Sie sind hier:   Startseite > Informationen / News > Safe Harbour

Safe Harbour

Safe Harbour gesunken....

Im Jahr 2000 vereinbarten die EU-Kommission und die USA das "Safe-Harbour" Abkommen. Dadurch sollten bei der Übermittlung personenbezogener Daten aus der EU nach Amerika die erheblichen Unterschiede in den Datenschutzbestimmungen weitgehend angeglichen und die personenbezogenen Daten besser als bisher vor dem Zugriff von Geheimdiensten geschützt werden.

Nach dem Snowden/NSA Skandal wurden erhebliche Zweifel an der Einhalten des Abkommens seitens der USA laut, was den Aktivisten Max Schrems dazu bewog, gegen Facebook einen Musterprozess anzustrengen. Dieser wurde 2015 durch den Europäischen Gerichtshof abschließend beurteilt:

Demnach kommt der Gerichtshof zu dem Schluß, daß der gesetzlich erlaubte Zugriff der Behörden (in den USA, Anm. des Verfassers) auf Daten von EU-Bürgern den "Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt". US-Unternehmen seien verpflichtet, Europas geltende Datenschutzregeln außer Acht zu lassen, wenn US-Behörden aus Gründen der "nationalen Sicherheit" oder "öffentlichem Interesse" an persönliche Daten gelangen wollen.

Es gebe auch in den USA keine Regeln, den Zugriff auf Daten von EU-Bürgern zu begrenzen. Eine (notfalls einklagbare) Möglichkeit für EU-Bürger, die Löschung Ihrer Daten zu verlangen oder diese auch nur einzusehen existiert nicht. Dies "verletzte den Wesensgehalt des Grundrechts auf wirksamen Rechtsschutz", das dem Wesen eines Rechtsstaats inhärent sei. Deswegen ist die "Safe Harbour"-Vereinbarung ungültig und aufgehoben.

 

Welche Alternativen bleiben?

Wer heute noch Daten/Termine oder Kundeninformationen über Facebook, Whatsapp, Dropbox, Googlemail oder ähnliche Dienste, die Ihren Sitz und die Mehrzahl Ihrer Server im Hoheitsgebiet der USA haben abwickelt, begibt sich auf äußerst dünnes Eis.

Die alternativ bisher erlaubten Ausnahmen neben dem "Safe Harbour", die direkte und persönliche Einwilligung der betroffenen Person sowie die EU-Standard-Vertragsklauseln bzw. Binding Corporate Rules sind nach der Begründung des EuGH Urteils nur noch schwer rechtlich sicher umzusetzen.

Die direkte Einwilligung der betroffenen Person

... ist weiterhin möglich. Allerdings darf in keinem Fall die Einwilligung in den AGB oder anderen Textwerken verklausuliert sein bzw. umschrieben oder impliziert vereinbart werden.

Um Wirksamkeit zu erlangen muß diese Einwilligung transparent, freiwillig und widerrufbar gegeben werden. Dies ist sehr kompliziert und wird deshalb nur selten umgesetzt.

EU-Standard-Vertragsklauseln

... diese sichern die Einhaltung eines angemessenen Datenschutzniveaus in Drittländern. Werden diese unverändert zwischen einem Exporteur (Person, Firma, Institution) in der EU und einem Importeur im Ausland geschlossen, sichern sie die Aufsicht über die Daten durch die Datenschützer des Herkunftslandes ab. Da dies den Importeuren meist nur mit erheblichem Aufwand möglich ist, meist schwer umzusetzen.

Binding Corporate Rules (BCR)

... Internationale Konzerne können sich unternehmensweit verbindliche Datenschutzregeln für den internen Umgang mit personenbezogenen Daten auf der Basis der EU-Vorgaben geben. Dies hat für das Unternehmen den Nachteil, daß der gesamte Konzern, egal in welchen Staaten Niederlassung bestehen, diese uneingeschränkt umsetzen und dokumentieren muß. Zudem ist zu den BCR die Zustimmung der Datenschützer aller EU-Länder nötig, in denen der Konzern Niederlassungen hat.

Im Nachgang zum EuGH Urteil herrscht derzeit unter Juristen Uneinigkeit, ob diese Alternativen überhaupt noch anwendbar sind bzw. existieren. Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar bestreitet, daß diese Möglichkeiten sich noch anwenden lassen. Als Beispiel ist die direkte Einwilligung des Betroffenen genannt. Die Zustimmung sei nur möglich, wenn dem Betroffenen klar gemacht worden sei, welche Tragweite seine Entscheidung haben kann.

Eine "pauschale Einwilligung in die umfassende staatliche Überwachung durch einen Drittstaat, verbunden mit dem Verzicht auf Rechtsschutz und auf das nach EU-Recht unabdingbare Auskunftsrecht bezüglich der eigenen Daten" wäre demnach unwirksam.

Was kann das für Ihr Geschäftsleben bedeuten:

Die Nutzung von Diensten, deren Anbieter und/oder IT-Infrastruktur sich im Hoheitsgebiet der USA befinden ist aus Datenschutzrechtlicher Sicht äußerst problematisch. Insbesondere sollten Ihre dort versandten Daten Informationen über Kunden, Patienten oder Geschäftspartner enthalten. Dies ist nicht mehr statthaft.

Als Lösung bleibt der Umzug auf eigene bzw. inländische IT-Infrastruktur. Sofern diese nach aktuellen Standards gesichert ist sollten alle datenschutzrechtlichen Belange eingehalten werden und Ihr KnowHow auch Ihr KnowHow bleiben.

Hier beraten wir Sie gerne bei der Erarbeitung von Lösungen für Ihre individuelle Situation.

IT-Sicherheits-Gesetz

Das seit Mitte 2015 in Kraft getretene IT-Sicherheitsgesetz hat weitreichende Folgen für viele Unternehmen und Internetanbieter wie Blogger.

Wir beraten Sie und planen mit Ihnen sichere Investitionen in eine Gesetzeskonforme IT-Infrastruktur.

Lesen sie hier weiter -->