08.12.2015
EuGH-Safe-Harbor-Urteil
1. Teil: „Die USA sind kein sicherer Hafen mehr“
Die USA sind kein sicherer Hafen mehr
Autor: Oliver Huq
Fotolia / Weissblick
Der Transfer personenbezogener Daten aus der EU in die USA ist nun illegal. Das Bußgeld für unzulässige Datenübermittlungen kann 300.000 Euro betragen.
Personenbezogene Daten bilden das Herzstück vieler Geschäftsmodelle – etwa von Apple, Facebook, Google, Salesforce und Microsoft. Die Verarbeitung der von den Nutzern generierten personenbezogenen Daten (dazu zählen Namen, Adressen, IP- und E-Mail-Adressen) erfolgt in der Cloud – und die umspannt mittlerweile die ganze Welt. Das Internet kennt keine nationalen Grenzen und der Datenfluss via Glasfasernetz und von Knotenpunkt zu Knotenpunkt läuft voll automatisiert ab. So kann eine einfache Nachricht via E-Mail von einem deutschen Konto zu einem anderen, ebenfalls deutschen Konto durchaus um die Welt gehen, bevor sie das Postfach des Empfängers erreicht.
Problem Datenschutz
Datenschutz. In Deutschland spricht man vom „Recht auf informationelle Selbstbestimmung“. Um US-amerikanischen Unternehmen wie Apple, Facebook, Google, Microsoft und Co. die Verarbeitung von personenbezogenen Daten in den USA zu ermöglichen, wurden die sogenannten Regeln des sicheren Hafens („Safe Harbor“) initiiert. Diese sollten ein angemessenes Schutzniveau personenbezogener Daten von Europäern auch in den USA gewährleisten.
In der Europäischen Union schützen nationale Gesetze und europäische Verträge die Grundrechte der Bürger auf Ein angemessenes Datenschutzniveau hat die Europäische Kommission für die Schweiz, Kanada, Argentinien, Guernsey, die Isle of Man und für die Anwendung der vom US-Handelsministerium vorgelegten Grundsätze des „sicheren Hafens“ sowie die Übermittlung von Fluggastdatensätzen an die US-Zoll- und Grenzschutzbehörde (CBP) festgestellt.
Damit wurde bis zum Urteil des Europäischen Gerichtshofs (EuGH) am 6. Oktober die Datensicherheit in den USA durch die Europäische Kommission einfach unterstellt; und zwar für alle Unternehmen, die sich den Safe-Harbor-Regeln freiwillig unterworfen haben.
Dass diese Unterstellung den deutschen und europäischen Bestimmungen nicht gerecht wurde, war schon Jahre vor der NSA-Affäre und Edward Snowden bekannt. Experten und Datenschützer weisen seit Längeren auf diese Problematik hin.
2. Teil: „Auswirkungen des EuGH-Urteils für die Praxis“
Auswirkungen des EuGH-Urteils für die Praxis
Das ergangene EuGH-Urteil stellt fest, dass in den USA allein durch die Safe-Harbor-Bestimmungen kein ausreichender Datenschutz gewährleistet wird.
Direkte Konsequenz der Entscheidung ist, dass personenbezogene Daten ohne Weiteres nicht mehr in den USA verarbeitet werden dürfen, denn dort gibt es keine gesetzlichen Regelungen, die den europäischen Standards entsprechen.
Auf die Praxis wird das aktuelle Urteil dennoch nur beschränkte Auswirkungen haben. Zum einen wurde die Entscheidung des EuGH bereits erwartet und so haben viele Unternehmen entsprechende Vorkehrungen getroffen, die es ermöglichen, die Datenverarbeitung EU-rechtskonform durchzuführen. Einige Firmen setzen beispielsweise verstärkt auf EU-Server-Standorte.
Zum anderen gibt es zu Safe Harbor verschiedene Alternativen, die betroffene Unternehmen ins Auge fassen können:
- Sogenannte Binding Corporate Rules ermöglichen die Festlegung konzernweiter Datenschutzregeln auf EU-Standard, die dann für die Datenübermittlung in die USA von den zuständigen Datenschutzbehörden genehmigt werden können. Einige Firmen haben das bereits umgesetzt.
- Daten können legal in die USA übermittelt werden, wenn die Standardvertragsklauseln der EU-Kommission für die Übermittlung von personenbezogenen Daten in Drittländer eingesetzt werden. Das verlangt einen gewissen Aufwand, denn die Klauseln müssen in bestehende Verträge eingearbeitet werden.
- Verschlüsselungstechnik kann genutzt werden. Das gilt dann, wenn personenbezogene Daten so verschlüsselt werden, dass sie nur von autorisierter Seite in der EU entschlüsselt und gelesen werden können. Auch das erfordert einen gewissen Aufwand. So müssen die technischen Voraussetzungen geschaffen und die dahinterliegenden Arbeitsprozesse angepasst werden.
Letztlich liegt es an der Politik, möglichst schnell eine neue Regelung zu schaffen, die den Datentransfer zwischen der EU und den USA regelt. Ein No-Spy-Abkommen wäre da hilfreich und sollte seitens der EU und den USA endlich ernsthaft angegangen werden.
