Safe Harbor Urteil: Privacy Shield

Unsere Daten scheinen in den Vereinigten Staaten nicht mehr sicher zu sein. Das Safe Harbor Abkommen, das die personenbezogene Datenübertragung in die USA legalisierte, wurde nun vom Europäischen Gerichtshof für nichtig erklärt.

safeHarbor_headergrafik

Vor allem Unternehmen, die Cloud-Dienste wie Salesforce nutzen, über Facebook-Fanpages oder andere Online Dienste personenbezogene Daten in die USA übertragen, müssen nun Maßnahmen ergreifen, um rechtlich abgesichert zu sein.

Eine neue Regelung soll das alte Abkommen ablösen. Unter dem Namen „Privacy Shield“ soll künftig der personenbezogene Datenaustausch zwischen der EU und den USA geregelt werden „Dieses neue Abkommen schützt die Grundrechte der Europäer und bedeutet Rechtssicherheit für Unternehmen“ lies die zuständige EU-Justizkommisarin Vera Jourova verlauten. Außerdem soll in Zukunft mehr Kontrolle möglich sein. Das US-Handelsministerium soll us-amerikanische Unternehmen überwachen, die mit europäischen Daten zu tun haben. Zudem  kommt eine neue Instanz ins Spiel: Unzufriedene Bürger sollen sich bei einer Art Vertrauensperson, der Ombudsperson, beschweren können. Diese soll bei Verstößen als unabhängiger Schlichter einschreiten. Die Umsetzung der vereinbarten Regelungen soll einmal jährlich geprüft werden.

Das Privacy Shield hat noch einen langen Weg vor sich

Derzeit muss das neue Abkommen noch viel Kritik einstecken und ihm wird ein Scheitern vor dem EuGH prophezeit. Viele Kritiker sind mit der Neuregelung unzufrieden und prangern an, dass Rechte der EU-Bürger nicht ausreichend geschützt werden. Konstantin von Notz, Sprecher für Netzpolitik der Bundestagsfraktion von Bündnis 90/DIE GRÜNEN, äußert sich wie folgt: „Wir brauchen endlich weitreichende, auch gesetzliche Einschnitte der geheimdienstlichen Massenüberwachung, eine verbesserte parlamentarische Kontrolle und effektive Grundrechtsschutzmechanismen – auch und gerade auf internationaler Ebene.“ Das neue „EU-US Privacy Shield“ muss jedoch zuerst noch von den Mitgliedstaaten der EU angenommen werden und dann zeigen, ob es hält, was es verspricht.

Interview mit Dr. Carsten Ulbricht

Wir Herzblut Onliner haben zu diesem Thema Dr. Carsten Ulbricht, den Internet-Rechtsexperten aus Stuttgart interviewt und die kritische Frage geklärt, was das Urteil für Unternehmen bedeutet und wie diese nun vorgehen müssen.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Hintergrund: Das Safe Harbor Abkommen

In der Europäischen Union wird darauf geachtet, dass personenbezogene Daten geschützt werden. Ein Transfer von personenbezogenen Daten innerhalb der EU ist somit kein Problem. Möchte ein Unternehmen jedoch solche Daten in Nicht-EU-Länder übertragen, muss sichergestellt sein, dass ein Datenschutzniveau auch dort eingehalten wird.

Die Europäische Kommission kann entsprechend festlegen, ob der Datenschutz in einem Drittland angemessen ist und somit dennoch ein Transfer von personenbezogenen Daten möglich ist. Eine solche Einzelregelung wurde auch vor 15 Jahren zwischen der Europäischen Union und den Vereinigten Staaten getroffen, im Form des Safe Harbor Abkommens. Es besagt, dass personenbezogene Daten von der EU in die USA legal übertragen werden dürfen. Zur Sicherstellung wurden konkrete Datenschutzkriterien festgelegt, welche die US-Organisationen einhalten müssen.

EuGH Entscheidung: Das Safe Harbor Abkommen ist ungültig

Nach der Edward-Snowden-Enthüllung und der NSA-Affäre wurde schnell klar, dass die Daten in den USA möglicherweise doch nicht so sicher sind, wie vorerst angenommen. Ein österreichischer Datenschutzaktivist namens Max Schremps klagte gegen die personenbezogene Datenübertragung von Facebook in die USA – und bekam Recht. Das Safe Harbor Abkommen ist ungültig, die Daten werden nicht ausreichend geschützt.

