Dr. Mathias Preuschl zum Facebook-Urteil: „Datenschutzrechtliche Genehmigung ist Gebot der Stunde!“

Nach dem viel beachteten Urteil des EuGH vom 6. Oktober 2015 ist die Safe-Harbour-Entscheidung der Europäischen Kommission zum Datentransfer in die USA ungültig. Nationale Datenschutzbehörden müssen nunmehr überprüfen, ob Daten europäischer Nutzer in den USA sicher sind. Was bedeutet dieses Urteil für österreichische Unternehmen? – Ein Interview mit dem White Collar Crime und Compliance Experten Dr. Mathias Preuschl, Partner der Wirtschaftskanzlei PHH Prochaska Havranek Rechtsanwälte.

Dr. Mathias PREUSCHL | 09.11.2015 | Datenschutzrecht Seite drucken

meinanwalt.at: Herr Dr. Preuschl, Sie sind Partner der führenden Wirtschaftskanzlei PHH Prochaska Havranek Rechtsanwälte. In welchen Rechtsbereichen liegt Ihr Beratungsschwerpunkt?

Dr. Mathias Preuschl: Im Bereich der Beratung liegt mein Schwerpunkt im Compliance Bereich. Kurz gefasst, analysieren wir rechtliche Risiken in den Unternehmen unserer Kunden. Dies kann sich sowohl auf das Unternehmen als Ganzes beziehen, das einem „Compliance Check“ unterzogen wird, es kann aber auch bedeuten, dass ein ganz bestimmter Vorgang, ein ganz bestimmtes Geschäft auf seine Rechtskonformität geprüft wird. Ansonsten sind mein Team und ich auch im Bereich der internen Ermittlungen beim Verdacht strafbarer Handlungen tätig und schlussendlich vertreten wir unsere Mandanten vor Straf- und Zivilgerichten.

meinanwalt.at: Das Urteil des Europäischen Gerichtshofs (EuGH) zum Datentransfer zwischen den USA und der EU hat medial für großes Aufsehen gesorgt. Wie bewerten Sie diese Entscheidung?

Dr. Mathias Preuschl: Das Urteil des EuGH ist in meinen Augen ein Bekenntnis zum Datenschutz und stellt das Ende des – leicht überzogenen – „blinden Vertrauens“ dar. In der seinerzeitigen Entscheidung der Europäischen Kommission stellte diese fest, dass die USA ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten.  Der EuGH möchte somit einerseits den Stellenwert des europäischen Datenschutzrechts stärken. Andererseits ist dieses Urteil freilich auch eine Folge des Bekanntwerdens von Spionageaktivitäten diverser US-amerikanischer – und auch europäischer – Geheimdienste. Die Enthüllungen ließen politische Forderungen zu mehr Datenschutz laut werden.

meinanwalt.at: Welche rechtliche Wirkung hatte die Safe-Harbour-Entscheidung der Europäischen Kommission bislang für Unternehmen?

Dr. Mathias Preuschl: Die Safe-Harbour-Entscheidung bewirkte rechtlich gesehen eine weitgehende Gleichstellung von inländischem und Datenverkehr in die USA. War dieser nämlich im Inland zulässig – sprachen somit nicht schutzwürdige Geheimhaltungsinteressen der Betroffenen dagegen –, galt dies auch für US-Unternehmen, die die „Safe-Harbour-Kriterien“ erfüllten.  Eine rechtliche Gleichstellung verringerte freilich Barrieren und trug dazu bei, die Handelsbeziehungen zwischen den USA und der EU zu stärken. Dies traf insbesondere auf Konzerngesellschaften zu oder auf solche inländische Unternehmen, die Daten aus wirtschaftlichen Erwägungen in die USA zur Verarbeitung übermittelten.

meinanwalt.at: Was sind die Folgen des EuGH Urteils für Internet Nutzer? Facebook hat bereits angekündigt weiterhin Daten in die USA zu übermitteln.

