Was das Einkassieren des Safe-Harbor-Abkommens durch den Europäischen Gerichtshof bedeutet.
15 Jahre lang bildete Safe Harbor eine der wichtigsten Grundlagen für den Austausch personenbezogener Daten zwischen der EU und den USA. Anfang Oktober erklärte der Europäische Gerichtshof (EuGH) diese Gangart für ungültig.
Wieso gerade für Unternehmen dadurch eine rechtliche Grauzone entsteht und welcher Handlungsbedarf aktuell entsteht, legt unser Gastautor Milan Naybzadeh in seinem Beitrag dar. Er ist der IT-Sicherheitsbeauftragte der ADACOR Hosting.
Vorgeschichte
Die Datenschutzrichtlinie 95/46/EG verbietet per se die Übertragung personenbezogener Daten aus Mitgliedstaaten der EU in Länder, die kein dem EU-Recht vergleichbares Schutzniveau aufweisen. Zu diesen Staaten zählen auch die USA, da im dortigen Recht entsprechend umfassende Regelungen fehlen. Um Unternehmen dennoch den Datenverkehr zwischen der USA und der EU zu ermöglichen, brachte die EU-Kommission im Juli 2000 die Safe Habor Principles auf den Weg. Die Vereinbarung sollte ein angemessenes Datenschutzniveau bei US-amerikanischen Unternehmen sicherstellen, indem sich diese auf die im Safe-Harbor-Pakt vorgegebenen Grundsätze verpflichteten. Ziel war es einen ausreichenden Datenschutznachweis für EU-Bürger zu erreichen und eine zusätzliche Überprüfung durch nationale Behörden obsolet zu machen.
Bis September 2015 waren etwa 4.700 amerikanische Unternehmen dem Abkommen beigetreten, darunter große Firmen wie Microsoft, Amazon, Google, Dropbox oder Facebook. Mit dem Betritt zu Safe Harbor schafften US-Unternehmen die Voraussetzung, dass eine Übermittlung personenbezogener Daten aus Europa an sie erlaubt war, wie als würden die Übertragungen innerhalb des europäischen Wirtschaftsraumes (EU/EWR) stattfinden.
Im Laufe der Zeit wurde immer wieder Kritik an dem Safe-Harbor-Pakt und der Entscheidung der EU-Kommission laut, weil die USA keinen ausreichenden Datenschutz garantieren können.
Facebook-Verfahren gab Ausschlag für Scheitern
Maximilian Schrems klagte vor dem Europäischen Gerichtshof im Namen seines Vereins zur Durchsetzung des Grundrechts auf Datenschutz „europe-v-facebook.org“ gegen Safe Harbor. Ausschlaggebend für den Prozess war der Umstand, dass Facebook Daten seiner europäischen Nutzer auf Servern in den USA speichert.
Das Verfahren gegen Facebook gewann zusätzlich an Brisanz, weil die irische Datenschutzbehörde (Facebook hat seinen europäischen Sitz in Irland) auf den Beitritt Facebook zum Safe-Harbor-Verbund verwies und deshalb keine Notwendigkeit sah, die Datenübermittlung zu überprüfen.
In seinen Schlussanträgen vom September erklärte Yves Bot, Generalanwalt am Europäischen Gerichtshof die Safe-Harbor-Entscheidung der EU-Kommission für nicht bindend und damit für ungültig. Dabei stützte er sich vor allem auf Edward Snowden´s Enthüllungen und den daraus gewonnen Erkenntnissen über die Überwachung der digitalen Kommunikation durch US-Geheimdienste. So hätten diese etwa auch Zugriff auf die Facebook-Server in den USA.
Am Ende folgte der EuGH den Schlussanträgen und sprach der EU-Kommission die Kompetenz ab, die Befugnisse der nationalen Datenschutzbehörden durch eigene Entscheidungen zu beseitigen oder zu beschränken.
Alternativen zu Safe Harbor
Aktuell diskutiert die Fachwelt drei Möglichkeiten durch die Unternehmen die Übermittlung rechtfertigen können. Diese sind jedoch ebenfalls mit Nachteilen behaftet.
1. Einwilligung des Nutzers
Der Nutzer gibt eine wirksame Einwilligung ab, die es gestattet, seine persönlichen Daten zu speichern und zu verarbeiten. Zur Gültigkeit der Einwilligung sind aber insbesondere zwei Punkte zu beachten:
- Der Nutzer muss stets ausreichend und konkret über die Art, den Umfang und die Reichweite seiner Einwilligung informiert sein. Pauschale Aussagen reichen nicht aus.
- Der Nutzer kann seine Einwilligung jederzeit widerrufen. Das bedeutet, dass die Berechtigung im laufenden Datenverarbeitungsprozess jederzeit entfallen kann. Die Einwilligung des Nutzers entspricht zwar am ehesten dem Gedanken des Datenschutzes, ist aber für die Praxis in den meisten Fällen untauglich.
2. EU-Standardvertragsklauseln
Die von der EU-Kommission zur Verfügung gestellten standardisierten Verträge sollen einen entsprechenden Datenschutz statuieren. Allerdings bemängeln verschiedene Datenschutzbehörden schon lange diese Standardklauseln aus den gleichen Gründen wie Safe Harbour, sodass die Gefahr besteht, dass diese ebenfalls als ungültig erklärt werden.
3. Binding Corporate Rules (BCR)
BCR sind länderübergreifend geltende, konzerninterne Richtlinien und Vorgaben. Sie haben jedoch einen Haken: Die BCR müssen den EU-Datenschutzstandards entsprechen. Das kann jedoch im Datenverkehr nicht immer gewährleistet werden, da die meisten Muttergesellschaften der entsprechenden Unternehmen ihren Sitz in den USA haben. Dort kann der Zugriff der US-Geheimdienste rechtlich nicht ausgeschlossen werden.
Konsequenzen für die Praxis und Lösungsvorschläge
Vorab lässt sich sagen: Eine schnelle, befriedigende Lösung gibt es nicht. Personenbezogene Daten europäischer Bürger dürfen nach EU-Recht nicht legal in die USA gesendet werden, solange die dortigen Rechtsverhältnisse nicht an europäische Vorgaben angepasst werden.
Bis zur einer Lösung leiten sich für Unternehmen folgende Empfehlungen ab:
- Achten Sie darauf, dass Daten mit Personenbezug in der EU bleiben. Natürlich gilt das nicht für alle Unternehmen, aber für viele lässt sich sagen, dass der Partner in den USA nicht wirklich die Daten einzelner Personen braucht. Oft reicht eine statistische Auswertung oder ein technischer Bericht zur Durchführung des Arbeitsablaufes. Zum Beispiel verarbeitet Google Analytics Daten offiziell in Europa und sendet an die Muttergesellschaft lediglich eine anonymisierte Statistik. In Bezug auf das Beitragsthema sollte das zunächst ausreichend sein.
- Übermitteln Sie selbst keine personenbezogenen Daten in die USA.
- Lassen Sie keine Dienste zu, in denen Daten mit Personenbezug in die USA übermittelt werden.
Sofern jedoch die transatlantische Übermittlung von personenbezogenen Daten für Ihr Geschäft überlebenswichtig ist, lohnt sich eine Einwilligung der betroffenen Person zu genau dem Zweck sowie der Benennung der Prozesse bei der Datenverarbeitung gegenüber den Betroffenen. Siehe dazu den Beitrag zur Auftragsdatenverarbeitung.
„Made in Germany“ wieder in aller Munde
Durch die aktuellen Ereignisse rücken europäische und besonders deutsche Unternehmen wieder in den Fokus der Märkte, da hierzulande die Themen „Datenschutz und –sicherheit“ mit größter Relevanz und Sorgfalt betrieben werden. Mit einem solchen Vertrauensvorsprung rechnen wir auch für unser Unternehmen. Wir hosten eigene Daten sowie die unserer Kunden ausschließlich in Deutschland.
Die möglichen negativen Konsequenzen illustriert unser Erklärvideo zum Thema Datenschutz und Datensicherheit.
[…] Kein sicherer Hafen mehr für unsere Daten (Ruhrbarone) – […]