Unternehmen, die personenbezogene Daten in die USA übertragen, können sich nun nicht mehr auf das Safe Harbor Abkommen stützen und müssen sich rechtlich absichern. Betroffen sind dabei alle Unternehmen, die über die Grenzen der EU selbst Daten übertragen, zum Beispiel über weltweite Dienste wie Salesforce, Google oder Facebook.

Optionen für Unternehmen

Zusätzlich zu den Vorgaben des Safe Harbor Abkommens hat Google bereits seit 2012 alternative Vertragsklauseln in den Datenschutzbestimmungen aufgenommen, die den Anforderungen der EU Datenschutzrichtlinien gerecht werden. Am 15.10. hat Google entsprechend alle Google Apps-Administrationen angeschrieben, damit diese die geänderten Bestimmungen annehmen. Für andere Fälle, die noch nicht geregelt wurden, stellt Dr. Carsten Ulbricht drei mögliche Optionen vor:

Option 1: Binding Corporate Rules
Option 2: Einwilligung durch den Kunden
Option 3: EU Standardvertragsklauseln

Im Rahmen der Binding Corporate Rules definieren mehrere Unternehmen rechtlich verbindliche Unternehmensregelungen, die den Umgang mit personenbezogenen Daten im Konzern vorschreiben und den Transfer zwischen Unternehmen regeln. Solche Regelungen festzulegen und abzustimmen ist jedoch sehr zeitaufwändig.

Eine andere Option stellt die Einwilligung durch den Kunden selbst dar. Auf Basis des Rechts auf informationelle Selbstbestimmung könnten alle Kunden und Personen über die Form der Datenerhebung und –speicherung informiert werden. Eine individuelle Einwilligung diesbezüglich ist zwar möglich und durchsetzbar, jedoch sehr kompliziert und aufwändig.

Eine leichte und schnelle Umsetzbarkeit für Unternehmen bietet die Nutzung der EU Standardvertragsklauseln, die von der Europäischen Kommission formuliert wurden. Unternehmen in den Vereinigten Staaten können sich diesen Klauseln unterwerfen und somit gegenüber der EU ein angemessenes Datenschutzniveau sicherstellen.

In unserer Infografik findet ihr noch einmal einen guten Überblick über das bisherige Geschehen und die möglichen Optionen für Unternehmen.

Unternehmen müssen sich jetzt rechtlich absichern

Die Vereinigten Staaten sind nun am Zug und müssen gemeinsam mit der Europäischen Union eine Lösung finden. Ebenso müssen auch die europäischen Mitgliedsstaaten Einzelfälle prüfen und entscheiden, ob ein Datentransfer genehmigt wird. Eines ist jedoch sicher: Das Urteil vom Europäischen Gerichtshof (EuGH) ist ein weitreichender Schritt und ein starkes Signal, dass die Daten der Menschen geschützt werden müssen.

Herzlichen Dank an Dr. Carsten Ulbricht

Dr. Carsten Ulbricht ist Rechtsanwalt und Partner bei der Kanzlei BARTSCH Rechtsanwälte in Stuttgart. Er ist spezialisiert auf das Internetrecht und berät in Themen wie Social Media, E-Commerce und Enterprise 2.0. Vielen Dank an dieser Stelle noch einmal für das informative Interview.

Wir sind Enthusiasten der digitalen Welt. Als Digitalagentur wollen wir unsere Leser mit dieser Begeisterung anstecken. Dazu packen wir Themen, Trends und Technologien an, die unser aller Leben und Arbeiten betreffen und leichter machen können. Unverschnörkelt geben wir wertvolle Updates und schaffen Orientierung zu digitalen Lösungen von heute und morgen.

VERDURE Update abonnieren

Erhalten Sie einmal im Monat unseren Newsletter mit einer Auswahl aktueller Themen, Trends und Artikeln, um am Puls der Zeit zu bleiben.

Die B2B-Customer Journey verstehen, planen, anpassen und tracken: Unser E-Book zeigt, wie Sie digitale Touchpoints stärken und verbessern können.

 

Zum Download