Safe Harbor Datenabkommen zwischen USA und EU gekippt
Safe Harbor Datenabkommen zwischen USA und EU gekippt
Sieg für die Bürgerrechte – Bürde für Unternehmen
Die Daten europäischer Internetnutzer sind in den USA nicht ausreichend vor dem Zugriff der Behörden wie NSA geschützt. Ein entsprechendes Urteil hat der Europäische Gerichtshof (EuGH) in der Klage des österreichischen Online-Aktivisten Max Schrems gegen die irische Datenschutzbehörde am heutigen Dienstag gefällt. Deshalb wurde die Vereinbarung zur einfachen Datenübermittlung in die USA („Safe Harbor“) für ungültig erklärt.
Laut europe-v-facebook.org zeigte sich der Kläger Max Schrems mit dem Urteil zufrieden:
„I very much welcome the judgement of the Court, which will hopefully be a milestone when it comes to online privacy. This judgement draws a clear line. It clarifies that mass surveillance violates our fundamental rights. Reasonable legal redress must be possible.“
Die Entscheidung der EU-Kommission für einen erleichterten Datentransfer mit den USA stammt aus dem Jahr 2000 und beruhte auf der Annahme, dass die USA ein angemessenes Schutzniveau von übermittelten personenbezogenen Daten gewährleisten. Nach den Enthüllungen des Whistleblowers Edward Snowden zur Internet-Überwachung durch die „Five Eyes“ (FVEY) genannten Geheimdienste Australiens, Neuseelands, Kanadas, des Vereinigten Königreichs und den USA sehen die europäischen Institutionen dies inzwischen anders.
Mit der Entscheidung des EuGH wird einem Großteil der bestehenden Datentransfers zwischen Unternehmen in der EU und den USA die Rechtsgrundlage entzogen. Besonders Cloud-Services und Social Media, aber auch die Anbieter „lebenswichtiger“ Dienste wie CRM- und ERP-Systemen, Reiseanbieter und Konzerne mit einer globalen Personalverwaltung stehen vor einem rechtlichen Scherbenhaufen.
Bye-bye, Safe Harbor – Weitreichende Konsequenzen für Unternehmen
Die Entscheidung des Gerichts hat nicht nur für amerikanische Internetkonzerne weitreichende Bedeutung, sondern auch für europäische Unternehmen, die auf Dienstleistungen von US-Unternehmen angewiesen sind. Insgesamt wird es künftig schwieriger, privatwirtschaftlich Daten aus Europa in die USA zu übertragen. Wer sich bisher vollständig auf „Safe Harbor“ verlassen hat, ist nun verlassen. Dies trifft nicht nur kleinere Unternehmen, sondern auch besonders innovative Abteilungen in großen Unternehmen, die z.B. auf hochentwickelte Systeme im Customer-Relationship-Management (CRM) oder bei der Webanalyse angewiesen sind.
Als Alternativen stehen Unternehmen die folgenden Möglichkeiten bereit:
Eine Prüfung durch nationale Datenschutzbehörden, ob die übermittelten Kunden- oder Mitarbeiterdaten entsprechend geschützt sind.
Die Vereinbarung von EU-Standardvertragsklauseln mit US-Unternehmen, um auf vertraglicher Ebene ein angemessenes Datenschutzniveau herzustellen.
Die Vereinbarung von Binding Corporate Rules (BCR), einem von der Artikel-29-Datenschutzgruppe der EU entwickelten Rechtsrahmen für die Binnenstruktur eines Unternehmens.
All diese Regelungen haben nur einen Nachteil: Nicht gute Gesetze halten Diebe und Spione fern, sondern nur gute Schlösser. Vor diesem Hintergrund wird es in Zukunft immer stärker auf den technischen Datenschutz („Informationssicherheit“) ankommen, z.B. indem man die übermittelten Daten sauber verschlüsselt und mit dem US-amerikanischen Empfänger Grundregeln zur IT-Sicherheit vereinbart, wie sie beispielsweise im Payment Card Industry Data Security Standard (PCI DSS) oder im Cybersecurity Framework des National Institute for Standards and Technology (NIST) geregelt sind.
Die Datenschutzexperten von Spirit Legal sind Ihr zuverlässiger Partner beim Thema Safe Harbor: Unsere auf Datenschutz und Datensicherheit spezialisierten Rechtsanwälte sind Ihre Verbündeten bei Rechtsberatung, Rechtsgestaltung und nicht zuletzt bei der Rechtsdurchsetzung Ihrer Anliegen.
Treten Sie mit uns in Kontakt
Sie erreichen uns wochentags an unserem Leipziger Standort, rund um die Uhr per Telefon und natürlich jederzeit über E-Mail oder unser Kontaktformular.