ULD erklärt Datenübermittlungen in die USA auf Basis von EU-Standardvertragsklauseln und Einwilligungen für unzulässig

Die schleswig-holsteinische Datenschutzaufsichtsbehörde ULD steuert in Sachen „Unsicheres Drittland USA“ auch nach dessen Ausscheiden aus dem Amt als oberster Datenschützer des Landes weiterhin fest den Kurs von Thilo Weichert. Und nachdem der EuGH in der vergangenen Woche bereits den „Sicheren Hafen“ versenkt hat, legt das ULD nun nach:

Konnten sich bislang zumindest noch diejenigen datenschutzrechtlich auf der sicheren Seite wähnen, die für Datenübermittlungen in die USA die EU-Standardvertragsklauseln oder gar Einwilligungen nutzen, so ist es seit heute auch in dieser Hinsicht mit der Ruhe vorbei. Zumindest, wenn man seinen Geschäftssitz in Schleswig-Holstein hat…

In einem heute veröffentlichten Positionspapier, das sich aus Sicht der Behörde mit dem Inhalt und den zu ziehenden Folgerungen aus der Schrems-Entscheidung des EuGH (06.10.2015, C-362/14) befasst, weist die Behörde darauf hin, dass die Standardvertragsklauseln dem Importeur von personenbezogenen Daten u.a. die verbindliche Erklärung gegenüber dem Übermittler abverlangen, dass er  seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen. Genau diese vertragliche Pflicht könnten US-amerikanische Vertragspartner mit Blick auf das in den USA geltende Recht aber gar nicht einhalten.

Das ULD zieht daraus die Schlußfolgerung:

„Nichtöffentliche Stellen, die für ihren Datentransfer in die USA Standardvertragsklauseln verwenden, müssen nun in Erwägung ziehen, den zugrunde liegenden Standardvertrag mit dem Datenimporteur in den USA zu kündigen oder die Datenübermittlungen auszusetzen. In konsequenter Anwendung der Vorgaben des EuGH in seinem Urteil ist eine Datenübermittlung auf Basis von Standardvertragsklauseln nicht mehr zulässig.“

Quasi „en passant“ schließt die Aufsichtsbehörde übrigens auch gleich mal die Möglichkeit einer etwaigen wirksamen Einwilligung in eine Datenübermittlung durch die Betroffenen aus:

„Die Einwilligung nach § 4a BDSG, § 12 LDSG scheidet […] als Rechtsgrundlage für die Zulässigkeit der Übermittlung trotz fehlenden angemessenen Datenschutzniveaus aus.“

Zu diesem Schluß kommen die Hausjuristen des ULD durch folgende Argumentationskette:

„Die anlasslose Massenüberwachung durch Geheimdienste greift nach Ansicht des EuGH in den Wesensgehalt des Grundrechts auf Achtung des Privatlebens ein. Derartige Eingriffe sind nach bundesverfassungsgerichtlicher Rechtsprechung jedoch der Disposition des Einzelnen, auch im Wege einer Einwilligung, entzogen. Dies kann sich auch auf die Einwilligung in die Datenübermittlung in einen Staat erstrecken, in dem der Wesensgehalt der Grundrechte der EU nicht gewahrt wird. Die Aufnahme einer solchen Einwilligung etwa in Allgemeine Geschäftsbedingungen wäre mit größter Wahrscheinlichkeit sittenwidrig im Sinne des § 138 BGB.“

Man muß sich einmal in Ruhe klar machen, was hier passiert: Das ULD benutzt die vom BVerfG im Rahmen einer Entscheidung, in der es darum ging, die Selbstbestimmung von einer faktischen Fremdbestimmung im Verhältnis zweier deutscher Vertragspartner abzugrenzen, vorgenommene Konkretisierung der Pflicht des Staates zur Sicherstellung hinreichenden Selbstschutzes für seine Bürger als Argument dafür, dem Einzelnen hier von vornherein generell und unabhängig von den konkreten Umständen verbieten zu wollen, sein Grundrecht auf informationelle Selbstbestimmung überhaupt auszuüben.

Dies, obwohl – wie das ULD selbst auch zutreffend berichtet – der EuGH inhaltlich überhaupt keine Aussagen zum Zustand des tatsächlichen Schutzniveaus in den USA getroffen hat und auch ansonsten überhaupt nicht klar ist, ob tatsächlich in jedem Fall einer einverständlichen Datenübermittlung dorthin die vom BVerfG befürchtete Fremdbestimmung anzunehmen ist. Das ULD antizipiert hier das Ergebnis einer Prüfung, die überhaupt erst einmal im Einzelfall vorzunehmen wäre.

