Safe Harbor Datenabkommen zwischen USA und EU gekippt

Sieg für die Bürgerrechte – Bürde für Unternehmen

Die Daten europäischer Internetnutzer sind in den USA nicht ausreichend vor dem Zugriff der Behörden wie NSA geschützt. Ein entsprechendes Urteil hat der Europäische Gerichtshof (EuGH) in der Klage des österreichischen Online-Aktivisten Max Schrems gegen die irische Datenschutzbehörde am heutigen Dienstag gefällt. Deshalb wurde die Vereinbarung zur einfachen Datenübermittlung in die USA („Safe Harbor“) für ungültig erklärt.

Laut europe-v-facebook.org zeigte sich der Kläger Max Schrems mit dem Urteil zufrieden:

„I very much welcome the judgement of the Court, which will hopefully be a milestone when it comes to online privacy. This judgement draws a clear line. It clarifies that mass surveillance violates our fundamental rights. Reasonable legal redress must be possible.“

Die Entscheidung der EU-Kommission für einen erleichterten Datentransfer mit den USA stammt aus dem Jahr 2000 und beruhte auf der Annahme, dass die USA ein angemessenes Schutzniveau von übermittelten personenbezogenen Daten gewährleisten. Nach den Enthüllungen des Whistleblowers Edward Snowden zur Internet-Überwachung durch die „Five Eyes“ (FVEY) genannten Geheimdienste Australiens, Neuseelands, Kanadas, des Vereinigten Königreichs und den USA sehen die europäischen Institutionen dies inzwischen anders.

Mit der Entscheidung des EuGH wird einem Großteil der bestehenden Datentransfers zwischen Unternehmen in der EU und den USA die Rechtsgrundlage entzogen. Besonders Cloud-Services und Social Media, aber auch die Anbieter „lebenswichtiger“ Dienste wie CRM- und ERP-Systemen, Reiseanbieter und Konzerne mit einer globalen Personalverwaltung stehen vor einem rechtlichen Scherbenhaufen.

Bye-bye, Safe Harbor – Weitreichende Konsequenzen für Unternehmen

Zaun mit zahllosen kleinen Vorhängeschlössern, dahinter Blick auf einen Hafen — Safe Harbour gekippt – Nicht gute Gesetze halten Diebe und Spione fern, sondern nur gute Schlösser | © Billy Onjea, stocksnap.io

Die Entscheidung des Gerichts hat nicht nur für amerikanische Internetkonzerne weitreichende Bedeutung, sondern auch für europäische Unternehmen, die auf Dienstleistungen von US-Unternehmen angewiesen sind. Insgesamt wird es künftig schwieriger, privatwirtschaftlich Daten aus Europa in die USA zu übertragen. Wer sich bisher vollständig auf „Safe Harbor“ verlassen hat, ist nun verlassen. Dies trifft nicht nur kleinere Unternehmen, sondern auch besonders innovative Abteilungen in großen Unternehmen, die z.B. auf hochentwickelte Systeme im Customer-Relationship-Management (CRM) oder bei der Webanalyse angewiesen sind.

Als Alternativen stehen Unternehmen die folgenden Möglichkeiten bereit:

Eine Prüfung durch nationale Datenschutzbehörden, ob die übermittelten Kunden- oder Mitarbeiterdaten entsprechend geschützt sind.
Die Vereinbarung von EU-Standardvertragsklauseln mit US-Unternehmen, um auf vertraglicher Ebene ein angemessenes Datenschutzniveau herzustellen.
Die Vereinbarung von Binding Corporate Rules (BCR), einem von der Artikel-29-Datenschutzgruppe der EU entwickelten Rechtsrahmen für die Binnenstruktur eines Unternehmens.

All diese Regelungen haben nur einen Nachteil: Nicht gute Gesetze halten Diebe und Spione fern, sondern nur gute Schlösser. Vor diesem Hintergrund wird es in Zukunft immer stärker auf den technischen Datenschutz („Informationssicherheit“) ankommen, z.B. indem man die übermittelten Daten sauber verschlüsselt und mit dem US-amerikanischen Empfänger Grundregeln zur IT-Sicherheit vereinbart, wie sie beispielsweise im Payment Card Industry Data Security Standard (PCI DSS) oder im Cybersecurity Framework des National Institute for Standards and Technology (NIST) geregelt sind.

Die Datenschutzexperten von Spirit Legal sind Ihr zuverlässiger Partner beim Thema Safe Harbor: Unsere auf Datenschutz und Datensicherheit spezialisierten Rechtsanwälte sind Ihre Verbündeten bei Rechtsberatung, Rechtsgestaltung und nicht zuletzt bei der Rechtsdurchsetzung Ihrer Anliegen.

Treten Sie mit uns in Kontakt

Sie erreichen uns wochentags an unserem Leipziger Standort, rund um die Uhr per Telefon und natürlich jederzeit über E-Mail oder unser Kontaktformular.

SPIRIT LEGAL Fuhrmann Hense Partnerschaft von Rechtsanwälten
Neumarkt 16-18 04109 Leipzig, Germany
Tel.: +49 (0) 341 - 39297890
Fax: +49 (0) 341 - 39297899
E-Mail: info@spiritlegal.com

Ihr Ansprechpartner:

Peter Hense

Rechtsanwalt, Partner

Peter Hense ist Rechtsanwalt, Partner und Head of Data & Technology bei Spirit Legal. Er berät bekannte nationale und internationale Unternehmen bei der Umsetzung digitaler Geschäftsmodelle in den Bereichen IT, Datenschutz und Wettbewerb.

Katja Rengers

Zertifizierte Datenschutzbeauftragte (TüV)

Ihre Ansprechpartnerin für Datenschutz, Marken- & Wettbewerbsrecht, Medienrecht, sowie Travel Industry Law – Ich berate Sie gern!

Was suchen Sie?

Aktuelle Beiträge zum Thema „Datenschutz und Datensicherheit“

21.03.2024 | Bettina Blawert

IAPP KnowledgeNet Leipzig Webinar: 09.04.24 Data Act

Am 11.01.2024 trat der Data Act in Kraft und ist ab 12.09.2025 EU-weit direkt anwendbares Recht. Unsere Referent*innen Dr. Kristina Schreiber und Christian Aretz beantworten Ihre Fragen. lesen

06.02.2024 | Peter Hense

K&R: Geeignete technische und organisatorische Maßnahmen bei Cyberangriff

Peter Hense bespricht und kommentiert für K&R das EuGH Urteil vom 14. 12. 2023 – C-340/21. lesen

04.12.2023 | Elisabeth Niekrenz

Dezember Webinar Whistleblowing & Hinweisgeberschutzgesetz

Das Hinweisgeberschutzgesetz legt Unternehmen im Zusammenhang mit Informationen über interne Rechtstöße neue Verpflichtungen auf. Elisabeth Niekrenz & Mark Vitorovic erläutern im kostenfreien Webinar am 8.12.23, wie sie diese effektiv umsetzen können. lesen

Übersicht aller Beiträge