SoftENGINE - kaufmännische Software-Lösungen / ERP für Windows und Web: WAWI, ANBU, FIBU, CRM, PPS  |  Kaufmännische Software

Kostenlose Rufnummer:
0800 33 44 567

ERP Blog: BüroWARE & WEBWARE ERP

Dienstag, 19. Januar 2016



Das Ende von Safe Harbour und die Folgen

Am 06.10.2015 hat der Europäische Gerichtshof (EuGH) das sogenannte „Safe-Harbour“-Abkommen für ungültig erklärt. Erwirkt wurde das Urteil von einem Österreicher, der mit dem Umgang seiner Daten durch Facebook nicht einverstanden war. Die Auswirkungen der Entscheidung sind weitreichend und stellen Unternehmen vor große Herausforderungen

Hintergrund von „Safe-Harbour“ ist das auf der europäischen Datenschutzrichtlinie beruhende Verbot, personenbezogene Daten (wie Name, Anschrift, unter Umständen sogar die IP-Adresse eines Internetnutzers) aus Europa in einen Drittstaat, wie etwa die USA, zu übermitteln, sofern im Empfängerland kein vergleichbares Datenschutzniveau wie in der EU herrscht. Um den Datenaustausch zwischen Europa und den USA zu vereinfachen, wurde das sogenannte „Safe-Harbour“-Abkommen geschaffen.

So sollte „Safe-Harbour“ funktionieren

US-Unternehmen, die sich den datenschutzrechtlichen Vorgaben des „Safe Harbour“-Abkommens unterwerfen, konnten sich in eine Liste eintragen lassen. In ihrer Entscheidung vom Juli 2000 hat die EU-Kommission bestimmt, dass die gelisteten Unternehmen ein mit der EU vergleichbares Datenschutzniveau gewährleisten: die „Safe-Harbour“ Entscheidung (2000/520/EC). Folge war, dass aus Europa stammende personenbezogene Daten an diese Unternehmen übermittelt werden durften. Der Europäische Gerichtshof (EuGH) hat mit dem Urteil vom 06.10.2015 (C-362/14) die „Safe-Harbour“ Entscheidung nun für ungültig erklärt, mit der Konsequenz, dass ein Datentransfer auf dieser Grundlage nicht mehr zulässig ist.

EuGH erklärt „Safe-Harbour“ für unwirksam

Wer weiterhin Daten in die USA übermitteln will oder Dienstleister nutzen möchte, die personenbezogene Daten auf Servern in Amerika speichern und verarbeiten, kann sich beim Transfer nicht länger auf „Safe-Harbour“ berufen. Betroffen von der Entscheidung sind nicht nur deutsche Unternehmen, die Daten (ihrer Kunden oder Mitarbeiter) auf eigenen Servern in den USA speichern, sondern auch solche, die Anbieter von Webtools (z.B. für E-Mail-Marketing, Umfragen usw.) nutzen, die ihrerseits Daten in die USA übermitteln. Das heißt, auch Shopbetreiber müssen überprüfen, ob sie – direkt oder in Kooperation mit externen Dienstleistern – personenbezogene Daten nach Amerika transferieren.

Alternativen zu „Safe-Harbour“

Die Entscheidung des EuGH führt zunächst nicht dazu, dass ein Datentransfer aus Europa in die USA überhaupt nicht mehr möglich ist. Er wird jedoch sehr viel schwieriger. Aktuell bestehen noch folgende rechtlichen Alternativen zum „Safe-Harbour“ Abkommen:

• Datenübermittlung aufgrund gesetzlicher Ausnahmeregelungen
• Einwilligung des Betroffenen
• Verwendung der EU-Standardvertragsklauseln
• Festlegung verbindlicher Unternehmensregelungen (Binding Corporate Rules)

Bis auf die erstgenannte stoßen jedoch auch diese Alternativen auf massive Bedenken.

Einwilligung

Eine Datenübermittlung ist unter anderem zulässig, wenn der Betroffene, also derjenige, dessen personenbezogene Daten in das Drittland übermittelt werden sollen, dem Transfer zustimmt. Erforderlich ist dafür jedoch eine klare und verständliche Information darüber, wie mit den Daten im Zielland verfahren wird. Den Umfang der Datenauswertung durch USBehörden, vor allem den Geheimdiensten, kennen die Unternehmen im Zweifel jedoch gar nicht und können folglich auch nicht darüber informieren. Die Einwilligungserklärung kann deshalb schon nicht rechtswirksam formuliert werden.

