+49 30 285 058 56 berlin@res-media.net
Fachanwälte in Kooperation

Aus die Maus! Das Ende von Safe Harbor

Was viele schon seit einer Weile befürchtet haben, hat sich nun bewahrheitet. Der europäische Gerichtshof (EuGH) hat heute Morgen dem Safe Harbor einen Riegel vorgeschoben. In seiner Entscheidung in dem Fall Schrems gegen die irische Datenschutzbehörde (C- 362/14) hat der EuGH gegen eine jahrzehntealte Möglichkeit der Datenübermittlung in die USA geurteilt. Wir hatten dazu vor wenigen Tagen in diesem Blog berichtet.

  • Der Fall

Maximilian Schrems, ein Datenschutzaktivist aus Österreich, hat in dem vorliegenden Fall gegen die irische Datenschutzbehörde geklagt. Diese hatte zuvor eine Untersuchung gegen Facebook wegen Datenschutzverstößen auf Grund der Weitergabe von Daten an US-Behörden im Programm PRISM mit der Begründung verweigert, Facebook sei dem „Safe Harbor“ beigetreten und eine Weitergabe von Daten daher aus Datenschutzaspekten nicht zu beanstanden.
Gemäß der europäischen  Datenschutzrichtlinie 95/46/EG dürfen personenbezogene Daten aus der EU nur an Unternehmen in Drittstaaten übertragen werden, wenn diese Unternehmen an einen, dem europäischen Datenschutz vergleichbaren, Datenschutz gebunden sind.
Safe Harbor (sicherer Hafen) ist ein Programm, dem US Unternehmen beitreten können. Diese Unternehmen verpflichten sich zur Einhaltung gewisser Datenschutzmaßnahmen. Im Jahre 2000 hat die EU-Kommission entschieden, dass Unternehmen, die Teil von Safe Harbor sind, ein Datenschutzniveau einhalten, das vergleichbar mit dem der EU ist (Safe Harbor-Entscheidung). Seitdem war eine Übermittlung von Daten aus der EU an US-Unternehmen im Rahmen von Safe Harbor ohne weiteres zulässig.
Im Zuge des NSA-Skandals ergab sich jedoch, dass Unternehmen Daten zu Zwecken der Massenüberwachung weitergeben müssen und gegebenenfalls verpflichtet sind die Safe Harbor-Regeln zu missachten. Daher urteilte der EuGH jetzt, dass die Safe Harbor-Entscheidung ungültig ist.

  • Die Auswirkungen

Die Entscheidung hat weitreichende Auswirkungen auf die Praxis. Europäische Unternehmen können sich nun nicht mehr auf den Safe Harbor verlassen und dürfen somit Kundendaten nicht mehr ohne weiteres an US-Unternehmen weitergeben. Betroffen sind vor allem Nutzer von Cloudservices aus den USA oder Unternehmen, die sich Dienstanbietern aus den USA zur Auftragsdatenverarbeitung bedienen. Sofern Server von Partnerunternehmen in den USA stehen, dürfen an diese nicht ohne weiteres Daten übermittelt werden.
Besondere Vorsicht ist dabei bei solchen Unternehmen geboten, bei denen eine Teilnahme an Massenüberwachungsprogrammen, wie PRISM, durch die Snowden-Enthüllungen aufgedeckt wurde (Facebook, Apple, Microsoft, Yahoo, Google). Da dies „Big Player“ sind, sind die Auswirkungen umso größer. So verstößt durch den Wegfall von Safe Harbor zunächst auch schon die Einbindung eines Facebook Like-Buttons gegen den Datenschutz. Klickt ein Nutzer auf einen solchen Button, wird nämlich die IP-Adresse des Nutzers an Facebook in den USA weitergeleitet.

  • Europäische Unternehmen müssen handeln

Sie nutzen einen Cloudanbieter mit Servern in den USA oder übermitteln Daten an Partner in den USA? Dann müssen Sie jetzt handeln. Zwar ist der Safe Harbor gefallen, doch sieht die Datenschutzrichtlinie (95/46/EG) noch eine Alternative vor: binding-contract-rules. Eine Datenübermittlung in Drittstaaten ist auch dann gestattet, wenn individualvertraglich die Einhaltung gewisser Datenschutzmaßnahmen vereinbart ist. Hierbei helfen die sogenannten EU-Model-Clauses. Das sind Standardvertragsklauseln, die auf den jeweiligen Datenaustausch individuell angepasst werden müssen.
Sie müssen nun also an Ihre Partner und Cloudanbieter aus den USA herantreten und mit diesen Klauseln über den Datenschutz vertraglich vereinbaren. Nur dann ist eine Weitergabe von personenbezogenen Daten an US-Unternehmen weiterhin rechtlich möglich. Alternativ müssten Sie auf Anbieter aus den USA verzichten und auf europäische Unternehmen mit Servern in der EU zurückgreifen.
FAZIT
Unternehmen, die Daten auslagern oder bislang in den USA verarbeiten lassen müssen jetzt entweder wechseln oder Datenschutzvereinbarungen mit ihren Partnern aushandeln. Beim Schreiben und Überprüfen solcher Verträge steht Ihnen RESMEDIA gerne zur Seite.

An den Anfang scrollen