Kein sicherer Hafen

Wie geht es nach Safe Harbor weiter?

Die Übermittlung personenbezogener Daten von der EU in die USA ist nicht mehr ohne weiteres möglich. Obwohl sich die Entscheidung des Europäischen ­Gerichtshofs schon länger andeutete, sorgt das ­Urteil zum Safe-Harbor-Abkommen für Verunsicherung. Wie geht es weiter?

Schiff in Brandung

Kein sicherer Hafen mehr: Das Safe-Harbor-Abkommen wurde vom EuGH für ungültig erklärt.

Am 6. Oktober 2015 fiel der Hammer. Der Europäische Gerichtshof (EuGH) erklärte das Safe-Harbor-Abkommen für ungültig. Dieses war vor 15 Jahren zwischen der Europäischen Kommission und den USA abgesprochen worden, um es Unternehmen zu ermöglichen, personenbezogene Daten in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem EU-Land in die USA zu übermitteln. So sollte verhindert werden, dass der Datenverkehr zwischen europäischen Ländern und den Vereinigten Staaten zum Erliegen kommt. Denn die Datenschutzrichtlinie 95/46/EG verbietet es, dass personenbezogene Daten aus EU-Mitgliedstaaten in Länder übermittelt werden, in denen kein vergleichbares Schutzniveau vorliegt.

Mit dem im Jahr 2000 geschlossenen Abkommen war es US-Firmen fortan möglich, diesem „sicheren Hafen“ beizutreten und sich auf einer entsprechenden Liste vermerken zu lassen – mit der Verpflichtung, beim Datenaustausch die „Grundsätze des sicheren Hafens“ zu befolgen. Somit war anerkannt, dass bei allen Unternehmen, die diesem System beitraten, ein ausreichender Schutz für die personenbezogenen Daten von EU-Bürgern bestehe. Zu den über 5.000 regis­trierten Unternehmen zählen Branchenriesen wie Amazon, Facebook, Google, HP, IBM und Microsoft. Welche Konsequenzen ergeben sich für jene Firmen,  und mit welchen Folgen müssen deutsche Anwender rechnen?

Dies ist ein Artikel aus unserer Print-Ausgabe 11/2015. Bestellen Sie ein kostenfreies Probe-Abo.

Den Stein ins Rollen brachte eine Auseinandersetzung zwischen dem Österreicher Max Schrems und ­Facebook sowie der irischen Datenschutzaufsichtsbehörde über die Zulässigkeit der Datenübermittlung aus Irland in die USA auf Grundlage der Safe-Harbor-Prinzipien. Die nun erfolgte Ungültigkeitserklärung des Abkommens stützt das Gericht laut Pressemitteilung unter mehreren Gesichtspunkten etwa auf die fehlenden Feststellungen zu Zugriffsbefugnissen der US-Sicherheitsbehörden und zu (fehlenden) Rechtsbehelfen der dadurch Betroffenen bei solchen Zugriffen – trotz Safe Harbor.

„Die Entscheidung der EuGH-Richter schränkt die vorher bestandene Handlungsfreiheit enorm ein“, erklärt Hans-Günter Börgmann, Geschäftsführer der Iron Mountain Deutschland GmbH. Großunternehmen würden zwar die nötigen Ressourcen besitzen, um  auf die mit dem Urteil verbundenen Problematiken zu reagieren. Doch Mittelständler hätten Teile ihres digitalen Dokumenten-Managements häufig aus Kostengründen an US-Unternehmen ausgelagert.