3. Teil: „Nach EuGH-Entscheidung Gefahr im Verzug?“
Nach EuGH-Entscheidung Gefahr im Verzug?
In jedem Fall muss die EuGH-Entscheidung von allen Firmen beachtet werden, die personenbezogene Daten verarbeiten. Einfach eine bestehende Praxis beizubehalten wäre leichtsinnig. Ansonsten ist es nur eine Frage der Zeit, bis die erste kostenintensive Abmahnwelle erfolgt.
Unbedingt sollte daher einer Datenverarbeitung in den USA widersprochen werden. In einem zweiten Schritt ist dann dafür Sorge zu tragen, dass die Daten nicht ohne Weiteres einfach übertragen werden. Gegebenenfalls sind die internen Prozesse zur Datenverarbeitung entsprechend anzupassen.
Ausblick
Zudem werden politische Entwicklungen und juristische Entscheidungen immer direkte Konsequenzen auf die technische Umsetzung von IT-Sicherheitsmanagement-Systemen entfalten. Das erfordert ohnehin eine ständige Anpassung – und zwar unabhängig vom konkreten Anlass.
IT-Sicherheitsmanager im Mittelstand können ohne entsprechende Planung kaum die erforderlichen ständigen Anpassungsarbeiten schultern. Darum sollte an einen externen Dienstleister gedacht werden, der das IT-Sicherheitsmanagement der Firma übernimmt, nach den organisatorischen Vorgaben des Auftraggebers umsetzt und das Regelwerk neuen Entwicklungen stets anpasst.
Fazit
Die oberste Devise lautet: Ruhe bewahren. Zwar betrifft das EuGH-Urteil eine Vielzahl von Unternehmen und Personen. Diesen ist davon abzuraten, gar nichts zu unternehmen, denn das birgt hohe Rechts- und finanzielle Risiken. Die Vorgehensweise liegt auf der Hand.
- Handlungsbedarf ermitteln: Werden personenbezogene Daten verarbeitet? Wenn ja, muss die Frage geklärt werden, ob das auch in den USA geschieht – etwa durch Server, die in den USA stehen.
- Maßnahmen einleiten: Bestehende Verträge überarbeiten und Providern bis zu einer wirksamen Neuregelung die Datenverarbeitung untersagen.
Zudem sollten die Verarbeitungsprozesse für die Daten angepasst und gegebenenfalls das IT-Sicherheitsmanagement outgesourct werden.
Weitere Infos
- https://openjur.de/u/268440.html
Informationelle Selbstbestimmung – vom Bundesverfassungsgericht seit 1983 im sogenannten Volkszählungsurteil als Grundrecht anerkannt (BVerfG, Urteil des Ersten Senats vom 15. Dezember 1983, 1 BvR 209/83 u. a. – Volkszählung –, BVerfGE 65,1) - www.export.gov/safeharbor/eu/eg_main_018365.asp
US‑Webseite mit allen wesentlichen Unterlagen zu den Safe‑Harbor‑Vereinbarungen - http://eur-lex.europa.eu/legal-content/de/ALL/?uri=CELEX:32000D0520
Entscheidung 2000/520/EG der EU‑Kommission zu Safe Harbor im Volltext - www.econstor.eu/dspace/bitstream/10419/64866/1/726593699.pdf
Cloud‑Computing als Instrument für eff iziente IT‑Lösungen, HWWI policy paper, No. 71, m. w .N. von Bräuninger, Michael; Haucap, Justus; Stepping, Katharina; Stühmeier, Torben (2012) - http://goo.gl/mTUUw0
Kritik der deutschen Datenschutzbeauft ragten an Safe Harbor nach der Datenschutzkonferenz 2013 in Bremen - http://goo.gl/yn0nuS
Urteil des EuGH im Volltext - https://goo.gl/seNa1P
Aktuelle Meldungen zu Safe Harbor - http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm
Klauseln für den Datentransfer in englischer Sprache
Personen
Nfon CCO Gernot Hofstetter tritt zurück
Gernot Hofstetter war sechs Jahre beim Münchner Cloud-PBX-Anbieter Nfon, zuletzt als Chief Commercial Officer. Nun hat er das Unternehmen verlassen und ist zum Start-up Stealth Mode gewechselt.
>>
Cloud Infrastructure
Oracle mit neuen KI-Funktionen für Sales, Marketing und Kundenservice
Neue KI-Funktionen in Oracle Cloud CX sollen Marketingspezialisten, Verkäufern und Servicemitarbeitern helfen, die Kundenzufriedenheit zu verbessern, die Produktivität zu steigern und die Geschäftszyklen zu beschleunigen.
>>
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>
Personalie
CEO Frank Roebers verlässt Synaxon
Er war 32 Jahre bei der Verbundgruppe und hat sie maßgeblich geprägt. Nun tritt der CEO von Synaxon Ende des Jahres zurück – und gründet ein eigenes Unternehmen.
>>