Sind Sie bei Ihrem Cloud-Anbieter auf der rechtlich sicheren Seite?

Sind Sie bei Ihrem Cloud-Anbieter auf der rechtlich sicheren Seite?

Von Safe Harbor zum Privacy Shield

Ausgangssituation:

Das Safe Harbor Abkommen ist eine Entscheidung der Europäischen Kommission aus dem Jahre 2000. Safe Harbor sollte es ermöglichen personenbezogene Daten, in Übereinstimmung mit den europäischen Richtlinien im Datenschutz, aus einem Land der Europäischen Union in die USA zu übermitteln. Das Safe Harbor Abkommen geht davon aus, dass US-Firmen gleichwertige Datenschutzstandards gewähren wie sie auch innerhalb der EU herrschen. Besitzt ein Land kein ausreichendes Datenschutzniveau, kann dies dennoch angenommen werden, sobald ein Abkommen mit der EU besteht, dass einen ausreichenden Datenschutz gewährleistet. Safe Harbor war gerade so ein Abkommen. Unternehmen aus den USA die sich an die Safe Harbor-Prinzipien halten, wurden somit als Unternehmen mit einem ausreichenden Datenschutz angesehen. Diese Unternehmen bekommen ein Zertifikat, das die Einhaltung der EU-Richtlinien bescheinigt und insgesamt  ein Jahr gültig ist. Somit konnte durch das Safe Harbor Abkommen die Übertragung von Daten in die USA als rechtmäßig betrachtet werden.

Auslöser für das Ende von Safe Harbor

Durch die Klage eines Bürgers gegen Facebook ist die Verhandlung über die Rechtmäßigkeit von Safe Harbor ins Rollen gekommen. Die Fragestellung im Urteil der EUGH war, ob Facebook für Datenschutz personenbezogene Daten in die USA übermitteln darf. Die irische Datenschutzbehörde hielt dies für nicht notwendig, da Facebook sich an die EU-Richtlinien von Safe Harbor hält. Das EuGH sieht diesen Fall anders und erklärte Safe Harbor nach sorgfältiger Prüfung für unwirksam.

Begründung für die Unwirksamkeit:

„Zur Begründung bezieht sich der EuGH darauf, dass die EU-Kommission keine derart weitreichenden Befugnisse habe. Außerdem schlössen die Vereinbarungen über Safe-Harbor mit den USA einen Zugriff staatlicher Behörden, etwa der NSA, nicht aus. Zudem seien gegen Eingriffe in die Rechte von Bürgern keine Rechtsbehelfe gegeben.“ (Quelle: www.haerting.de, geprüft am 07.11.2016)

Safe Harbour wurde somit als keine für die EU-Unternehmen sichere Standardlösung angesehen und das Abkommen gekündigt.

Nachdem Safe Harbor für ungültig erklärt wurde, haben sich viele amerikanische Unternehmen auf die Standardvertragsklausel berufen. Dafür hat die Europäische Kommission Musterverträge beschlossen. Da die Standardvertragsklauseln nur mit der Zustimmung der zuständigen Datenschutz-aufsichtsbehörde inhaltlich verändert werden dürfen, ist die Standardvertragsklauseln das am häufigsten verwendete Instrument, um Datenübermittlungen in Drittländer zu ermöglichen.

Was jetzt? Kennen Sie Privacy Shield oder Standardvertragslösungen?

In kürzester Zeit wurde durch Verhandlungen zwischen der EU und den USA das Abkommen „Privacy Shield“ als Ersatz für Safe Harbour beschlossen. Das Privacy Shield ist ein neuer Prozess der am 12.07.2016 von der Europäischen Kommission ins Leben gerufen wurde. Er soll dafür sorgen, dass in den amerikanischen Unternehmen ein Datenschutzniveau geschaffen wird, welches mit dem in Europa zu vergleichen ist. Die Entscheidung den Privacy Shield einzuführen ist, gerade für Unternehmen die durch das Ende von Safe Harbor in rechtswidrige Situationen gekommen sind, sehr gut. Denn die Umstellung auf die vorhin erwähnten Standardverträge wurde meistens nicht schnell genug oder auch überhaupt nicht eingeführt.

