No Safe Harbor

In seiner Entscheidung vom 6.10.2015 erklärte der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen zur Datenverarbeitung zwischen der Europäischen Union und den Vereinigten Staaten für Amerika als ungültig. Daraus entstehen weitreichende Konsequenzen für viele US-amerikanische, aber auch europäische Unternehmen.

Was regelte das Safe-Harbor-Abkommen?

Das Safe-Harbor-Abkommen regelte seit 2000 die Einhaltung europäischer Datenschutzstandards bei der Übermittlung von Daten aus der EU in die USA. US-Unternehmen konnten dem Abkommen beitreten, wurden hierbei jedoch nicht von einer unabhängigen Stelle zertifiziert. Sie mussten sich lediglich beim US-Handelsministerium in eine Liste eintragen lassen und sich verpflichten die Safe-Harbor-Vereinbarung und die dazugehörenden FAQs einzuhalten.

Das Europäische Parlament forderte bereits seit März vergangenen Jahres eine Aussetzung des Abkommens, da es die Daten europäischer Bürger nicht genug vor US-Geheimdiensten geschützt sah.

Warum wurde Safe Harbor für ungültig erklärt?

Geklagt hatte der Österreicher Max Schrems, der die Datenschutzpraxis von Facebook für unzulässig hielt. Die Tragweite der Entscheidung des Gerichts geht jedoch deutlich über diesen Fall hinaus. In seinem Urteil erklärte der EuGH, die Europäische Kommission habe mit der Einwilligung zu Safe Harbor die Befugnisse der nationalen Datenschutzschutzbehörden unzulässig beschränkt. Weiterhin seien die Daten europäischer Nutzer nicht ausreichend vor dem Zugriff durch US-Behörden geschützt, da US-Gesetze Vorrang vor der Safe-Harbor-Regelung haben. Daraus folgt, dass die USA kein angemessenes Schutzniveau für personenbezogene Daten bietet. Die Anwendung des Abkommens wird nun mit sofortiger Wirkung ausgesetzt.
Wie es mit dem Safe-Harbor-Nachfolgeabkommen, das EU und USA derzeit verhandeln, weitergehen wird ist ungewiss.

Wie kann ich weiterhin mit US-Unternehmen zusammen arbeiten?

Das Urteil hat weitreichende Konsequenzen für US-amerikanische und europäische Unternehmen. Mit Safe Harbor fällt die Grundlage für eine sichere Datenverarbeitung in den USA weg. Daten dürfen deshalb nicht mehr einfach so in die Vereinigten Staaten übermittelt und dort verarbeitet werden. Deshalb ist es in vielen Fällen nötig, die Zusammenarbeit bei der Datenverarbeitung neu zu regeln. Aus dem Urteil ergeben sich folgende Möglichkeiten zur Regelung*:

1. Gesetzliche Ausnahmen des BDSG nutzen: In Fällen, in denen eine Datenübermittlung in die USA unabdingbar ist ändert sich gar nichts, die Daten dürfen wie bisher übermittelt werden. Das ist zum Beispiel beim Einkauf in einem US-amerikanischen Online-Shop oder der Buchung eines Hotels in den Vereinigten Staaten der Fall.

2. EU-Standardvertragsklauseln: Es gibt bereits Standardklauseln, die in Verträge zur Verarbeitung personenbezogener Daten mit Unternehmen außerhalb der EU eingefügt werden können. Wer lieber eine eigene Formulierung nutzt, kann dies machen, muss diese aber von den Datenschutzbehörden im Heimatland auf Konformität mit den EU-Bestimmungen prüfen lassen.

3. Binding Corporate Rules: Große Konzerne können auch eigene Regelwerke zur Verarbeitung personenbezogener Daten erlassen. Diese gelten dann weltweit für alle Datenverarbeitungs-Verträge des Konzerns. EU-Datenschutzbehörden müssen auch diese überprüfen, damit sie mit den Gemeinschaftsbestimmungen konform sind. Vorteil hierbei ist, dass es einen allgemeingültigen Standard innerhalb des Konzerns gibt. Dies wird jedoch nicht allzu oft Anwendung finden, da die EU-Regeln zum Datenschutz strenger sind als die der meisten anderen Staaten.

4. Datenverarbeitung innerhalb der EU: Viele US-Unternehmen verarbeiten die personenbezogenen Daten europäischer Bürger und Unternehmen bereits innerhalb der EU. Weitere werden nun wohl folgen. Prinzipiell unterliegen sie hierbei dann Europäischem Recht. Es gibt allerdings Ausnahmen: Rechtsnormen wie der Patriot Act ermöglichen US-Behörden den Zugriff auf im Ausland gespeicherte Daten, ohne das übliche Rechtshilfeersuchen. Diese Lösung ist somit mit Vorsicht zu genießen.

All diese Regelungen führen dazu, dass die Datenverarbeitung durch US-Unternehmen strengeren Auflagen unterliegt als bisher unter dem Safe-Harbor-Abkommen. Allerdings haben, gerade kleinere europäische Unternehmen, wenig Möglichkeit die Umsetzung und Einhaltung der Standards zu überprüfen.

Der sicherste Hafen sind europäische Anbieter

In Deutschland und Europa ansässigen Unternehmen müssen sich nun umstellen. Viele setzen auf Cloud- oder Software-as-a-service-Lösungen, die eine Datenübermittlung in die USA bedingen. Wo sie ihre Daten bisher in Sicherheit glaubten, herrscht nun Unklarheit. Deshalb empfiehlt es sich nun noch dringender, auf europäische Dienstleister zu setzen. Für diese gelten automatisch die strengen europäischen und nationalen Richtlinien zur Verarbeitung personenbezogener Daten. Alternativ kann auf eine lokale Installation der Software auf eigenen Servern bestanden werden. Es ist jedoch fraglich, ob das im jeweiligen Einzelfall möglich ist. Einzig Umstieg auf in Europa produzierte und verwaltete Clouds und Software gibt Gewissheit, dass die hiesigen Standards berücksichtigt werden.

Haben Sie noch Fragen zum Thema Datenschutz und Safe Harbor? Dann freuen wir uns auf ein Fachgespräch mit Ihnen. Rückruf bitte

 


Diesen Beitrag Ihren Followern bei Facebook und Twitter empfehlen:

[twoclick_buttons]


* Punkte 1-3 sind sinngemäß Heise entnommen.

Kostenfrei testen