Daten und Grundrechten der EU-Bürger durch europäische Behörden, Politiker und Institutionen. Vieles, was aus Datenschutzgründen schon bis jetzt nicht vernünftig war, verstößt halt nun gegen geltendes Recht. Und das ist ja eigentlich gut so.

Link zum Artikel über die rechtlichen Hintergründe.

Link zum Artikel über Massenüberwachung und wie man sich davor schützen kann.

Schreiben Sie einen Kommentar!


*

Lesen Sie hier über die rechtlichen Hintergründe.

Lesen Sie hier, wie man sich als Privatperson der Massenüberwachung entziehen kann.

Platzhalter1-156x300

§ 12 Abs. 3 DSG

(Link zum kompletten Gesetzestext)

Darüberhinaus ist der Datenverkehr ins Ausland dann genehmigungsfrei, wenn

1.    die Daten im Inland zulässigerweise veröffentlicht wurden oder
2.    Daten, die für den Empfänger nur indirekt personenbezogen sind, übermittelt oder überlassen werden oder
3.    die Übermittlung oder Überlassung von Daten ins Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind, oder
4.    Daten aus Datenanwendungen für private Zwecke (§ 45) oder für publizistische Tätigkeit (§ 48) übermittelt werden oder
5.    der Betroffene ohne jeden Zweifel seine Zustimmung zur Übermittlung oder Überlassung seiner Daten ins Ausland gegeben hat oder
6.    ein vom Auftraggeber mit dem Betroffenen oder mit einem Dritten eindeutig im Interesse des Betroffenen abgeschlossener Vertrag nicht anders als durch Übermittlung der Daten ins Ausland erfüllt werden kann oder
7.    die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor ausländischen Behörden erforderlich ist und die Daten rechtmäßig ermittelt wurden, oder
8.    die Übermittlung oder Überlassung in einer Standardverordnung (§ 17 Abs. 2 Z 6) oder Musterverordnung (§ 19 Abs. 2) ausdrücklich angeführt ist oder
9.    es sich um Datenverkehr mit österreichischen Dienststellen im Ausland handelt oder
10.    Übermittlungen oder Überlassungen aus Datenanwendungen erfolgen, die gemäß § 17 Abs. 3 von der Meldepflicht ausgenommen sind.

Platzhalter1-156x300

Platzhalter1-150x150

6 mögliche Ansätze, auf das EuGH-Urteil zu reagieren:
1) Standard­anordnungen nutzen

2) ­Zustimmungen einholen

3) ­Genehmigung beantragen

4) Daten von US-Servern abziehen

5) Abwarten und dann reagieren

6) Weitermachen wie bisher