30.10.2015 Große Unsicherheit nach dem Safe-Harbor-Urteil

Das Urteil des Europäischen Gerichtshofs (EuGH) zum Safe Harbor Abkommen mit den USA hat bei den Anbietern und Nutzern von Online-Diensten große Verunsicherung ausgelöst. Betroffen sind unter anderem Cloud-Services, Messenger-Dienste, Online-Shops oder soziale Netzwerke. Auch viele Tochtergesellschaften von US-Unternehmen haben sich auf Safe Harbor gestützt, um Daten ihrer Mitarbeiter oder Kunden in ihrem Heimatland zu verarbeiten. Fest steht nach dem EuGH-Urteil, dass die Datenübertragung auf Basis von Safe Harbor ab sofort verboten ist. Dagegen ist unklar, wie sich die Entscheidung auf die bestehenden rechtlichen Alternativen auswirkt. Werden auch diese untersagt, droht die EU zu einer Dateninsel zu werden. Unternehmen aus den USA dürften personenbezogene Daten dann nur noch auf Servern innerhalb Europas verarbeiten. Die Folge wäre, dass Kunden von vielen innovativen Online-Diensten aus den USA abgeschnitten wären und die Konsequenzen eines verminderten Wettbewerbs in Kaufen nehmen müssten. Dies sollte es im Interesse des Digitalstandorts Europa verhindert werden.

Bislang konnten personenbezogene Daten als Alternative zu Safe Harbor auch auf Grundlage so genannter Standardvertragsklauseln in die USA übertragen werden. Unternehmen müssen die von der EU-Kommission formulierten Klauseln zum Datenschutz wortgetreu in die Verträge einfügen. Veränderte Klauseln müssen von der zuständigen Datenschutzaufsicht genehmigt werden. Große US-Unternehmen wie Microsoft oder Google bestätigten zur Beruhigung ihrer Kunden bereits, dass sie Standardvertragsklauseln einsetzen. Auch der Bitkom empfiehlt Anbietern und Nutzern derzeit, ihre Verträge zu überprüfen und bei Bedarf anzupassen. Weitere Alternativen zu Safe Harbor sind verbindliche Unternehmensregelungen (Corporate Binding Rules), die aber nur für einen konzerninternen Datenaustausch in Frage kommen, und die Einwilligung der Betroffenen.

Ob Standardvertragsklauseln oder Corporate Binding Rules eine Alternative zu Safe Harbor sind, darüber entscheidet vorerst die Datenschutzaufsicht. Die nationalen EU-Datenschutzbehörden kündigten nach einem Treffen an, diese Instrumente zu überprüfen – und zwar bis Ende Januar 2016. Grund für die Überprüfung ist die grundlegende Kritik des EuGH an der Überwachungspraxis und der mangelnde Rechtsschutz für die Europäer in den USA. Die deutschen Datenschutzbehörden schlossen sich dieser Linie zwar weitgehend an, erhöhten aber gleichzeitig den Druck auf die Unternehmen. Sie wollen ab sofort keine neuen Corporate Binding Rules oder individuelle Datenexportverträge mehr genehmigen. Der Datentransfer mit Einwilligung der Betroffenen ist aus ihrer Sicht ebenfalls nur in sehr begrenztem Umfang möglich. Den Unternehmen, die umstellen müssen, bleibt wohl nur die unveränderte Übernahme der Standardvertragsklauseln, weil dann keine gesonderte Genehmigung nötig ist. Ob diese aber über den 31. Januar 2016 hinaus Bestand haben, weiß momentan niemand.

Themen

Contact Picture

Susanne Dehmel

Zitat

„Fest steht nach dem EuGH-Urteil, dass die Datenübertragung auf Basis von Safe Harbor ab sofort verboten ist. Unklar ist, wie sich die Entscheidung auf die rechtlichen Alternativen auswirkt. Werden auch diese untersagt, droht die EU zu einer Dateninsel zu werden.“

Susanne Dehmel, Bitkom-Geschäftsleiterin Sicherheit & Datenschutz

Mit praktischer Unterstützung der Datenschutzbeauftragten kann die Wirtschaft ohnehin nicht rechnen: Stattdessen forderten sie die Unternehmen auf, ihre Verfahren zum Datentransfer doch bitte unverzüglich „datenschutzgerecht zu gestalten“. Was das aber unter den gegebenen Umständen konkret heißt, ist völlig unklar. Einige Datenschutzbehörden gehen inzwischen so weit, dass sie den Kunden von Cloud-Diensten europäische oder deutsche Anbieter als Alternative zu US-Unternehmen nennen. Das ist ein extremer Eingriff in den Markt, der in die falsche Richtung führt.

Aus Sicht der Digitalwirtschaft wäre es notwendig, dass die Datenschützer einen Weg aufzeigen, wie Unternehmen den Datentransfer rechtssicher gestalten können. Standardvertragsklauseln haben sich bewährt und wurden weder vom EuGH noch von den Datenschützern beanstandet. Daher sollten sie den Unternehmen einen gewissen Freiraum lassen und vorerst auch Klauseln wohlwollend prüfen, die nach den Bedürfnissen der jeweiligen Branche angepasst wurden.

Ebenfalls unsicher ist, ob die Politik das Dilemma auflösen kann. Die EU-Kommission und die USA befinden sich derzeit in Verhandlungen über ein neues Safe-Harbor-Abkommen. Ob die Amerikaner ihre Gesetze auf Druck der Europäer anpassen und damit die Vorgaben des EuGH erfüllt werden, ist unsicher. Sollten die Verhandlungen scheitern und die Datenschützer gleichzeitig zu dem Ergebnis kommen, dass es keine rechtssicheren Alternativen zu Safe Harbor gibt, droht der EU eine Abschottung von den internationalen Datenströmen – mit negativen Folgen für den Digitalstandort Europa. Viele innovative Online-Services kommen aus den USA und könnten dann nicht mehr genutzt werden. Zudem müssten sich die Kunden auf einen verminderten Wettbewerb einstellen, was Qualitätseinbußen und höhere Kosten zur Folge haben könnte. Schon jetzt fallen hohe Ausgaben für die Umstellung der Verträge oder gar für einen Wechsel des Anbieters an. Die Bundesregierung, die EU-Kommission und die Datenschutzbehörden sollten das bei ihrem weiteren Vorgehen im Blick behalten.

Diesen Beitrag teilen

Ihr Kommentar

Ihr Kommentar

* = Pflichtfelder

Der Inhalt dieses Feldes wird nicht öffentlich angezeigt

Diese Frage hat den Zweck zu testen, ob sie ein menschlicher Benutzer sind und um automatischem Spam vorzubeugen.

Captcha

Bitte geben Sie alle Zeichen ein.

 

Themen

Contact Picture

Susanne Dehmel