*

Okt
07

Externer Datenschutzbeauftragter - ...Der EuGH erklärt Datenabkommen zwischen EU und USA für ungültig („Safe Harbor“)

Externer Datenschutzbeauftragter Berlin Brandenburg - EuGH kippt Safe HaborAutor: Felix Ginthum, Rechtsanwalt u. externer Datenschutzbeauftragter Berlin (TÜV Nord)

Die personenbezogenen Daten europäischer Internetnutzer sind in den USA nicht sicher. Ein Student hatte gegen die Übermittlung seiner Facebook-Daten geklagt.

Am 06. Oktober 2015 hat der Gerichtshof der Europäischen Union (EuGH) das Abkommen zum Austausch von Daten zwischen der EU und den USA (sogenanntes Safe-Harbor-Abkommen) für ungültig erklärt. Die Entscheidung des Gerichtshofes (AZ.: C-362/14) kam indessen nicht überraschend, nachdem der Generalanwalt des EuGH, Herr Yves Bot, deutlich in seinem Schlussantrag bereits diese Ansicht vertrat. Die EU-Kommission habe nicht die Kompetenz, die Befugnisse der nationalen Datenschutzbehörden durch das Abkommen zu beschränken, so die Luxemburger Richter. Mit diesem Link geht es zur Entscheidung im Volltext http://www.f-200.com/eugh_c_362_14_safe_habor/

Der Fall: Der junge österreichische Rechtsanwalt Max Schrems klagte gegen die Übermittlung seiner Facebook-Daten, nachdem spätestens seit 2013 durch die Snowden-Enthüllungen die Überwachungsmethoden der NSA ans Licht gekommen waren. Schrems wollte so erreichen, dass europäische Bürger vor dem NSA-Programm Prism geschützt sind. Die irische Datenschutzbehörde wies zunächst die Beschwerde ab. Als der irische Gerichtshof bei dem EuGH prüfen ließ, ob eine nationale Datenschutzbehörde sich über eine Entscheidung der Kommission hinwegsetzen darf, ging es zunächst nicht um die Frage, ob die USA ein „sicherer Hafen“ für die persönlichen Daten von EU-Bürgern ist. Die Richter entschieden sich dann jedoch, der Bewertung des Generalanwalts bei dem EuGH zu folgen, der bereits erklärt hatte, er halte das Safe-Harbor-Abkommen für ungültig.

  
 

Der Hintergrund: das gekippte Abkommen

Im Grunde sind Übermittlungen personenbezogener Daten aus Mitgliedsstaaten der Europäischen Union gemäß der Datenschutzrichtlinie 95/46/EG in Drittstaaten verboten, wenn das Datenschutzniveau eines Drittstaates nicht dem EU-Recht entspricht.

Da die USA zu den Drittstaaten mit nicht ausreichendem Datenschutz Niveau zählte, wurde ein Verfahren entwickelt, welches amerikanischen Unternehmen trotzdem den Datenaustausch zwischen der EU Staaten datenschutzkonform ermöglichte. Solche US-Unternehmen, welche sich zur Befolgung der „Safe Harbor Principles“ sowie dazugehöriger FAQ verpflichteten, konnten sich beim US-Handelsministerium in eine Liste eintragen lassen und so dem „Safe Harbor“ beitreten. Diese Regelung wurde im 2000 von der EU-Kommission abgesegnet und postuliert, dass die dem Abkommen beigetretenen Unternehmen ausreichenden Datenschutz für EU-Bürger gewährleisten.

  

EuGH Urteil betrifft nicht nur Facebook. Was folg daraus?

Der Wegfall des Safe-Harbor-Abkommens, welches unter bestimmten Voraussetzungen die Übermittlung personenbezogener Daten in die USA erlaubte, wird weitreichende Konsequenzen haben.

Jeder Facebook-Nutzer kann sich nun unter Berufung auf das Urteil des EuGH an den irischen Datenschutzbeauftragten wenden, mit dem Antrag, den Austausch seiner Daten in die USA zu unterbinden, da sich amerikanische Geheimdienste, die sich aus US-Servern bedienen dürfen, keinen Zugriff bekommen. Die irischen Behörden sind örtlich zuständig, da sich die EU-Zentrale von Facebook in Irland befindet.

Die meisten namhaften Konzerne sind dem Safe Harbor Abkommen beigetreten. Das Abkommen ermöglichte so den für viele Geschäftsmodelle zwingend erforderlichen Datenaustausch aus der EU in die USA, wie z. B. Google, Dropbox, Facebook, Amazon, Twitter, Microsoft, IBM und viele andere (ca. 5.400 US-Unternehmen traten dem Safe Harbor Abkommen bei.)

Eine Datenübermittlung in die USA allein auf Grundlage von „Safe Harbor“ ist damit nicht mehr zulässig. Betroffen sind hiervon nicht nur Unternehmen mit Sitz in den USA, sondern auch Unternehmen, die Daten lediglich in den USA speichern wollen. Hierzu zählen auch deutsche Unternehmen, die auf US-Dienste zurückgreifen. Ebenso wirkt sich die Entscheidung auf diverse Cloud-Dienstanbieter erheblich aus.

  

Weitreichende Konsequenzen für Unternehmen aus der Safe-Harbor-Entscheidung des EuGH

Für Unternehmen ist nun die Datenübermittlung in die USA alleine auf Basis des Safe Harbor Abkommens nicht mehr möglich.  Fraglich ist, ob dies auch EU-Standardverträge und verbindliche Konzernregelungen [Binding Corporate Rules („BCR“)] umfasst.

Auch Binding Corporate Rules können den Zugriff der Sicherheitsbehörden in den USA auf europäische Daten aufgrund des Patriot Acts nicht verhindern. Demnach dürften auch diese nicht das angemessene Datenschutzniveau sicherstellen. Da mit dem Urteil klargestellt wurde, dass die Zuständigkeit nationaler Aufsichtsbehörden nicht durch Abkommen ausgehebelt werden kann, muss mit zunehmenden Kontrollen gerechnet werden. Der vorläufige sichere Hafen ist kaum praktikabel: Entweder jeweils eine Einwilligung des Betroffenen einholen oder eine Genehmigung der zuständigen Datenschutzbehörde im Einzelfall bekommen.

Betroffene Unternehmen sind gut beraten ihre Auftragsdatenverarbeitung ad hoc zu überdenken und ein Datenhosting kurzfristig auf einen europäischen Anbieter zu übertragen. Nimmt man die Argumentation des Gerichts und führt diese stringent weiter, dann ist die Datenübermittlungen in viele weitere Staaten auch betroffen. Denn der ungezähmte staatliche Zugriff auf die im Land gespeicherte Daten ist kein originär US-amerikanisches Problem, wenn man an Staaten wie China, Russland usw. denkt.

Betroffene Unternehmen sind in der Pflicht sich aufgrund der neuer Situation beraten zu lassen, um einen gesetzeskonformen Umgang mit den Daten Ihrer Mitarbeiter, Patienten und Kunden sicherzustellen.

Gerne stehen wir Ihnen bei der Erarbeitung und Umsetzung einer individuellen und rechtssicheren Lösung als externer Datenschutzbeauftragter zur Seite. Nehmen Sie einfach mit uns Kontakt auf.

  

  

Externer-Datenschutzbeauftragter24.de - ...Ihre Experten für betrieblichen Datenschutz in Berlin und Brandenburg

Benutzername:
User-Login
Ihr E-Mail