Konsequenzen des Urteils

Ebenso meldet sich Thomas Strohe von der Plusserver GmbH in Köln zu Wort. „Das Urteil hat das Thema ‚Datenschutz’ erneut in den Fokus des Interesses gerückt und zwingt viele Unternehmen nun zum Handeln“, kommentiert der Geschäftsführer des Hosting-Dienstleisters. „Auch wenn die meisten großen Cloud-Anbieter bereits über eigene Rechenzentren in Europa verfügen, drohen in den USA schon neue Gesetze, welche den Datenschutz weiter beschneiden.“ Diese sollen es den Behörden gestatten, auch auf bei US-Unternehmen gespeicherte Daten zuzugreifen, wenn diese sich außerhalb der Vereinigten Staaten befinden. So wird nicht nur der Speicherort der Daten, sondern auch das Herkunftsland des datenverarbeitenden Unternehmens eine hohe Relevanz bei der Entscheidung für einen Anbieter erhalten.

Doch nach dem EuGH-Urteil muss allen klar sein, „dass der Wegfall des ‚sicheren Hafens’ keineswegs nur US-Firmen oder die benannten Unternehmen wie Facebook, Google & Co. betrifft“, betont Daten-Management-Experte Roland Pfeiffer von Uniserv. Jedes Unternehmen, das personenbezogene Daten wie etwa Kundendaten selbst oder mithilfe amerikanischer IT-Dienstleister in die USA übermittelt, müsse sich nun über die Konsequenzen des Urteils informieren. Das Grundsatzurteil könnte zur Folge haben, dass die Datenschutzbehörden der EU-Länder künftig strenger überprüfen, wie Unternehmen mit personenbezogenen Daten umgehen. Auch vermehrte Anfragen und Klagen von EU-Bürgern gegen Unternehmen sind nicht auszuschließen.

In einem ersten Schritt sollten Unternehmen deshalb prüfen, ob sie Daten in die USA übermitteln oder entsprechende Cloud-Infrastrukturdienste nutzen, bei denen dies der Fall ist, oder ob US-Unternehmen Zugriff haben. „Konkret sollten sie dabei prüfen, ob direkt oder über Dritte Kunden- bzw. Interessentendaten in der Cloud außerhalb der EU verarbeitet oder gespeichert werden “, empfiehlt Pfeiffer.

Auch wenn das eigene Unternehmen Teil eines internationalen Konzerns ist und bisher Kundendaten in die USA übermittelt und dort gespeichert hat, sollte geprüft werden, ob dies bis dato auf Basis des Safe-Harbor-Abkommens erfolgte. „Zu beachten ist hierbei“, so Pfeiffer, „dass ein Datenexport auch dann vorliegt, wenn keine physische Übermittlung stattfindet, sondern ein Unternehmen in den USA lediglich einen Zugriff auf die Kunden- und Interessentendatenbank eines deutschen Unternehmens hat.“ Und wie geht es nach der Überprüfung weiter?

Der Bitkom-Verband weist an dieser Stelle darauf hin, dass es neben Safe Harbor noch andere rechtliche Möglichkeiten gibt, einen Transfer von personenbezogenen Daten in Drittstaaten außerhalb der EU datenschutzkonform zu gewährleisten. Dazu gehören z.B. die von der EU-Kommission freigegebenen Standardvertragsklauseln. Wenn diese Klauseln im Rahmen eines Vertrags zwischen dem exportierenden EU-Unternehmen und dem Unternehmen, das Daten importiert, unverändert verwendet werden, so soll eine darauf basierende Datenübermittlung auch in die USA erlaubt sein. In Deutschland soll – anders als in anderen EU-Staaten – bei Verwendung der Original-Vorgaben keine Genehmigung durch die Aufsichtsbehörde erforderlich sein.

Eine zweite Alternative stellen die sogenannten „Corporate Binding Rules“ dar: Internationale Konzerne können verbindliche Konzernregeln zum Datenschutz auf Basis der EU-Vorgaben definieren. Dies hat Vor- und Nachteile. Laut Uniserv erweist es sich in der Praxis oft als hinderlich, dass sich der Konzern weltweit weitgehend dem EU-Datenschutz unterwerfen muss und die Zustimmung der Datenschutzbehörden in allen EU-Ländern notwendig ist. Damit sei keine schnelle Lösung darstellbar. Statt Binding Corporate Rules könnten die Unternehmen in der EU jedoch auch mit den datenempfangenden Unternehmen im Konzern außerhalb der EU Verträge gemäß den Standardverträgen der EU-Kommission für Datenexporte abschließen. Wenn die Anzahl der Partner überschaubar ist, stelle dies oft eine einfachere Lösung dar.

