Von Philip Kempermann *)Am 6. Oktober hat der Europäische Gerichtshof (EuGH) das Safe Harbor Abkommen gekippt. Seither beschäftigt viele Fondsgesellschaften die Frage, welche Auswirkungen dies für sie hat. Fakt ist: Betroffen sind nicht nur die Abwicklung von Investmentgeschäften oder die Verwaltung von Kundendaten, sondern auch Transfers von Mitarbeiter- und Kundendaten – und das bereits dann, wenn nur eine der Organisationseinheiten der Fonds außerhalb der EU liegt. Fondsgesellschaften haben jedoch Handlungsoptionen. Standardklauseln nutzbarAls naheliegendes Mittel können Fondsgesellschaften von den Betroffenen eine Einwilligung einholen. Theoretisch ist das bei Mitarbeitern und auch Kunden möglich – etwa, um einzelne Investmentgeschäfte durchzuführen. Als Lösung für den regelmäßigen Transfer kann die Einwilligung aber nicht herangezogen werden. Denn die Einwilligung ist jederzeit widerrufbar.In einem solchen Fall müsste der Datentransfer rückgängig gemacht werden, was in der Praxis kaum umsetzbar ist. In einzelnen Fällen zur Durchführung eines Investmentgeschäfts wird man von den betroffenen Kunden noch eine Einwilligung einholen können. Allerdings gibt es gegen die Einwilligung auch rechtliche Bedenken – etwa durch das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein oder dem Datenschutzbeauftragten von Rheinland-Pfalz.Es gibt aber derzeit auch noch eine legale Möglichkeit, Datentransfers in die USA vorzunehmen, ohne dass dafür die Einwilligung der Betroffenen notwendig ist: die sogenannten Standardvertragsklauseln. Dabei handelt es sich um Vertragswerke für den Transfer von personenbezogenen Daten zwischen verantwortlichen Stellen (etwa für den konzerninternen Datentransfer für das Personalmanagement oder die Beratung von Kunden) oder für die Beauftragung von IT-Dienstleistern. Die Standardvertragsklauseln werden von der Europäischen Kommission herausgegeben. In verschiedenen Beschlüssen hat sie festgestellt, dass die Klauseln ein geeignetes Mittel sind, um ein angemessenes Datenschutzniveau für solche Datentransfers sicherzustellen.Der EuGH hat in seinem Safe-Harbor-Urteil sehr deutlich festgestellt, dass er allein dazu befugt ist, solche Beschlüsse aufzuheben. Dies ist für Fondsgesellschaften insofern positiv, dass die Aufsichtsbehörden die Beschlüsse der Kommission nicht einfach für ungültig erklären können, sondern diese Frage vor den EuGH bringen müssten.Bis zu einer Entscheidung durch den EuGH können Fondsgesellschaften die Standardvertragsklauseln daher für ihre konzerninternen Datentransfers oder die Beauftragung von IT-Dienstleistern verwenden. Zwar könnte die Europäische Kommission selbst auch die Standardvertragsklauseln ändern oder für ungültig erklären.Die Kommission hat am 6. November jedoch mitgeteilt, die zugrundeliegenden Entscheidungen mit dem Ziel zu prüfen, die Klauseln durch kleinere Änderungen aufrechtzuerhalten. Daher ist davon auszugehen, dass Fondsgesellschaften bis auf weiteres die Standardvertragsklauseln nutzen können. In Europa speichernFondsgesellschaften sollten dennoch generell prüfen, ob sie für ihre IT-Dienstleistungen auf europäische Dienstleister zurückgreifen können, die die Daten in Europa speichern. Die einzelnen Organisationseinheiten der Fondsgesellschaften weltweit sollten auf entsprechende in Europa gespeicherte Daten stets nur durch Fernzugriff zugreifen.Gleichwohl müssen die Fondsgesellschaften auch bei einem solchen Vorgehen Standardvertragsklauseln verwenden, da auch ein solcher Fernzugriff stets ein Transfer von personenbezogenen Daten darstellt und unter die Regularien des europäischen Datenschutzrechtes fällt. Microsoft im FadenkreuzMuss es zwingend ein US-amerikanischer Dienstleister sein, sollten die Fondsgesellschaften diesen verpflichten, ihre Daten ausschließlich in Europa zu speichern. Dem Hauptkritikpunkt des Safe-Harbor-Urteils – der massenhafte Zugriff der US-Sicherheitsbehörden auf in den USA gespeicherten personenbezogenen Daten – wäre damit der Wind aus den Segeln genommen.Jedoch birgt auch eine solche Konstellation Risiken. Denn US-Sicherheitsbehörden haben beispielsweise Microsoft bereits dazu aufgefordert, auch Daten herauszugeben, die außerhalb der USA gespeichert werden. Microsoft wehrt sich aktuell gerichtlich gegen diese Aufforderung, hat jedoch in der ersten Instanz vor einem US-Bundesgericht im Staate New York verloren.Sollte die Berufung von Microsoft keinen Erfolg haben und das Unternehmen letztinstanzlich unterliegen, hätten die US-Sicherheitsbehörden auch auf personenbezogene Daten Zugriff, die bei US-Anbietern in Europa gespeichert sind. Dann bliebe den Fondsgesellschaften als letzter Weg nur noch, europäische Dienstleister zu nutzen und die konzerninternen Datentransfers zu beschränken.Fondsgesellschaften tun also gut daran, ihre Daten direkt in Europa bei europäischen Anbietern zu speichern, um beim Datenschutz einen sicheren Hafen zu erreichen.—-*) Dr. Philip Kempermann ist Partner bei Heuking Kühn Lüer Wojtek. Seine Schwerpunktgebiete sind IT- sowie Datenschutzrecht.