Hinzu kommt, dass sich die Betroffenen gegen den Zugriff in den USA gerichtlich nicht zur Wehr setzen können. Auf bestimmte Rechte kann ein EU-Bürger mittels Einwilligung jedoch nicht verzichten: so etwa auf sein Recht auf informationelle Selbstbestimmung und einen effektiven Rechtsschutz. Entsprechende Erklärungen sind folglich unwirksam. Datenübermittlungen, die darauf beruhen, sind unzulässig.

EU-Standardvertragsklauseln

Neben „Safe-Harbour“ bestand – und besteht – die Möglichkeit, die von der EUKommission vorformulierten Standardvertragsklauseln zu verwenden, damit Daten aus Europa zulässigerweise in die USA übermittelt werden können. Durch Verwendung dieser Klauseln verpflichtet sich das US-Unternehmen, die Datenschutzstandards, wie sie in Europa gelten, einzuhalten. Das ist ihnen jedoch wegen der rechtlichen Vorgaben innerhalb der USA (insbesondere des PATRIOT Acts), denen sie unterworfen sind und die den US-Behörden uneingeschränkten Zugriff auf Daten gewähren, überhaupt nicht möglich.

Die Begründung der EuGH-Richter zu „Safe-Harbour“ lässt sich folglich problemlos auch auf die EU-Standardvertragsklauseln übertragen. Ein vergleichbares Datenschutzniveau, wie es für den Datentransfer erforderlich wäre, kann mit den Standardvertragsklauseln nicht hergestellt werden.

Binding Corporate Rules (BCR)

Genauso wenig können US-Firmen durch verbindliche Unternehmensregelungen (Binding Corporate Rules) US-Geheimdienste davon abhalten, auf Daten zuzugreifen. Auch diese Alternative zu „Safe-Harbour“ dürfte daher ungeeignet für die Einhaltung europäischer Datenschutzstandards sein.

Gefahren bei Verwendung von Standardvertragsklauseln und BCR

Die EU-Kommission geht aktuell zwar noch davon aus, dass eine Datenübermittlung nach Amerika aufgrund der EU-Standardvertragsklauseln
und Binding Corporate Rules (BCR) zulässig ist. Diese Ansicht teilt die Konferenz der Datenschutzbehörden von Bund und Ländern jedoch icht. Sie hat in ihrem Positionspapier bereits angekündigt, keine Genehmigungen für Datentransfers in die USA auf Grundlage von verbindlichen Unternehmensregelungen oder Datenexportverträgen mehr zu erteilen.

Ein Datentransfer auf Grundlage einer der beiden Vorgehensweisen wäre in Deutschland folglich rechtswidrig und kann durch Bußgelder geahndet werden. Zusätzlich sind behördliche Unterlassungsverfügungen möglich. Letztere würden ein Verbot der Nutzung der Funktion
bzw. des Dienstes bedeuten, wegen dem die Datenübermittlung erfolgt.

Gesetzliche Erlaubnis

Rechtlich ist ein Datentransfer folglich nur noch dann zulässig, wenn einer der gesetzlichen Erlaubnistatbestände greift, wenn die Übertragung also zur Erfüllung des Vertrages zwischen dem datenerhebenden Unternehmen und dem Betroffenen oder zur Durchführung vorvertraglicher
Maßnahmen erforderlich ist. Das ist beispielsweise bei Hotel- und Reisebuchungen in und nach Amerika der Fall. Eine Datenübermittlung ist gesetzlich auch dann zulässig, wenn sie der Erfüllung eines Vertrages dient, der im Interesse des Betroffenen geschlossen wurde, an dem er selbst aber nicht beteiligt ist – etwa wenn statt des Reisenden selbst ein Reiseunternehmen Hotelbuchungen vornimmt. Die Ausnahmen können auch im Rahmen des internationalen Zahlungsverkehrs und bei Versandkaufverträgen (also etwa Onlinebestellungen) zum Zuge kommen.