Schafft nun Privacy Shield die notwendige Sicherheit?

Das Privacy Shield-Abkommen setzt genau wie Safe Harbor auf eine Selbstzertifizierung der amerikanischen Unternehmen gegenüber des US-Handelsministeriums. Dieses Zertifikat ist nach Erteilung ein Jahr gültig. Doch kaum verabschiedet steht Privacy Shield in der Kritik, da das Privacy Shield-Abkommen noch von der EuGH gekippt werden kann. Auch die Zukunft der Standardvertragsklauseln ist unklar, da die Überprüfung durch die EuGH angestrebt wird. So sagt der Hamburgische Datenschutzbeauftragte Professor Johannes Caspar: „Das Risiko ist groß, dass auch der Privacy Shield vor dem Europäischen Gerichtshof landet und dort für ungültig erklärt wird, wie zuvor schon Safe Harbor“. Das Risiko ist nicht unbegründet, da sich die Datenschutzgesetze der USA nicht geändert haben und die Datenschutzkontrollen sich nicht wesentlich geändert haben. Auch bleibt der Zugriff auf die Daten durch US-Behörden und Geheimdiensten weiterhin bestehen.

Die Angst um den Verbleib des Privacy Shield wird fürs erste nicht kleiner und für viele Unternehmen sind die Standartvertragsklauseln keine Alternative, da der Aufwand zu groß ist (Jede Veränderung der Standartvertragsklausel führt zu einem erneuten Prüfverfahren der Behörden).  Viele große Unternehmen haben den Schritt bereits gewagt, jedoch ist darauf achten, dass das Datenschutzniveau amerikanischer Unternehmen dem EU-Datenschutz entspricht.

Aktuell klagen irische und französische Bürgerrechtsorganisation wie Digital Rights Ireland und Quadrature du Net gegen den Privacy Shield. Grund für die Nichtigkeitsklagen ist, dass das Risiko der Überwachung durch US-Behörden nicht angemessen gesenkt wurden ist. Die Entscheidung des EuGHs ist noch nicht gefallen und kann bis zu einem Jahr dauern. Da es derzeit unmöglich ist die Erfolgsaussicht zu bestimmen, ist es Unternehmen zu raten in dieser Angelegenheit auf den Laufenden zu bleiben. In Deutschland wird der Privacy Shield vorläufig anerkannt und auch das Bayerische Landesamt für Datenschutzaufsicht ist der Meinung, dass der Privacy Shield als neue Basis genützt werden kann, wenn es darum geht personenbezogene Daten von Europa in die USA zu übermitteln.

Der Status Quo

Inzwischen haben sich mehr als 500 US-Unternehmen über Privacy Shield zertifiziert und beim US-Handelsministerium eingetragen. Hierzu zählen sämtliche großen Internet- und Cloudanbieter der USA.

Die Empfehlung des Deutschen Dialogmarketing Verbandes lautet:

Derzeit besteht kein Anlass, von Standardvertragsklauseln auf das EU-US Privacy Shield umzusatteln. Das sollen erst einmal andere Unternehmen testen, damit man selbst nicht zum Testfall wird, den eine Datenschutzbehörde dann bis zum Europäischen Gerichtshof bringt.“

Darum prüfen Sie, welche Vereinbarung mit Ihrem Dienstleister besteht. Auch eine salvatorische Klausel kann allenfalls den Vertrag retten, aber nicht die datenschutzrechtliche Unbedenklichkeit. Eine reine Geheimhaltungsklausel reicht nicht aus.

Befinden Sie und Ihr Dienstleister sich durch die Zertifizierung mit „Privacy Shield“ auf derzeit halbwegs sicherem Boden. Oder haben Sie bereits den aufwendigen Weg über Abschluss von Standardverträgen hinter sich.

Falls nicht, riskieren Sie nach einer Prüfung durch die Datenschutzbehörden ein teures Bußgeldverfahren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.