Nach dem österreichischen Datenschutzgesetz (DSG) gilt, dass der Transfer von personenbezogenen Daten innerhalb der EU frei, aber außerhalb der EU grundsätzlich genehmigungspflichtig ist. Die Genehmigung wird durch die Datenschutzbehörde (DSB) nur erteilt, wenn sichergestellt ist, dass trotz des Transfers der Daten das Grundrecht auf Datenschutz gewahrt bleibt. Von der Genehmigungspflicht gibt es einige Ausnahmen. Eine dieser Ausnahmen stützt(e) sich auf die sog „Safe-Harbor-Entscheidung“ der EU-Kommission, welche vorsah, dass dem europäischen Datenschutzrecht genüge getan werde, wenn sich US-Unternehmen bei der US-Federal Trade Commission zum „Safe-Harbor“ registrieren.
Die Safe-Harbor-Registrierung war Basis zahlreicher „konzernweiter Datenkonzentrationen“ in den USA, aber auch Basis von US-Unternehmen angebotener Datendienste, wie zB aus den USA heraus betriebener IT-Supportdienstleistungen, HR-Administration oder gar „Cloud“-Lösungen.
Aus für „US-Konzernlösungen“ bzw US-Services
Der Europäische Gerichtshof (EuGH) sprach am 6.10.2015 aus, dass die „Safe-Harbor-Entscheidung“ der EU-Kommission ungültig ist (Link auf Entscheidungstext). Über die EuGH-Entscheidung und ihre Gründe wurde bereits in den Medien umfassend berichtet. Spannender sind aber die Konsequenzen für die österreichischen Unternehmen, welche sich aus dem Wegfall des Safe Harbors ergeben.
Der österreichische Gesetzgeber hat eine sehr umfangreiche Kompetenz der DSB vorgesehen: So sind grundsätzlich alle Datenanwendungen in Österreich meldepflichtig und sind – je nach Inhalt bzw. Zweck – viele Datenanwendungen sogar vorabgenehmigungspflichtig, sodass es einer Genehmigung der DSB bedarf, bevor mit der Datenverwendung begonnen werden darf. Weiters ist – wie oben angedeutet – grundsätzlich jeder Internationale Datentransfer nach außerhalb der EU vorabgenehmigungspflichtig.
Konsequenz des Wegfalls des Safe Harbors ist, dass die US-Konzernlösungen und die US-Services, welche sich bisher auf die Safe-Harbor-Ausnahme berufen haben, nunmehr ohne notwendige Genehmigung durch die DSB – und damit gesetzwidrig – betrieben werden. Das trifft aber nicht (direkt) die US-Konzernleitung bzw US-Diensteanbieter sondern vielmehr die österreichischen (Tochter)Gesellschaften bzw die österreichischen Auftraggeber. Diese könnten sich nunmehr Verwaltungsstrafen bis zu EUR 10.000 je Fall ausgesetzt sehen.
Kein „hot fix“ und unbefriedigende „work arounds“
Einen „hot fix“ für die Aufrechterhaltung der US-Konzernlösungen bzw US-Services gibt es nicht. Die entsprechenden Datenverwendungen müssen idR sofort eingestellt werden. Es ist – soweit nicht anderweitig gerechtfertigt, zB Notwendigkeit zur Vertragserfüllung gegenüber dem Betroffenen – eine sonstige Rechtfertigung für den Internationalen Datentransfer zu schaffen. In Frage kommen dabei insbesondere (i) vertragliche Garantien der US-Unternehmen oder (ii) die praktisch wohl kaum einholbare, ausdrückliche und informierte Zustimmung aller Personen, deren Daten exportiert werden sollen. Andere Möglichkeiten sind zwar dankbar, aber meist praktisch nicht anziehbar.
Selbst wenn die ausdrückliche und informierte Zustimmung aller Personen, deren Daten exportiert werden sollen, eingeholt werden könnte, was bei einer überschaubaren Anzahl von Mitarbeitern denkbar wäre, hat diese Rechtfertigung für den Internationalen Datenverkehr einen „Schönheitsfehler“. Diese Zustimmung muss nämlich jederzeit widerruflich sein. Daher baut man sein Internationales Datenverkehrsgebäude auf Sand, weil schon der Widerruf eines Teils der Betroffenen den Sinn und Zweck des ganzen Datentransfers ad absurdum führen könnte.
Rechtssicherer wäre daher die praktisch verbleibende Möglichkeit der vertraglichen und über das Vertragsrecht durchsetzbare Garantien der US-Unternehmen. Dies könnte entweder über sog bidirektionale „Standardvertragsklauseln“ oder gar über multidirektionale „Binding Corporate Rules“ erfolgen. Selbst wenn solche Garantien in Kraft gesetzt werden können, was schon für sich erfahrungsgemäß längere Zeit in Anspruch nimmt, bedürfte es dann auch noch eines Genehmigungsverfahrens durch die DSB. Erst wenn nach einem solchen durchaus langwierigen Verfahren die Genehmigung der DSB vorliegt, dürften die österreichischen Gesellschaften wird an die Konzernmutter personenbezogene Daten exportieren bzw österreichische Auftraggeber (wieder) die US-Services in Anspruch nehmen.
Meist nicht befriedigende „work arounds“ wären, dass (a) kein Export nach und auch kein Zugriff von den USA stattfindet, also die Services allein innerhalb der EU erbracht würden, oder (b) nur „(quasi-)anonyme“ / indirekt-personenbezogene Daten in die USA überlassen würden.