5. September 2016 | von Alle Beiträge anzeigen von
Alexander Lippold
| Thema: IT-SecurityAlle Beiträge zu diesem Thema anzeigen | 854 Besucher

Das Safe Harbor-Urteil des EuGH: Das hat sich in den letzten zwölf Monaten geändert

Am 6. Oktober 2015, also ziemlich genau vor einem Jahr, erklärte der Europäische Gerichtshof das seit dem Jahr 2000 geltende Safe Harbor-Abkommen, das bis dahin den Datenverkehr zwischen EU-Staaten und den USA regelte, für ungültig.

Das Urteil führte unter anderem dazu, dass eine Übertragung personenbezogener Daten – z.B. von Kunden- und/oder Mitarbeiterdaten – keine rechtliche Grundlage mehr besaß und damit de jure „illegal“ war. Darüber hinaus wurden die politischen Gremien diesseits und jenseits des Atlantiks dazu aufgefordert, schnellstens für eine Neuregelung zu sorgen, um diesen „juristischen Schwebezustand“ zu beseitigen.

Am 2. Februar 2016 verständigten sich die EU-Kommission und die USA dann nach wie man hört „zähen Verhandlungen“ auf das so genannte EU-US Privacy Shield, das letztendlich Anfang Juli 2016 offiziell verabschiedet wurde. Formaljuristisch ist damit derzeit eine juristisch bindende Regelung in Kraft.

„Privacy Shield: Safe Harbor with teeny, tiny changes“

Im März dieses Jahres äußerte der österreichische Jurist Max Schrems – sein Rechtsstreit gegen die Firma Facebook hatte letztendlich zum “Kippen” des Safe-Harbor-Abkommens durch den EuGH geführt – seine Bedenken zur Ratifizierung des neuen Abkommens: “Es ist besorgniserregend, dass eigentlich ziemlich blank das Urteil des EuGH ignoriert wird”.

Video-Interview Hr. Schrems

Aus diesem Grund geht er davon aus, dass auch die Nachfolgeregelung wieder vor dem Europäischen Gerichtshof zur Entscheidung landen wird und hegt seine Zweifel, dass die neue Regelung dort Bestand haben wird.

Und auch auf EU-Seite scheint man sich seiner Sache mittlerweile nicht mehr so sicher zu sein. So verabschiedete das Europaparlament im Mai 2016 eine Resolution, die die EU-Kommission auffordert, Mängel in dem Datenschutzabkommen zu beheben. Juristisch wie politisch bleibt die Sache also spannend!

Vom „sicheren Hafen“ zum „Schutzschild“: Folgen für Unternehmen

Unabhängig von der juristischen und politischen Diskussion stellt sich natürlich die Frage, wie Unternehmen – wenn sie selbst Daten in die USA transferieren oder einen Service Provider mit Sitz in den USA beauftragen – sich derzeit verhalten sollen. Dass diese Diskussion über die unterschiedlichen Vorstellungen zum Thema Datenschutz in der EU und den USA sehr wohl auch direkte Auswirkungen auf Unternehmen haben kann, zeigt die Meldung des Branchenverbands Eurocloud Deutschland im Februar 2016, dass nach Ablauf der Schonfrist des EuGH zum Safe Harbor Urteil erste Bußgeldverfahren gegen Unternehmen in Hamburg eingeleitet worden seien: Es drohten Bußgelder von bis zu 300.000 Euro!

Geht man von diesem Beispiel und der oben genannten Kritik von Datenschutzaktivisten wie Herrn Schrems und seiner Einschätzung aus, dass der EuGH auch die Neuregelung nicht „durchwinken“ wird, so kann der Rat für Unternehmen derzeit eigentlich nur lauten, sich ebenfalls nicht auf die Neuregelung zu verlassen. Denn Daten lassen sich nun einmal nicht einfach schnell aus den USA zurückholen, wenn auf einmal die juristische Grundlage entzogen wird.

Aus diesem Grund sollten Unternehmen es sich von vorneherein überlegen, ob und welche Daten sie wohin verlagern. Darüber hinaus müssen Unternehmen unbedingt ihre Dienstleister überprüfen, inwieweit diese Daten in die USA transferieren. Die großen amerikanischen Cloud Anbieter wie Amazon, Oracle, Microsoft oder Salesforce.com locken derzeit deutsche Kunden mit dem Versprechen, deren Daten in Rechenzentren zu speichern, die in Deutschland oder zumindest in Europa liegen. Dennoch sollten sich Unternehmen vor einer Zusammenarbeit mit diesen Anbietern versichern, dass die Daten – z.B. im Rahmen von Backup-Strategien oder eines internationalen Kapazitätsausgleichs – amerikanischen Boden NICHT betreten.

Die Verantwortung für die Daten, dies ist im Bundesdatenschutzgesetz klar und eindeutig festgelegt – liegt beim Besitzer dieser Daten – und er zahlt im schlimmsten Fall auch das Bußgeld!

Die Alternative: Cloud Services „Made in Germany“

Wer also nicht zum „Spielball“ für EU-Rechtsprechung und Politik werden möchte, sollte sich am besten eine Alternative überlegen, bei dem das Thema Datentransfer überhaupt keine Relevanz besitzt. Am einfachsten gelingt dies, wenn man sich einen Service Provider sucht, der nicht aus den USA stammt und dort auch keine Rechenzentren betreibt. Die Managed Services von SHD werden zum Beispiel ausschließlich aus dem eigenen Rechenzentrum in Deutschland angeboten. Damit hat der SHD-Kunde die Garantie, dass er sich über das Thema EU-US Privacy Shield überhaupt keine Gedanken machen muss. Er kann vielmehr sicher sein, dass alle in Deutschland und der EU geltenden gesetzlichen Regelungen zum Datenschutz eingehalten werden.

Ihre Meinung zählt

Newsletter abonnieren