Wenn sich das ULD schon auf das BVerfG beruft, hätte es – wie dies etwa der geschätzte Kollege Stephan Hansen-Oest in seinem heutigen Kommentar zum Positionspapier getan hat – vielleicht auch einmal in die „Mutter aller Entscheidungen“ zum Grundrecht auf informationelle Selbstbestimmung schauen sollen – nämlich das „Volkszählungsurteil“ von 1983. Dort heißt es bereits in den ersten beiden Leitsätzen der Entscheidung:

„Das Grundrecht gewährleistet […] die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Einschränkungen dieses Rechts auf „informationelle Selbstbestimmung“ sind nur im überwiegenden Allgemeininteresse zulässig. Sie bedürfen einer verfassungsgemäßen gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muß.“

Mir erschließt sich selbst bei Zugrundelegung der Ausführungen des ULD nicht, woher es für den Fall einer echten – also nicht durch AGB fingierten – Einwilligung eines Betroffenen die gesetzliche Grundlage dafür nehmen will, die entsprechende Willenserklärung grundsätzlich als rechtswidrig und also unbeachtlich ansehen zu dürfen.

Auch ist beim ULD offenbar noch nicht angekommen, dass spätestens seit dem Urteil vom 11.12.2014 – Az.: 8  AZR 1010/13 des Bundesarbeitsgerichts die Frage abschließend höchstrichterlich geklärt ist, ob Arbeitnehmer im Arbeitsverhältnis wirksam im datenschutzrechtlichen Sinne einwilligen können. Sie können.

Aber die anders lautende restriktive Botschaft der Datenschutzkreuzritter von der Förde ist mal wieder verkündet. Die Vorgehensweise der Behörde und die Diktion ihres Papiers stehen dabei in ihrer mangelnden Sensibilität gegenüber den Adressaten übrigens der gegenüber schleswig-holsteinischen Website-Betreibern erhobenen öffentlichen Aufforderung im Jahr 2011 zur unverzüglichen „Abschaltung“ von Facebook-Fanpages unter Inaussichtstellung von Untersagungsverfügungen bzw. Bußgeldern kaum nach.

In der Konsequenz bedeuten die Ausführungen in dem Postionspapier nichts anderes, als dass es nach Auffassung des ULD für verantwortliche Stellen gegenwärtig faktisch so gut wie unmöglich ist, ohne Rechtsverstoß überhaupt personenbezogene Daten in die USA zu übermitteln.

Und damit auch allen klar ist, wohin die künftige Reise geht, hat man in der Kieler Holstenstrasse eine weitere eindeutige Botschaft für die Rechtsunterworfenen formuliert:

„Das ULD wird prüfen, ob Anordnungen gegenüber nichtöffentlichen Stellen getroffen werden müssen, auf deren Basis Datenübermittlungen in die USA ausgesetzt oder verboten werden müssen. Ferner ist zu prüfen, ob nichtöffentliche Stellen infolge der Datenübermittlung in ein Drittland mit fehlendem angemessenem Datenschutzniveau Ordnungswidrigkeiten verwirklicht haben.“

Selbstverständlich fehlt in diesem Zusammenhang auch der Hinweis nicht, dass die Übermittlung personenbezogener Daten in die USA ohne Rechtsgrundlage den Bußgeldtatbestand nach § 43 Abs. 2 Nr. 1 BDSG erfüllt und mit einem Bußgeld in Höhe von bis zu EUR 300.000 geahndet werden kann.

In der begleitend zu dem Positionspapier verfassten Pressemitteilung vom heutigen Tag läßt sich die neue Leiterin des ULD, Marit Hansen, dann noch u.a. mit diesen Worten zitieren:

„Mit Blick auf die hohen Anforderungen, die der EuGH in seinem Urteil aufgestellt hat, kann eine dauerhafte Lösung nur in einer wesentlichen Änderung im US-amerikanischen Recht liegen.“

Es ist mir unmöglich, dies zu kommentieren, ohne beim Gedanken an die Lage der von dieser Situation in der Praxis betroffenen Unternehmen sarkastisch und / oder hochpolemisch zu formulieren.

Darum lasse ich es lieber unkommentiert und überlasse es jedem selbst, sich seinen Teil zu diesem Statement und dem (Selbst-)Verständnis zu denken, das aus ihm spricht…