Nur in Ausnahmefällen

Als dritte Alternative können Unternehmen die Einwilligung ihrer Nutzer für die Datenübermittlung individuell einholen. Die Hürden dafür sind laut Paragraph 4a BDSG aber recht hoch. Ein Hinweis in den AGBs sei hier auf keinen Fall ausreichend. Laut Uniserv dürfte diese Lösung in der Praxis nur in Ausnahmefällen anwendbar sein. Insbesondere die nachträgliche Einholung der Einwilligung für sich bereits in der Kundendatenbank befindlicher Einträge sei kaum umsetzbar. Nicht zuletzt erlaubt das BDSG (Bundesdatenschutzgesetz) in sehr engen Grenzen Ausnahmen für die Datenübermittlung – und zwar dann, wenn diese Übermittlung „zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen“ erforderlich ist. Dies könnte beispielsweise für die Hotelzimmerbuchung im Ausland der Fall sein.

Einheitliche Regelungen

Das EuGH-Urteil sieht der Teletrust – Bundesverband IT-Sicherheit e.V. grundsätzlich als „Chance auf Verbesserung der aktuellen Situation“. Der Gerichtshof bringe neuen Schwung in die seit etwa zwei Jahren laufenden Verhandlungen um eine neue Safe-Harbor-Regelung – der damalige Auslöser waren die Edward-Snowden-Enthüllungen. Europäischen Firmen, die auch weiterhin ihre personenbezogenen Daten ausschließlich in Deutschland oder der europäischen Union verarbeiten, werde mit dem Urteil der Rücken gestärkt. Und auch Initiativen wie das Teletrust-Qualitätszeichen „IT Security made in Germany“ erhalten die Bestätigung, „dass der Datenschutz ein hohes Gut ist, das nicht ausgehöhlt werden darf“.

„Tausende von Unternehmen haben ihre Datenübermittlung zwischen Deutschland und den USA bisher auf Safe Harbor gestützt“, erklärt Susanne Dehmel, Geschäftsleiterin des Digitalverbands Bitkom. Die Unternehmen bräuchten jetzt schnellstmöglich Rechtssicherheit. Sie müssen wissen, auf welche rechtlichen Grundlagen sie zukünftig bauen können und wie viel Zeit sie für die Umstellung auf andere Rechtsgrundlagen haben.

Hans-Günter Börgmann von Iron Mountain sieht die geplante Datenschutzverordnung als „guten Anlass für die EU in einen internationalen Datenschutzdialog zu treten und eine Vorreiterrolle zu übernehmen“. Doch ebenso jenseits des Atlantiks sollte man sich schnellstmöglich Gedanken über einen Lösungsweg machen, damit auch in Zukunft globale Cloud-Geschäfte möglich sind und der Datentransfer nicht zum Erliegen kommt. Die Frage lautet an dieser Stelle: Wie weit lässt sich die amerikanische Seite wohl zu Datenschutzregeln verpflichten, die dem europäischen und vor allem auch dem deutschen Datenschutzniveau entsprechen – oder diesem zumindest nahe kommen?


Was bedeutet „Safe Harbor“?

Das Safe-Harbor-Abkommen betrifft vor allem die Weiterleitung und Speicherung personenbezogener Daten von Europa in die USA. Bisher nahm man an, dass diese Daten in den USA ein vergleichbares Niveau an Sicherheit erfahren wie in der EU. Nun kritisierte der EuGH in seinem Urteil vom 6. Oktober 2015, dass die US-Datenschutzgesetze in keinem ausreichenden Maße auch für Daten aus der EU gelten.

Quelle: Tresorit


Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok