Stormy sunset in Douro Harbor
14. Oktober 2015 | von Alle Beiträge anzeigen von
Alexander Lippold
| Thema: IT-SecurityAlle Beiträge zu diesem Thema anzeigen | 787 Besucher

EuGH „kippt“ Safe Harbor-Abkommen: Das Urteil und seine Folgen

Für einen Paukenschlag sorgte am 6. Oktober 2015 der Europäische Gerichtshof mit seiner Entscheidung, das seit dem Jahr 2000 geltende Safe Harbor-Abkommen für ungültig zu erklären. Was sich hinter diesem Abkommen verbirgt und was deutsche Unternehmen aufgrund der EuGH-Entscheidung beachten müssen, soll im Folgenden kurz erläutert werden.

Safe Harbor: Die USA als „sicherer Hafen“ für personenbezogene Daten

Das Safe Harbor-Abkommen von 2000 entstand aus einer Entscheidung der Europäischen Kommission zum Thema Datenexport in Drittländer. Laut EU-Datenschutzrichtlinie 95/46/EG ist es nämlich nur erlaubt, personenbezogene Daten in „Drittländer“ zu übermitteln, wenn diese über ein Datenschutzniveau verfügen, dass der Datenschutzrichtlinie und der EU-Grundrechtcharta für personenbezogene Daten entspricht. Ziel des Safe Harbor-Abkommens war es, dieses Niveau für die USA zu gewähren. Dazu mussten sich amerikanische Unternehmen, die personenbezogene Daten von EU-Bürgern auf ihren Systemen speichern, im Rahmen einer Selbstverpflichtung bestimmten datenschutzrechtlichen Prinzipien unterwerfen und diese Selbstverpflichtung in einer Liste des US-Handelsministeriums registrieren lassen. Auf der Liste befinden sich natürlich auch alle führende amerikanischen IT-Unternehmen und Cloud Service Provider wie Microsoft, Google, Amazon, Salesforce.com oder Dropbox.

In der Folgezeit kritisierten Datenschützer immer wieder die Unverbindlichkeit dieser Selbsterklärung. Darüber hinaus zeigten Gesetze wie der Patriot Act oder die Enthüllungen rund um die NSA-Affäre, dass das Datenschutzniveau in den USA eben nicht dem von der EU geforderten Niveau entspricht. Mit seinem Urteil gibt der EuGH dieser Kritik Recht und hat das gesamte Abkommen kurzerhand außer Kraft gesetzt.

Safe Harbor-Urteil: Die Folgen

Mit der Entscheidung des EuGH ist eine Übertragung von personenbezogenen Daten in die USA in der bisherigen Form nicht mehr zulässig, sie stellt vielmehr einen Verstoß gegen geltendes Datenschutzrecht dar. Deutsche Unternehmen, die Cloud Services amerikanischer Anbieter einsetzen, müssen deshalb also sicherstellen, dass entweder keine personenbezogenen Daten übertragen werden oder dass diese nicht in die USA übertragen werden. Dies wird in dem meisten Fällen schwierig bis unmöglich sein (z.B. weil die Anbieter außerhalb der USA überhaupt keine Rechenzentren betreiben).

Noch komplexer wird die wird die Situation für das Anwenderunternehmen, wenn es überhaupt nicht weiß, dass seine Daten in die USA übertragen werden. Dies kann zum Beispiel der Fall sein, wenn das Unternehmen einen Cloud Service eines deutschen oder europäischen Anbieters nutzt, dieser aber für den Betrieb seines Dienstes auf einen amerikanischen Infrastruktur-Anbieter (Amazon, Google, etc.) zurückgreift und die Daten so in die USA gelangen.

Einige US-Unternehmen wie zum Beispiel Microsoft verwenden zur datenschutzrechtlichen Absicherung der Verarbeitung von personenbezogenen Nutzerdaten aus der EU die so genannten Standardvertragsklauseln und Binding Corporate Rules (BCR). Wie die Zeit in einem Beitrag in ihrer Online-Ausgabe zum EuGH-Urteil aber erklärt, können diese Vereinbarungen „die Ansprüche des EuGH ebenso wenig erfüllen wie Safe Harbor“.

safe_harbor_shd_blogUnd für alle diejenigen US-Anbieter, die nun versuchen, durch eine Änderung der AGBs oder Datenschutzbestimmungen wieder rechtssicheren Boden unter den Füßen zu erlangen, hat Zeit Online gleich einen (sicher nicht ganz ernst gemeinten) Vorschlag für die entsprechende Datenschutzerklärung parat. Dass es mit einer ABG-Änderung allein nicht getan ist, bestätigt auch Peter Schaar, ehemaliger Bundesbeauftragter für den Datenschutz und heutiger Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID): “Manche Unternehmen werden sich von den Nutzern wohl eine Genehmigung für die Datenübermittlung geben lassen. Ich habe aber meine Zweifel, ob das ein wirksames Verfahren wäre.”

Die Lösung: Cloud Services „Made in Germany“

Der derzeit einfachste Ausweg aus diesem „Datenschutz-Dilemma“ ist die Zusammenarbeit mit Service Providern, deren Hauptsitz nicht die USA sind und die keine Rechenzentren in den USA betreiben. Sie bietet beispielsweise SHD seine Managed Services ausschließlich aus dem eigenen Rechenzentrum in Deutschland an und kann somit sicherstellen, dass keine Daten den deutschen Rechtsraum verlassen. Dies wiederum gibt dem SHD-Kunden die Sicherheit, alle in Deutschland und der EU geltenden gesetzlichen Regelungen zum Datenschutz einzuhalten.

Bildquelle/Copyright: © Zacarias da Mata — fotolia.com
  1. Pingback: EuGH „kippt“ Safe Harbor-Abkommen: Das Urteil und seine Folgen - log in. berlin. - das Blog zur digitalen Wirtschaft in Berlin

Ihre Meinung zählt

Newsletter abonnieren