Dr. Mathias Preuschl: Internetnutzern wird nunmehr unterm Strich mit Sicherheit größerer Schutz ihrer Daten geboten. Die ab sofort erforderliche Genehmigungspflicht durch die Datenschutzbehörde hat zur Folge, dass für Unternehmen eine weitere Hürde zu nehmen ist. In meinen Augen wird der Nutzer somit zumindest vor jenen Datenanwendungen mit besonders sorglosem Umgang mit den Daten der Betroffenen geschützt: nunmehr wird nämlich geprüft, ob in konkreten Einzelfall, sohin unter Berücksichtigung der verwendeten Daten und deren Verwendung, angemessener Datenschutz besteht. Sollte dies nicht der Fall sein, wird die Genehmigung nämlich untersagt werden und die Datenanwendung ist einzustellen.

meinanwalt.at: Durch den Entfall der Safe-Harbour-Entscheidung der Europäischen Kommission müssen zukünftig nationale Datenschutzbehörden überprüfen, ob Datentransfers zulässig sind. Was ist von diesen zu erwarten?

Der EuGH hat den nationalen Datenschutzbehörden durchaus großen Spielraum bei der Bewertung eingeräumt, indem er ausführte, dass deren Befugnisse, über die sie aufgrund  der  Charta  der Grundrechte  der Europäischen  Union verfügen, weder beseitigt noch auch nur beschränkt werden können. Das bedeutet jedoch nicht, dass Datenanwendungen, die – weil sie die Safe Harbour Kriterien erfüllten – bislang genehmigungsfrei waren und nur gemeldet werden mussten, nunmehr eingestellt werden müssen. Es ist möglich, dass für einen Großteil der betroffenen Datenanwendungen die Genehmigung – allenfalls unter Auflegung entsprechender Auflagen – erhalten bleibt.

meinanwalt.at: Welche rechtlichen Konsequenzen hat dieses Urteil konkret für österreichische Unternehmen? Was raten Sie betroffenen Unternehmen?

Dr. Mathias Preuschl: Aufgrund der stark ausgeprägten Wirtschaftsbeziehungen beider Kontinente ist auch für eine Vielzahl österreichischer Unternehmen der Datenverkehr mit US-amerikanischen Unternehmen alltäglich. Für diese – ersten Presseberichten zufolge sind mehrere tausend österreichische Unternehmen betroffen – ist nunmehr die Stellung eines Antrages auf Genehmigung der Datenanwendung das Gebot der Stunde. Bejahendenfalls ist ein Antrag auf Genehmigung bei der Datenschutzbehörde zu stellen. Dem Vernehmen nach wird diese Genehmigung erteilt, sofern die EU-Standardvertragsklauseln oder andere Verträge mit einem Inhalt vereinbart wurden, welche ein mit österreichischen Standards vergleichbares Datenschutzniveau bieten.

meinanwalt.at: Welche Unternehmen bzw. welche Branchen in Österreich sind von dieser Entscheidung besonders betroffen?

Dr. Mathias Preuschl: Es ist schwierig, die Auswirkungen für konkrete Branchen zu prognostizieren, sicherlich betrifft es den Finanz- und Versicherungssektor. Bei den Dienstleistern ist an Internetplattformen wie etwa Facebook, im Bereich des Handels an diverse Onlineshops zu denken. Eher kann die Eingrenzung nach Unternehmensstruktur getroffen werden: Insbesondere Konzerngesellschaften sind von dem Urteil des EuGH betroffen. Es ist, wie bereits zuvor ausgeführt, aufgrund der engen Wirtschaftsbeziehungen Gang und Gäbe, dass etwa Konzerntöchter an ihre Konzernmütter Daten liefern – teilweise ist dies für vernünftige wirtschaftliche Planung auch unerlässlich.

meinanwalt.at: Muss eine Genehmigung auch dann eingeholt werden, wenn ein Datentransfer in die USA erfolgt, die Konzernmutter aber in Europa sitzt?

Dr. Mathias Preuschl: Selbst wenn die Konzernmutter ihren Sitz in Europa hat, heißt das nicht, dass keine Genehmigungspflicht besteht: Dies etwa, wenn sich die Server, an die die Daten übermittelt werden, in den USA befinden. In diesem Zusammenhang ist freilich darauf hinzuweisen, dass auch der Verwendungszweck der übermittelten Daten in die Beurteilung durch die Datenschutzbehörde einfließt.

meinanwalt.at: Welche Datenanwendungen unterliegen der Genehmigungspflicht?

Es muss sich nicht um Datenanwendungen handeln, die von Geheimdiensten zu Spionagezwecken missbraucht werden können. Es können auch Anwendungen sein, die rein wirtschaftliche Daten enthalten, etwa im Zusammenhang mit aufgegebenen Bestellungen.

Auch Whistle-Blowing-Hotlines, welche von kleinen Unternehmen bis zu globalen Konzernen zur Aufdeckung von Rechtsverstößen in den eigenen Reihen eingesetzt werden, sind von den Datenschutzbestimmungen erfasst. Werden diesbezügliche Daten an die Konzernmutter in die USA übermittelt, so ist ab sofort eine Genehmigung durch die Datenschutzbehörde einzuholen.

meinanwalt.at: Müssen Daten von Nutzern aus den USA nach Europa zurückgeholt werden?

Dr. Mathias Preuschl: Ist eine Genehmigung notwendig und wird diese erteilt, so bleibt alles beim Alten und gibt es keine Veränderungen. Wird diese Genehmigung jedoch nicht erteilt, muss die Datenanwendung beendet werden. Schwer vorstellbar – weil technisch wohl auch kaum realisierbar – ist es, dass eine Rückübermittlung sämtlicher Daten stattzufinden hat, die zuvor zum damaligen Zeitraum rechtens übermittelt wurden.

meinanwalt.at: Wann dürfen Daten ohne Genehmigung ins Ausland übermittelt werden?

Dr. Mathias Preuschl: Übermittlungen und Überlassungen von Daten in Vertragsstaaten des Europäischen Wirtschaftsraumes sind genauso genehmigungsfrei wie etwa nach Staaten mit angemessenem Rechtsschutz. Dies  trifft etwa auf die Schweiz, Argentinien oder Neuseeland zu. § 12 Abs 3 Datenschutzgesetz (DSG) enthält zudem einen Katalog an Daten, deren Übermittlung ins Ausland genehmigungsfrei ist. Es handelt sich um solche Daten, die etwa im Inland zulässigerweise veröffentlicht wurden oder nur indirekt personenbezogen sind. Genehmigungsfrei bleibt es auch, wenn der Betroffene seine Zustimmung zur Übermittlung gegeben hat. Alles andere ist genehmigungspflichtig.

meinanwalt.at: Welche Maßnahmen müssen Unternehmen setzen, damit eine Genehmigung erteilt werden kann? Reichen Hinweise in den AGB auf den Datentransfer aus?

Dr. Mathias Preuschl: Das DSG spricht davon, dass der Betroffene „ohne jeden Zweifel seine Zustimmung zur Übermittlung oder Überlassung seiner Daten ins Ausland gegeben“ haben muss. Ein Verweis auf die AGB, in welchen auf die Datenübermittlung hingewiesen wird, wird demnach nicht ausreichen. Wie bereits ausgeführt ist wesentlich, dass ein angemessener Datenschutz besteht. Dies kann im Zuge des Genehmigungsprozesses durch die Verwendung der EU-Standardvertragsklauseln oder eigene Verträge mit vergleichbarem Inhalt erreicht werden.

meinanwalt.at: Wie sieht es mit sogenannten Binding Corporate Rules aus?