Technische Lösungen

Wer die Datenübermittlung nicht auf einen der in Deutschland geltenden gesetzlichen Erlaubnistatbestände stützen kann, muss über technische Lösungen nachdenken, um den Zugriff durch US-Behörden zu verhindern. In Betracht kommen etwa Ende-zu- Ende-Verschlüsselungen, die es selbst dem datenerhebenden Unternehmen unmöglich machen, auf den Klartext zuzugreifen. Auch die Anonymisierung personenbezogener Daten vor dem Transfer in die USA könnte eine Option sein. Jedoch gibt es diesbezüglich ebenfalls Schwierigkeiten.

Zugriff durch US-Behörden auf Server in Europa

Denn US-Behörden sind der Ansicht, auch auf Server, die sich außerhalb Amerikas befinden, zugreifen zu dürfen, sofern diese von Unternehmen mit Sitz in den USA betrieben werden. Diesbezüglich führt Microsoft gerade entsprechende Gerichtsverfahren. Deshalb genügt es unter Umständen auch nicht, die Server, auf denen die personenbezogenen Daten gespeichert werden, aus den USA auszugliedern. Deren Verwaltung müsste vielmehr auf externe Firmen übertragen werden, die ihren Sitz nicht in den USA haben. Alternativ muss auf andere Anbieter des entsprechenden Tools ausgewichen werden, etwa europäische Dienstleister.

Treuhandsysteme

Aktuell arbeiten Telekommunikationsanbieter auch an treuhänderischen Lösungen zur Datenspeicherung. Daten werden dabei in Rechenzentren etwa in Deutschland gespeichert und verwaltet. Selbst das übermittelnde Unternehmen hat bei diesen Lösungen nur sehr beschränkte Zugriffsmöglichkeiten auf die Daten.

Fazit

Nachdem Edward Snowden der Welt mit seinen Enthüllungen aufgezeigt hat, wie in den USA mit Daten umgegangen wird, ist Europa gezwungen, Maßnahmen zum Schutz von personenbezogenen Daten seiner Bürger zu ergreifen. Ein erster Schritt war das Urteil des EuGH vom 06.10.2015, mit dem das sogenannte „Safe-Harbour“-Abkommen, das eine rechtmäßige Datenübermittlung von Europa in die USA gewährleisten sollte, für ungültig erklärt wurde.

Obwohl es theoretisch noch zulässige Alternativen zu „Safe-Harbour“ gibt, werden diese zumindest von den deutschen Behörden wohl nicht akzeptiert werden. Der Datentransfer zwischen Europa und Amerika dürfte jedenfalls in die eine Richtung bald nur noch in wenigen Fällen erlaubt sein. Denn solange es Rechtsvorschriften gibt, die es US-Behörden gestatten, uneingeschränkt auf Daten aus Europa zuzugreifen, kann in den USA kein Datenschutzniveau hergestellt werden, das mit dem europäischen vergleichbar ist.

Es obliegt folglich der US-Regierung, vor allem die Zugriffsrechte ihrer Geheimdienste zu beschränken, was im Hinblick auf die weiterhin allgegenwärtige Terrorgefahr bzw. die Angst davor kaum zu erwarten ist. Die aktuellen Anschläge und Terrorwarnungen innerhalb Europas
könnten jedoch auch auf Seiten der EU Zugeständnisse zur Folge haben. Derzeit wird ein Nachfolgeabkommen zu „Safe-Harbour“ verhandelt. Wann und mit welchem Inhalt dieses verabschiedet wird, ist noch unklar. Die EU-Kommission hofft auf einen Abschluss bis Ende Januar 2016.

Die europäischen Datenschutzbehörden haben beiden Verhandlungspartnern eben diese Frist gesetzt, bevor sie „alle nötigen und angebrachten Schritte“ zur Umsetzung der EuGH-Entscheidung ergreifen. Betroffene Unternehmen sollten sich mit der Problematik dringend befassen. Datenübermittlungen auf Grundlage des „Safe-Harbour“-Abkommens müssen entweder unterlassen oder abgeändert werden. Diesbezüglich dürfte – zumindest zeitweise noch – die Verwendung der EUStandardvertragsklauseln und verbindlicher Unternehmensregelungen (BCR) in Betracht kommen. Sinnvoller wären aber technische Lösungen, die einen Zugriff auf Daten aus Europa von Seiten US-amerikanischer Behörden verhindern.

Protected Shops GmbH