Der Online-Marketing-Blog von LUMITOS

Marketing-Tools aus Übersee – Was sagt der deutsche Datenschutz?
24.09.15 | 0 Kommentare | Author: martinschirmbacher

Nicht erst seit die Marketing-Automation Einzug in den deutschen Mittelstand gehalten hat, bedienen sich viele deutsche Unternehmen an Online-Marketing-Tools aus dem Ausland. Dabei lässt sich häufig nicht verhindern, dass personenbezogene Daten anfallen, auf die der Dienstleister aus dem Ausland Zugriff hat. Lässt sich das mit dem deutschen Datenschutzrecht in Einklang bringen? Hilft die Safe-Harbor-Zertifizierung, auf die sich die amerikanischen Dienstleister häufig berufen?

Dienstleister im Ausland: Was nicht erlaubt ist, ist verboten

Datenschutz beim Einsatz von Marketing-Tools? Das Problem ist schnell umrissen: Das deutsche Datenschutzrecht verlangt für jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten eine gesetzliche Gestattung oder eine Einwilligung desjenigen, dessen Daten betroffen sind. Dabei sind die Schranken für die Übermittlung von Daten ins EU-Ausland besonders hoch. Werden nun kostengünstige E-Mail-Marketing-Provider eingesetzt, smarte Widgets in die eigene Website integriert oder gar das gesamt CRM-System in die US-Cloud ausgelagert, ist dies aus Sicht des Datenschutzrechts äußerst erklärungsbedürftig.

Personenbezogene Daten fallen dabei fast immer an. Jeder Name einer natürlichen Person, nahezu jede E-Mail-Adresse und nach Meinung der Datenschutzbehörden in der Regel auch jede IP-Adresse hat Personenbezug. Für all diese Daten gilt das oben beschriebene Verbotsprinzip: Eine Verarbeitung der Daten ist nur gestattet, wenn das Gesetz das erlaubt oder eine Einwilligung vorliegt.

Auftragsdatenverarbeitung und der weisungsgebundene Dienstleister

Das Bundesdatenschutzgesetz (BDSG) ist bei der Übermittlung von Daten an Drittunternehmen streng. Zwar darf beispielsweise ein Inkassounternehmen mit der Beitreibung von fälligen Forderungen beauftragt und in diesem Zusammenhang Daten an den Inkassodienstleister weitergegeben werden, für die Beauftragung eines externen Dienstleisters zur Rationalisierung des Online-Marketing ist dagegen eine gesetzliche Gestattung in der Regel nicht vorgesehen.

Eine Möglichkeit gibt es jedoch: Wird mit dem Dienstleister ein schriftlicher Auftragsdatenverarbeitungsvertrag geschlossen (so genannte ADV-Vereinbarung), die den gesetzlichen Anforderungen aus §§ 9 und 11 BDSG genügt, gilt der Dienstleister nicht als Dritter. Das Gesetz simuliert, der Dienstleister werde quasi Teil des die Daten verarbeitenden Unternehmens. Eine Übermittlung von Daten im datenschutzrechtlichen Sinne liegt dann nicht vor, so dass die Verarbeitung auch keiner Rechtfertigung bedarf. In der ADV-Vereinbarung wird der Dienstleister zur Einhaltung bestimmter technischer und organisatorischer Maßnahmen verpflichtet und ist gegenüber dem Auftraggeber, was die Datenverarbeitung angeht, streng weisungsgebunden.

Übermittlung ins EU-Ausland? Jetzt wird’s kompliziert

Eine Auftragsdatenverarbeitung kann aber unmittelbar nur den Zugriff auf personenbezogene Daten innerhalb des Europäischen Wirtschaftsraums legitimieren. Für das EU-Ausland, insbesondere also die USA und die Schweiz, gelten die relevanten Vorschriften nicht unmittelbar.

