Europäischer Datenschutz

EU-Gerichtshof legt Safe Harbour trocken

Puff und weg ist die Rechtsgrundlage für die US-Cloudservices. Sind die USA jetzt ein unsicheres Drittland? Sind all die bequemen Dienste illegal?

Nur drei Seiten braucht der Europäische Gerichtshof (EuGH), um in einer Mitteilung 15 Jahren bequemer Rechtspraxis die Grundlage zu entziehen. Heute Morgen hat der EuGH die bisherige Umsetzung des Safe-Harbour-Abkommens aufgehoben und damit die Basis für Datenspeicherung bei Cloudservices in den USA erschüttert.

Das Abkommen regelt den Datenfluss zwischen Unternehmen in Europa und den Vereinigten Staaten. Denn die Datenübertragung in Drittländer ist nach der EU-Datenschutzrichtlinie nur dann erlaubt, wenn der EU-Datenschutz eingehalten wird.

Deshalb hat die EU im Jahr 2000 das Safe-Harbour-Abkommen geschlossen. Es gestaltet die Übermittlung personenbezogener Daten aus der EU in die USA rechtlich sauber - trotz der zwei unterschiedlichen Datenschutzregime. Doch in den letzten Jahren stieg die Kritik. Viele Datenschützer befürchteten, die US-Unternehmen würden die Regelung nicht korrekt umsetzen.

Dies würde natürlich eine Prüfung der konkreten Datenverarbeitungspraxis in den USA erfordern, zum Beispiel durch die Datenschutzbehörden. Doch die haben sich bisher auf eine Entscheidung der EU-Kommission berufen. Die hatte ebenfalls 2000 schlicht beschlossen, dass die USA dank des Safe-Harbour-Abkommens ein angemessenes Schutzniveau einhalten.

Kurz: Für die USA galt ein juristischer Automatismus, der Unternehmen erlaubt hatte, die üblichen Standardverträge der US-Cloudservices einfach unbesehen zu unterschreiben. Genau dieser Automatismus ist jetzt aufgehoben, mit erheblichen Folgen für die Wirtschaft.

EuGH schafft Datenschutzvakuum

„Es entsteht ein Datenschutzvakuum, das hiesige Unternehmen in die Illegalität drängt. Sie müssten die Datenübertragung sofort aussetzen, was aber praktisch nicht umsetzbar ist“, sagt Datenschutzexperte Steffen Weiß von der Gesellschaft für Datenschutz und Datensicherheit in Bonn. „Ein Unternehmen muss also entweder auf Verträge mit US-Cloudservices verzichten oder andere Möglichkeiten nutzen.“

Es gibt weitere rechtliche Möglichkeiten, die Datenübertragung datenschutzkonform zu gewährleisten. Dazu gehören die von der EU-Kommission frei gegebenen Standardvertragsklauseln und die so genannten Corporate Binding Rules. Allerdings ist unklar, inwieweit das Urteil des EuGH sich negativ auf diese Alternativen auswirken wird.

Denn der EuGH gibt in seinem Urteil zu bedenken, dass die USA über keine angemessenen Regeln zum Schutz von Betroffenen hinsichtlich staatlicher Datenzugriffe verfügen. Im „Worst Case“ müssen Unternehmen die Einwilligung ihrer Nutzer für die Datenübermittlung individuell einholen. Das dürfte für viele Unternehmen zu aufwändig sein, der Automatismus von 2000 sollte ja genau dies verhindern.

Doch 15 Jahre sind in der IT eine lange Zeit. Inzwischen gibt es im B2B-Bereich und bei Plattform- oder Infrastrukturanbietern EU-Konkurrenten, die in Sachen Leistungsfähigkeit und Komfort in der gleichen Liga wie die US-Anbieter spielen. Die werden zu denen gehören, die das EuGH-Urteil ausschließlich positiv bewerten - Marktchancen sind in Sicht.

Bildquelle: Thinkstock / iStock

Link: Die Mitteilung des EuGH im Wortlaut

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok