Safe-Harbor-Urteil

Konsequenzen für den Datenschutz in der EU

| Autor / Redakteur: Andreas Gauger* / Stephan Augsten

Trotz des Safe-Harbor-Urteils gibt es Mittel und Wege, die Daten und ihre Übertragung gesetzeskonform abzusichern.
Trotz des Safe-Harbor-Urteils gibt es Mittel und Wege, die Daten und ihre Übertragung gesetzeskonform abzusichern. (Bild: Archiv)

Das Safe-Harbor-Urteil des Europäischen Gerichtshofs kippte in Sachen Datenschutz die Rechtsgrundlage für viele Verträge mit US-Cloud-Providern. Doch es gibt Lösungen – sowohl schnelle als auch strategisch langfristige.

Die Überraschung war groß: Anfang Oktober hat der Europäische Gerichtshof (EuGH) das sogenannte Safe-Harbor-Abkommen faktisch ausgesetzt. Das Abkommen – ausgehandelt von der EU-Kommission – regelte seit dem Jahr 2000 die Auftragsdatenverarbeitung zwischen Unternehmen in Europa und den Vereinigten Staaten.

Bis dahin galt die USA wegen der stark von den EU-Gepflogenheiten abweichenden Datenschutzregeln als unsicheres Drittland, in das die Übertragung von personenbezogenen Daten verboten ist. Dank des Safe-Harbor-Abkommens sollten Unternehmen solche Daten laut Auffassung der EU-Kommission rechtlich sauber bei Dienstleistern in den USA speichern können.

In der Anfangszeit betraf dies nur wenige Unternehmen, doch Service-Verträge und Cloud Computing haben in den vergangenen zehn Jahren einen starken Aufschwung erlebt. Nach Angaben der Datenschutzbehörden mehrere haben seither Tausend datenverarbeitende US-Unternehmen Safe Harbor als Basis in Anspruch genommen, um personenbezogene Daten aus der EU zu verarbeiten.

Das Urteil des EuGH hat die Lage für alle Unternehmen aus der EU, insbesondere deutsche Unternehmen, die mit solchen Datenverarbeitern Verträge eingingen, nicht einfacher gemacht. Durch die Entscheidung ist eine Art datenschutzrechtliches Vakuum entstanden. Europäische und deutsche Unternehmen, die auf Basis von Safe Harbor Daten durch US-Anbieter verarbeiten lassen, müssen also rasch handeln, sollten sich aber dabei nicht zu voreiligen Schritten verleiten lassen.

Juristische und technische Lösungen

Folgt man der Auffassung der EU-Kommission, so gibt es theoretisch eine Reihe von Möglichkeiten, die unklare rechtliche Lage zu beenden. Außerdem bestehen aufwändige technische Sicherungssysteme, die man einsetzen könnte. Aber nicht jede ist überhaupt oder ganz überwiegend rechtssicher und in gleicher Weise für alle Unternehmen geeignet.

  • Die unrealistische Lösung: Die sofortige Kündigung bestehender Verträge mit Anbietern in den USA ist keine gute Option, da in den meisten Unternehmen die Dienste zu stark in Prozesse und andere IT-Services eingebunden sein werden. Für etliche Unternehmen wird zudem ein Ersatz mangels kurzfristig verfügbarer Alternativen unmöglich sein.
  • Die unsinnige Lösung: Grundsätzlich ist es möglich, bei allen betroffenen Unternehmen und deren Endkunden die ausdrückliche Einwilligung für die Speicherung für die Auftragsdatenverarbeitung in den USA einzuholen. Diese Möglichkeit ist aber nicht besonders sinnvoll, da einerseits nicht alle Bestandskunden zustimmen werden und andererseits die Einwilligung jederzeit widerrufen werden kann.

Eine wirklich praktikable Alternative ist die „Generalabsolution“ durch die Kunden also nicht. Stattdessen sieht das EU-Datenschutzrecht zwei weitere Möglichkeiten vor, die allerdings ebenfalls einer genauen Betrachtung bedürfen.

  • Die einfache Lösung für den Mittelstand: Vor allem kleine und mittelgroße Unternehmen sollten mit dem Cloud Provider einen ergänzenden Vertrag abschließen, der die Auftragsdatenverarbeitung anhand der sogenannten Standardvertragsklauseln der EU regelt. Ein Vorteil dieser Möglichkeit: Der Vertrag muss nicht der Aufsichtsbehörde vorgelegt werden.
  • Die große Lösung für Konzerne: Besser für die oft komplexen Anforderungen eines Großunternehmens oder eines weiträumig verflochtenen Konzerns sind die „Binding Corporate Rules (BCR)“. Sie müssen individuell vereinbart und den Aufsichtsbehörden vorgelegt werden.

Zum Hintergrund: Der Begriff der BCR bezeichnet einen rechtlichen Rahmen für verbindliche Richtlinien zum Umgang mit personenbezogenen Daten. Ausgearbeitet hat diesen Rahmen die Artikel-29-Datenschutzgruppe, das unabhängige EU-Beratungsgremium für den Datenschutz. Der Inhalt der Richtlinien wird von den Unternehmen individuell gestaltet, es gibt aber eine Reihe von vorgeschriebenen Inhalten.

Weitere Informationen zu den BCR geben zwei EU-Dokumente: Die „Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen“ und der eigentliche „Rahmen für verbindliche unternehmensinterne Datenschutzregelungen“.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43660633 / Compliance und Datenschutz )