Warum das Urteil zu Safe Harbor den meisten eigentlich egal sein kann

Und was man als Unternehmen vielleicht doch tun sollte

„Das Urteil mag eine große Bedeutung für viele Unternehmen haben. Für die meisten von Ihnen wird es sich jedoch kaum auswirken, da Sie auch vorher rechtswidrig gehandelt haben.“

Mit dieser etwas provokannten, im Kern aber sicherlich korrekten Aussage hat der auf Online- und Datenschutzrecht spezialisierte Rechtsanwalt Thomas Schwenke ein Urteil des Europäischen Gerichtshofs (EuGH) kommentiert.

Kurz vor dem Urteil hatte ich selbst den Beitrag MailChimp, CleverReach & Co. – Die Fallen beim Newsletter-Versenden zum Thema geschrieben. Da ich in den letzten Wochen immer wieder mit dem Thema konfrontiert wurde, greife ich das mit diesem Beitrag noch mal auf.

Nach den Hintergründen beschreibe ich typische Anwendungsfälle und was man aus Unternehmenssicht eigentlich tun müsste.

Wie bei allen rechtlichen Themen gilt auch für diesen Artikel: Bei meinem Beitrag handelt es sich nicht um eine rechtliche Beratung. Wenn Sie diese Fragen genau geklärt haben wollen, fragen Sie bitte den Anwalt Ihres Vertrauens.

Die Hintergründe beim Datenschutz

Dem Urteil des EuGH vorangegangen war ein Streit des Österreichers Maximilan Schrems mit der europäischen Niederlassung von Facebook in Irland über den Transfer personenbezogener Daten von Europa in die USA. Das führte zu Beschwerden von Schrems bei irischen Data Protection Commissioner und führte letztlich zu einer Klage in Irland. Das irische Gericht hat dazu den EuGH angerufen.

Die Datenübertragung von Facebook – wie viele andere an amerikanische Cloud-Dienstleister auch – stützte sich rechtlich auf das sogenannte Safe-Harbor-Abkommen. Der EuGH hat jetzt festgestellt, dass amerikanische Unternehmen trotz Safe Harbor europäisches Datenschutzniveau nicht sicherstellen können. Und damit hat er Safe Harbor für ungültig erklärt.

Das Ergebnis ist große Rechtsunsicherheit. Exemplarisch verlinke ich mal einige Beiträge von Heise online:

Interessant ist, dass erste US-Unternehmen inszwischen deutsche Rechenzentren mit dem Betrieb ihre Cloud-Lösungen beauftragen – ohne Zugriff für die US-Mitarbeiter auf die Daten. Damit wird alles wieder datenschutzkonform. Ein Beispiel dafür ist Microsoft.

Warum ist das überhaupt ein Problem für uns?

Es geht um die Verarbeitung von personenbezogenen Daten. Dazu gehören alle Daten, mit denen sich einzelnen Personen identifizieren lassen. Genaueres regelt unser Bundesdatenschutzgesetz (BDSG) in §3 Abs. 1.

Solange man diese Daten im eigenen Unternehmen verarbeitet, ist alles gut zu handhaben. Sicher ist das mit Aufwand verbunden, aber es ist machbar.

In vielen Fällen – und insbesondere bei kleinen Unternehmen ist das sehr beliebt – werden solche Arten der Datenverarbeitung aber an Dienstleister ausgelagert. Und hier wird es kompliziert.

Oder anders formuliert: Als Unternehmen, das Dritte mit der Datenverarbeitung beauftragt, muss ich einige gesetzliche Voraussetzungen erfüllen.

Was sind jetzt mögliche Szenarien, bei denen Unternehmen personenbezogene Daten von Dritten verarbeiten lassen?

Schon 2009 hat der oben angesprochene Rechtsanwalt Thomas Schwenke auf t3n einen Artikel über die 15 Irrtümer bei der Auftragsdatenverarbeitung veröffentlicht. Unbedingt lesen!

Ich beschreibe jetzt mal 4 typische Anwendungsfälle, die insbesondere bei kleinen internetaffinen Unternehmen häufiger vorkommen dürften:

  1. Kunden und Interessenten werden regelmäßig mit E-Mail-Newslettern und E-Mail-Marketing-Maßnahmen versorgt. Dazu werden die Dienste eines Online-Newsletter-Dienstleister genutzt. Beispiele sind CleverReach (D), getResonse (PL) oder MailChimp (USA), um nur mal drei bekanntere zu nennen.
  2. Rechnungen werden über einen Cloud-Anbieter verwaltet und geschrieben. Zwei deutsche Beispiele sind lexoffice oder FastBill.
  3. Auf dem eigenen Webauftritt wird eine Kunden-Community betrieben. Die Community wird (z. B. als Teil des eigenen Webauftritts) bei einem Anbieter von Webspace gehostet. Oder es kommen spezialisierte Community-Lösungen zu Einsatz. Beispiele wären slack, mixxt oder DigiBizz.
  4. Personenbezogene Daten von Kunden oder Mitarbeitern liegen in cloudbasierten Office-Lösungen oder auf Cloud-Laufwerken. Bekannte Beispiele sind Office365, iCloud, Google Docs bzw. Drive, Dropbox oder TeamDrive.

In all diesen Fällen habe ich als deutsches Unternehmen zwei Möglichkeiten:

  1. Ich hole mir die Einwilligung desjenigen, dessen Daten ich verarbeite. In diesem Fall also die Einwilligung dazu, seine Daten bei einem Dienstleister wo auch immer in der Welt zu verarbeiten. An die Form dieser Einwilligung werden einige Anforderungen gestellt. Der erste Heise-Artikel oben gibt dazu Hinweise.
  2. Ich habe keine Einwilligung der Betroffenen. Dann schreibt das Bundesdatenschutzgesetz (BDSG) mir einige Aufgaben „ins Stammbuch“. Dazu gehören insbesondere der Abschluss einer schriftlichen Vereinbarung zur Auftragsdatenverarbeitung und die Prüfung, ob der Auftragnehmer (also der datenverarbeitende Dienstleister) das BDSG auch einhält. Und diese Prüfung muss ich als Unternehmen durchführen, bevor ich mit der Datenverarbeitung beginne.

Die Vereinbarung zur Auftragsdatenverarbeitung kann ohne größeren Aufwand mit deutschen und europäischen Anbietern abgeschlossen werden. Mit den großen amerikanischen Anbietern ist das seit dem Ende von Safe Harbor sehr schwierig geworden.

Die Prüfung, ob der Anbieter das BDSG einhält, kann speziell ein kleines Unternehmen sicher nicht leisten. Da fehlt es i. d. R. schon am nötigen Fachwissen.

Ja, ich kann natürlich einen datenschutzversierten Berater beauftragen. Aber auch das wird für viele außerhalb aller vertretbaren Kosten liegen.

Eine Alternative sind Zertifizierungen des Auftragnehmers. Allgemein akzeptiert ist hier die ISO 27001, sofern sich der Geltungsbereich denn auch auf die jeweilige Cloud-Anwendung erstreckt. Aber auch bei vorliegenden Zertifikaten muss ich nachweisen, dass ich die Gültigkeit der Zertifikate regelmäsig geprüft habe.

Fazit

Das ist ein ganz schöner Aufwand!

Ich habe in den letzten Wochen selber angefangen, meinen anvisierten Newsletter-Dienstleister zu befragen (die anderen Szenarien spielen für mich keine Rolle, da ich diese Aufgaben auf einem selbst gehosteten Rechner durchführe). In meinem Fall ist das das deutsche Unternehmen CleverReach. Die setzen ISO 27001-zertifizierte Subunternehmen ein, sind aber nach eigener Aussage selber nicht zertifiziert. Hier kläre ich gerade, was das für mich bedeutet und ob das die Bedingungen des BDSG erfüllt. Und wie ich das dann prüfen kann.

Aktuell überlege ich, ob ich die Newsletter- und Autoresponder-Funktionalität nicht auch noch auf meinen Server verlagere. Dann bin ich diese Baustelle wenigstens los. Dafür entstehen andere, wie z. B. die der „Reputation“ des eigenen Mailservers.

Die sicherste Lösung ist sicher eine Einwilligung der Betroffenen. Für viele Unternehmen, die bereits über größere Datenmengen verfügen, dürfte das aber gar nicht so einfach sein.

Mich würde jetzt interessieren, wie Sie bzw. Ihr mit dem Thema umgeht? Und ob mir jemand ein geeignetes Newsletter-/Autoresponder-Plugin für WordpRess empfehlen kann?

Adieda

Richard Schieferdecker

PS: In meinem ersten Artikel zum Thema habe ich am Anfang eine kleine Umfrage gestartet. Hier gibt es die Ergebnisse.

3 Kommentare
  1. Birgit Schultz
    Birgit Schultz says:

    Hallo Richard,

    es wundert mich sehr, dass hier noch nicht eine ganze Reihe von Fragen und Kommentaren steht. Mich treibt das Thema auch seit einigen Wochen um. Von meinem Newsletter-Provider habe ich auf meine Frage nach dem Safe Harbor Abkommen ein zehnseitiges Dokument in „Juristen-Amerikanisch“ zugesendet bekommen, das noch nicht einmal datiert ist. Obwohl ich Englisch studiert habe und fließend Englisch spreche, überfordert mich dieses Dokument (zumal mir die juristischen Grundkenntnisse natürlich fehlen). Wie kann ich als Einzelunternehmerin hier vorgehen, deren Ressourcen natürlich beschränkt sind (und zwar an allen Fronten: Zeit, Finanzen, Personal, Know how)?