Zusätzlich ist dann nämlich die Hürde aus § 4b Abs. 2 BDSG zu überwinden. Dort heißt es, dass eine Datenübermittlung unterbleiben muss, wenn der Betroffene ein schutzwürdiges Interesse am Ausschluss der Übermittlung hat. Das Gesetz selbst bestimmt, wann ein solches Interesse vorliegt. Ist anzunehmen, dass bei der verarbeitenden Stelle ein angemessenes Datenschutzniveau nicht gegeben ist, darf ohne Einwilligung aller Betroffenen nicht übermittelt werden. Nun ist die Übermittlung an Unternehmen außerhalb des Europäischen Wirtschaftsraums allerdings nicht schlechterdings untersagt.

Des Pudels Kern: ein angemessenes Datenschutzniveau des Dienstleisters

Datenschutz beim Einsatz von Marketing-Tools. Angemessener Datenschutzniveau kann durch Safe-Harbour-Regelung erreicht werden.

Angemessenes Datenschutzniveau kann durch Safe-Harbor-Regelung erreicht werden

Es gibt mehrere Möglichkeiten, doch zu einem angemessenen Datenschutzniveau des Dienstleisters zu kommen:

  • Möglichkeit (1):
    Der Staat, in dem der Dienstleister seinen Sitz hat, ist von der EU als sicheres Drittland anerkannt. Das ist derzeit zum Beispiel für die Schweiz, Kanada und Israel der Fall. Die USA sind jedoch nicht als sicheres Drittland anerkannt.
  • Möglichkeit (2):
    Von einem angemessenen Datenschutzniveau kann auch dann ausgegangen werden, wenn sich der Dienstleister den Safe-Harbor-Regelungen unterworfen hat. Dazu müssen sich die ausländischen Unternehmen dem Verfahren unterwerfen und erhalten ein Zertifikat von einer Gültigkeitsdauer von einem Jahr, das ihnen die Einhaltung der EU-Standards bescheinigt. Ob ein Dienstleister mit Sitz in den USA Safe-Harbor-zertifiziert ist, lässt sich auf der beim US Department of Commerce geführten Liste entnehmen. Entgegen manchen Presseberichten, entfalten die Safe-Harbor-Zertifikate weiterhin Wirkung. Allerdings hat der Generalanwalt beim Europäischen Gerichtshof in seinem Gutachen kürzlich die These vertreten, dass die Safe-Harbor-Entscheidungen der EU-Kommission ungültig sind. Die Kommission habe nicht derart weitreichende Befugnisse. Zudem seien insbesondere die Öffnungsklauseln viel zu weit gehend. Es bleibt abzuwarten, ob sich der EuGH diesem Votum anschließt. Jedenfalls bis dahin erfüllen US-Unternehmen, die ein gültiges Zertifikat haben, die Voraussetzungen an ein angemessenes Datenschutzniveau. Die deutschen Datenschutzbehörden verlangen aber schon derzeit zusätzliche Prüfungen von den deutschen Auftraggebern. Insbesondere sollen sich die deutschen Unternehmen davon überzeugen, dass die Privacy Policy des Dienstleisters den strengeren EU-Standards genügt. Falls der EuGH die Safe Harbor-Entscheidungen der Kommission bestätigen sollte, wäre das Safe Harbor-Zertifikat allein keine hinreichende Grundlage für die Übermittlung von Daten in die USA. Inzwischen hat sich der EuGH dem Votum weitgehend angeschlossen und Safe Harbor für ungültig erklärt. Welche Folgen dies hat, lesen Sie hier. Außerdem finden Sie auf der Seite von HÄRTING Rechtsanwälte eine Umfangreiche FAQ-Liste zu Safe Harbor.
  • Möglichkeit (3):
    Ohne eine ausdrückliche Safe-Harbor-Zertifizierung kann ein angemessenes Datenschutzniveau auch dadurch sichergestellt werden, dass sich der Dienstleister vertraglich den wesentlichen geltenden Regelungen der EU zum Datenschutz unterwirft. Die EU hat zu diesem Zweck zwei Standardvertragswerke entwickelt, derer sich die Unternehmen bedienen können. Für Dienstleister im Bereich des Online-Marketings bietet sich die Verwendung der Standardvertragsklauseln für Auftragsdatenverarbeiter an. Unterzeichnet der Dienstleister und hält er sich anschließend an die Vorgaben des Vertrages, stehen einer Übermittlung der Daten ins Ausland den Interessen der Kunden nicht entgegen.
  • Möglichkeit (4):
    Immerhin denkbar ist auch, mit dem Dienstleister einen individuellen Vertrag zu schließen, der von den Standardvertragsklauseln abweicht. Ein solcher Vertrag muss ein angemessenes Datenschutzniveau garantieren. Darin muss sich der Dienstleister auf die Einhaltung der wesentlichen Bestimmungen des deutschen Datenschutzrechts verpflichten und die Einhaltung in geeigneter Weise garantieren. Dies hilft aber nur, wenn die zuständige Datenschutzbehörde in Deutschland den Vertrag ausdrücklich genehmigt hat. Ein solches Prozedere ist mit erheblichen Aufwand und der Unsicherheit verbunden, dass die Behörde die Freigabe erteilt, und dürfte sich nur anbieten, wenn ein anderer Weg nicht zum Erfolg führt.

