Privacy Shield und Standardvertragsklauseln

Neue Unsicherheit für den Datenaustausch in der Cloud

| Autor / Redakteur: Dr. Dietmar Müller / Florian Karlstetter

Neue Rechtsunsicherheit für internationalen Datenaustausch: Europäischer Gerichtshof prüft demnächst Standardvertragsklauseln.
Neue Rechtsunsicherheit für internationalen Datenaustausch: Europäischer Gerichtshof prüft demnächst Standardvertragsklauseln. (Bild: gemeinfrei (TBIT / pixabay) / CC0)

Unternehmen müssen wie selbstverständlich Daten von Kunden austauschen, auch von Ländern der EU in die USA. Durch einen neuen Gerichtsbeschluss sind die dafür aktuell gültigen rechtlichen Bestimmungen – Standardvertragsklauseln und/oder das sogenannte „Privacy Shield“-Verfahren - neuerlich unsicher.

Bereits Anfang des Monats hat der irische High Court eine Klage gegen die Weitergabe privater Kundendaten in die USA an den Europäischen Gerichtshof (EUGh) verwiesen. Die irischen Richter äußerten generelle Zweifel daran, dass das Grundrecht auf gerichtlichen Rechtsschutz für europäische Bürger in den USA gewahrt ist. Die expliziten Fragen, die vom EUGh geklärt werden müssen, sollten am 10.10.2017 veröffentlicht werden - nun ist dafür ein Hearing am 1. Dezember anberaumt worden. Der komplexe Fall wird also voraussichtlich noch viel komplexer werden.

Die Klage stammt ursprünglich bereits aus dem Jahre 2013. Damals hatte der ehemalige Wiener Student Max Schrems – heute ist er als Jurist tätig - Facebook verklagt. Das amerikanische Unternehmen mit europäischem Sitz in Irland verstoße beim Umgang mit seinen Daten gegen herrschendes EU-Recht. Die Datenschützer von der irischen Data Protection Authority (DPC) fühlten sich jedoch zunächst nicht zuständig, woraufhin Schrems erstmals vor den Europäischen Gerichtshof (EUGh) in Luxemburg zog. Dieser setzte in der Folge 2015 das bis dahin geltende Verfahren zum Datenaustausch zwischen der EU und den USA, das sogenannte „Safe Harbour“-Abkommen, außer Kraft und verwies den Fall neuerlich an die DPC. Von dort ging der Fall am 3. Oktober dieses Jahres wiederum an den EUGh.

Europäischer Gerichtshof: Datenschutzaktivist verklagt Facebook

Aussetzung des Safe-Harbor-Abkommens gefordert

Europäischer Gerichtshof: Datenschutzaktivist verklagt Facebook

26.03.15 - Mit einer Klage gegen Facebook vor dem EuGH versucht ein Datenschutzaktivist, der Datensammelwut von US-Internetriesen, im konkreten Fall Facebook, Einhalt zu gebieten. In der Hauptsache geht es um den Datenschutz und undifferenzierten Zugriff der von Facebook gesammelten Nutzerdaten in den USA. Eine Verletzung der EU-Grundrechtecharta? lesen

Herr Schrems weißt in einem neuen Schreiben darauf hin, dass die Infragestellung des SCC-Verfahrens auch den Datenaustausch in der Cloud berühre. Der in der Cloud vorgenommene Datenaustausch sei dem Prozedere bei Facebook „sehr ähnlich“. Unabhängig davon betrachte er die von Facebook ab 2015 statt Safe Harbour eingesetzten Standardvertragsklauseln bzw. Standard Contract Clauses (SCC) als durchaus gangbaren Weg für den Datenaustausch.

Die nun erfolgte neuerliche Weitergabe des Falls an das EUGh begrüßte Schrems allerdings gegenüber dem österreichischen „Standard“ mit den Worten: „Es ist wichtig, dass ein neutrales Gericht außerhalb der USA die Fakten bezüglich der US-Überwachung in einem Urteil zusammenfasst, nachdem es durch mehr als 45.000 Dokumentenseiten in einer fünf Wochen dauernden Anhörung tauchen musste.“

Weitreichende Auswirkungen für Cloud-Nutzer

Der Fall hat weitreichende Auswirkungen auf die tägliche Praxis vieler Unternehmen in Deutschland. Jedes zehnte Unternehmen übermittelt selbst personenbezogene Daten in die USA, unter den großen Unternehmen ab 500 Mitarbeitern ist es sogar mehr als jedes zweite. Darüber hinaus lassen sechs Prozent der Unternehmen, die externe Dienstleister beauftragt haben, personenbezogene Daten in den USA verarbeiten. Unter den großen Unternehmen ist es sogar rund jedes Dritte (32 Prozent). Das ist das Ergebnis einer neuen Umfrage im Auftrag des Digitalverbands Bitkom.

„Deutsche Unternehmen sind international tätig und haben Töchter und Geschäftspartner in aller Welt. Ohne Daten zu übermitteln, können sie nicht mit Niederlassungen und Kunden zusammenarbeiten. Die Unternehmen brauchen verlässliche und handhabbare Regeln, um ihre internationale Zusammenarbeit auf legale Datentransfers zu stützen“, so Susanne Dehmel, Geschäftsleitern Recht & Sicherheit beim Bitkom. „Wenn Europa die grenzüberschreitenden Datenströme kappt, hat dies unmittelbar negative Auswirkungen auf das internationale Geschäft unserer Unternehmen. Europa darf keine Dateninsel werden.“

Die große Mehrheit aller Unternehmen, die Daten direkt oder über einen Dienstleister mit den USA austauschen, setzen laut Bitkom auf Standardvertragsklauseln als Rechtsgrundlage, 13 Prozent nutzen Privacy Shield. „Standardvertragsklauseln sind bislang das meistgenutzte Instrument für einen rechtssicheren Datenaustausch mit den USA. Viele Unternehmen, die früher mit Safe Harbor gearbeitet haben, haben nach dem Urteil des EuGH in 2015 ihre Verträge darauf umgestellt“, so Dehmel. „Sollten die Standardvertragsklauseln als nicht ausreichend angesehen werden, wissen Unternehmen nicht, womit sie weiterarbeiten können.“

Ihrer Meinung nach wird die anstehende Entscheidung des EUGh noch sehr viel bedeutendere Auswirkungen haben als das Urteil zu Safe Harbor: „Falls sich die EuGH-Entscheidung nicht nur auf den Datentransfer zwischen der EU und den USA bezieht, sondern allgemein auf die Vertragsklauseln, könnte dies verheerende Folgen für die europäischen Volkswirtschaften haben.“ Unter anderem würde auch die ab Mai 2018 europaweit geltende Datenschutz-Grundverordnung (DSGVO) in Frage gestellt. Diese hält Standardvertragsklauseln für ein datenschutzrechtlich geeignetes Verfahren für den Datenaustausch in ein unsicheres Drittland.

„Vertreter von Unternehmen stehen mittlerweile kopfschüttelnd an der Seitenlinie. Sie kommen sich vor wie in einer schlechten Gerichts-Soap“, kommentierte bereits im vergangenen Jahr Holger Dyroff, Geschäftsführer der ownCloud GmbH, in cloudcomputing-insider.de.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44980889 / Compliance und Datenschutz )