Dr. Mathias Preuschl: Denkbar ist es, dass in multinationalen Unternehmen verbindliche Datenschutzregelungen erstellt werden, welche ebenfalls einen vergleichbaren Datenschutz bieten und zudem auch Maßnahmen zur Durchsetzung und die Verbindlichkeit der Regeln festlegen. Sofern dadurch ein angemessener Datenschutz geboten wird, kann auch über diesen Weg eine Genehmigung erreicht werden.

meinanwalt.at: Wie schnell entscheidet die Datenschutzbehörde? Kann gegen die Entscheidungen ein Rechtsmittel eingelegt werden?

Dr. Mathias Preuschl: Auf das Genehmigungsverfahren vor der Datenschutzbehörde sind die Bestimmungen des Allgemeinen Verwaltungsverfahrensgesetzes (AVG) anzuwenden, die den Behörden die Verpflichtung auferlegt, ohne unnötigen Aufschub, spätestens aber nach sechs Monaten zu entscheiden. Gegen Bescheide der Datenschutzbehörde kann eine Beschwerde erhoben werden, über die das Bundesverwaltungsgericht entscheidet.

meinanwalt.at: Mit welchen rechtlichen Konsequenzen müssen österreichische Unternehmen im Fall einer unterlassenen Genehmigung des Datentransfers bei der Datenschutzbehörde rechnen?

Dr. Mathias Preuschl: Ein genehmigungsloser Datentransfer wird untersagt und bei jedem einzelnen Zuwiderhandeln eine Verwaltungsstrafe bis EUR 10.000 verhängt. Das bedeutet, dass es für das betroffene Unternehmen einerseits sehr teuer werden kann und andererseits das Verbot des Datentransfers wirtschaftlichen Schaden bis hin zur Existenzvernichtung des Unternehmens herbeiführen kann. Das Risiko ist daher nicht auf die leichte Schulter zu nehmen.

meinanwalt.at: Welche sonstigen rechtlichen Themen sind neben einer eventuell notwendigen Genehmigung durch die Datenschutzbehörde nach dem EuGH-Urteil zu beachten? 

Dr. Mathias Preuschl: Hier kommt es auf den Zweck der betreffenden Datenverwendung an. Handelt es sich um wirtschaftliche Daten wie etwa Kundendaten, können sich wettbewerbsrechtliche Fragen und Probleme stellen. Im Fall der oben genannten Whistle-Blowing-Hotlines sind zudem arbeitsrechtliche Bestimmungen und Grenzen zu berücksichtigen.

meinanwalt.at: Vielen Dank für das Gespräch!

 Zur Person:

Dr. Mathias Preuschl ist Partner bei PHH Prochaska Havranek Rechtsanwälte. Zu seinen Tätigkeitsschwerpunkten zählen White Collar Crime, Zivilrecht und Compliance. Dr. Mathias Preuschl publiziert regelmäßig zu verschiedenen zivil- und strafrechtlichen Themen. Er ist Mitglied des Ausschusses der Rechtsanwaltskammer Wien, Delegierter des Österreichischen Rechtsanwaltskammertages, Mitglied der Arbeitsgruppe Exekutionsrecht und des Sicherheitsbeirates beim Bundesministerium für Justiz, Mitglied des IT Law Committee der CCBE (Council of Bars and Law Societies of Europe), stellvertretender Vorsitzender der Arbeitsgruppe Surveillance of Lawyers der CCBE, sowie Mitglied des Criminal Law und des Business Crime Committee der IBA (International Bar Association). Weitere Informationen über Dr. Mathias Preuschl finden Sie auf www.phh.at

Haftungsausschluss: Die auf dieser Website bereit­gestellten Artikel/Inhalte stellen Tipps von Experten dar und ersetzen dennoch keine rechtliche Beratung. Jede Haftung für Richtigkeit, Vollständigkeit und Aktualität ist ausgeschlossen.

Share on Social Media

auf Facebook teilen auf Twitter teilen auf LinkedIn teilen auf Xing teilen

Aktuelle Artikel

Nach oben