    Auch sind mir (und sicherlich vielen anderen kleinen Unternehmen) die möglichen Folgen, die ein Verstoß zur Folge hätte nicht klar und das Ausmaß nicht absehbar. Bei mir (und vielen anderen) macht sich der Eindruck breit, dass hier einmal wieder völlig weltfremde Entscheidungen getroffen werden, die die Belange, Möglichkeiten und Verhältnismäßigkeiten für kleine und kleinste Unternehmen in unserer globalisierten Gesellschaft völlig ignorieren. Es ist meines Erachtens auch nicht damit getan, auf deutsche/europäische Anbieter zu verweisen, wenn diese entweder nicht die benötigten Funktionalitäten aufweisen oder eine Preisstruktur vorlegen, die sich Einzelunternehmen und kleine inhabergeführte Unternehmen nicht leisten können.

    Abschließend also meine Frage: Wie sollten sich kleine Unternehmen aktuell (Stand 1. Quartal 2016) in Bezug auf Safe Harbor / EU-US-Privacy Shield verhalten?

    Besten Dank und viele Grüße
    Birgit

    Antworten
    • Richard Schieferdecker
      Richard Schieferdecker says:

      Hallo Birgit,

      danke für Deinen Kommentar und Deine Frage. Wenigstens einen externen Kommentar hat es bei meinem ersten Artikel zu diesem Thema gegeben.

      Ob das Gesetzt weltfremd ist oder unverhältnismäßig mag der eine so, die andere anders auslegen. Fakt ist: es existiert. Also muss ich mir überlegen, wie ich damit umgehe. Ich habe mich dazu entschlossen, mich an das BDSG zu halten. Und damit auf gewisse Funktionalität zu verzichten (z. B. das personenbezogene Tracking). Auf der anderen Seite ist mir auch klar, dass die überwiegende Mehrheit der Newsletter-Anbieter, bei denen ich eingetragen bin, das nicht tut. Aber ich kann damit leben.

      Wie groß die Gefahr ist, die man so einem Verhalten eingeht, kann ich nicht beurteilen. Ich vermute aber, dass sie steigen wird. Das Risiko sehe ich weniger bei den Landesämtern für Datenschutz. Ich vermute, dass die Zahl der Abmahnungen zunehmen wird. Da ich kein Jurist bin, kann ich hier auch keine rechtssichere Empfehlung abgeben.

      Und um Deine Frage zu beantworten, wie sich kleine Unternehmen aktuell verhalten sollen?

      Aktuell schätze ich das so ein: Wer einen Anbieter außerhalb der EU verwenden will, sollte sich das Einverständnis der Betroffenen holen (z. B. Nutzung eines Dienstleisters außerhalb der EU, kein BDSG-konformer Datenschutz sichergestellt, personenbezogenes Tracking, etc.). Und wenn ich schon eine Liste bei einem solchen Anbieter habe, muss die in der Theorie auch noch mal von allen einholen.

      Angeblich killt das dann die Conversion-Rate. Das wäre für mich kein Problem. Ich glaube im Gegenteil, dass das zu einer besseren Liste führt. Weil sich nur die Leute eintragen, die wirklich überzeugt sind.

      Ich selber werde etwas anders vorgehen. Ich hoste meine Seiten auf meinem eigenen Server in einem Aachener Rechenzentrum. Auf diesen Rechner hat neben mir nur ein Kollege Zugriff (der selbstverständlich auf das Datengeheimnis verpflichtet ist). Dort wird in Zukunft auch ein selbstverwaltetes Newsletter-Tool laufen. Ich wähle gerade noch aus, was das dann sein wird. Dann bin ich aus der Nummer mit der Auftragsdatenverarbeitung raus.

      Viele Grüße
      Richard

      PS: Extrem peinlich finde ich gerade das Verhalten eines (nicht gerade kleinen) deutschen Anbieters einer Online-Buchhaltung. Da hatte ich zunächst mal telefonisch nach einer ADV-Vereinbarung gefragt und keine Antwort bekommen. Dann habe ich den kostenlosen 4-Wochen-Test begonnen und noch mal per Mail gefragt. Seit 10 Tagen warte ich auf eine Antwort. Muss ich jetzt davon ausgehen, dass alle! deren Kunden sich nicht an das BDSG halten? Ganz anders erlebe ich gerade die Telekom. Egal ob Office365 oder TeamLine: Bei beiden Diensten wurde mir bei der Buchung der ADV-Vertrag automatisch!!! angeboten. Ich musste ihn nur noch ausfüllen, 2x ausdrucken und unterschrieben wegschicken. Das gegengezeichnete Vertragsexemplar war kurze Zeit später bei mir. Warum schaffen das die anderen nicht?

      Antworten

Dein Kommentar

Want to join the discussion?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.