Egal, wie das angemessene Datenschutzniveau erreicht wird, stets bleibt der deutsche Auftraggeber für den Dienstleister verantwortlich. Werden etwa Datenlecks bekannt oder treibt der Anbieter mit Kundendaten Schindluder, darf der Auftraggeber davor die Augen nicht verschließen. Dann hilft weder ein Safe-Harbor-Zertifikat noch ein strenger Vertrag.

Online-Marketing-Dienstleister in den USA: Hohe Hürden, die man nehmen kann

Deutsche Unternehmen, die einen amerikanischen Dienstleister beauftragen wollen, begegnen also einem doppelten Rechtfertigungserfordernis. Ein Zugriff aus den USA kommt überhaupt nur in Betracht, wenn von einem angemessenen Datenschutzniveau auszugehen ist.

Dazu kommt die Rechtfertigung der Weitergabe als solche. In einigen Fällen kann hier § 28 Abs. 1 Satz 1 Nr. 2 BDSG helfen. Danach ist eine Weitergabe von Daten zulässig, wenn es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Ob das der Fall ist, lässt sich nur im Einzelfall beantworten und hängt auch von der Art der übermittelten Daten ab. Handelt es sich etwa nur um die E-Mail-Adressen der deutschen Kunden, ist dies einfacher, als wenn ganze Datensätze inklusive Persönlichkeitsprofilen übermittelt werden sollen.

Kommt eine Rechtfertigung nicht in Betracht, muss eine ADV-Vereinbarung geschlossen werden. In der Regel geschieht dies in einem Vertrag mit den EU-Standardvertragsklauseln oder die Standardklauseln werden zum Annex des ADV-Vertrages. Wichtig ist hierbei, dass die technischen und organisatorischen Maßnahmen, die der Dienstleister trifft, um den Datenschutz zu wahren, im Detail aufgeführt sind. Fehlt es daran, entfällt die Privilegierung als Auftragsdatenverarbeiter.

Die Hürden, die das deutsche Datenschutzrecht aufstellt, sind also hoch. Mit ein bisschen Aufwand und Druck können US-Dienstleister allerdings häufig überzeugt werden, diese Hürden gemeinsam zu nehmen und die entsprechenden Verträge zu schließen.

Fazit

Kein deutsches Unternehmen sollte ungeprüft personenbezogene (Kunden-)Daten an Dienstleister in den USA übermitteln.

Wer dies doch tut, verletzt in der Regel deutsches Datenschutzrecht und verstößt gegen Compliance-Regeln. Auch ein Safe-Harbor-Zertifikat des amerikanischen Dienstleisters allein genügt nicht für die Zulässigkeit der Beauftragung. Der deutsche Auftraggeber muss sich zum einen davon überzeugen, dass die datenschutzrechtlichen Vorgaben tatsächlich eingehalten werden. Zum anderen muss in der Regel ein Auftragsdatenverarbeitungsvertrag mit dem US-Unternehmen geschlossen werden, wenn eine andere Rechtfertigung nicht in Betracht kommt.

Kommentar abgeben
Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *
Kategorie
Blog teilen