06.10.2015

Datenübermittlungen ohne Safe-Harbor?

Dem EuGH wurde die Frage vorgelegt, ob das Safe-Harbor-Abkommen Datenübermittlungen in die USA weiterhin rechtfertigen kann. Konkret stand zur Debatte, ob Datenschutzbehörden einen Export personenbezogener Daten in die USA auch dann prüfen müssen, wenn sich das datenimportierende Unternehmen auf die Einhaltung einer EU-Kommissions-Entscheidung beruft. Dies hat der Europäische Gerichtshof (EuGH) in seiner heutigen Entscheidung bejaht und das Safe Harbor-Abkommen für ungültig erklärt. Die ISiCO empfiehlt ihren Kunden vor diesem Hintergrund, verstärkt nach europäischen Alternativen zu US-amerikanischen Cloud-, Mail-, Chat- und anderen Diensten Ausschau zu halten. Für Unternehmen, die auf US-amerikanische Dienstleister angewiesen sind, besteht gleichwohl kein Grund zur Panik, da ein Datenexport auf Basis der EU-Standardvertragsklauseln nach unserer Auffassung auch weiterhin rechtskonform möglich ist.

Wie kam es zur Entscheidung des Gerichts?

Der Streit um die Verarbeitung europäischer personenbezogener Daten in den USA konzentriert sich seit einigen Jahren auf die großen US-amerikanischen Datenverarbeiter Google, Apple und Facebook. Der österreichische Datenschutzaktivist und Facebooknutzer Max Schrems wollte sich vor dem Hintergrund der PRISM-Spähaffäre nicht länger damit abfinden, dass Facebook Daten europäischer Nutzer nicht (nur) in Europa, sondern auch in den USA verarbeitet – wo sie dem Zugriff US-amerikanischer Unternehmen nahezu schutzlos ausgeliefert sind. Schrems Beschwerde bei der irischen Datenschutzbehörde DPC blieb erfolglos, woraufhin er vor dem irischen High Court klagte. Dieser hielt die Einschätzung der Behörde, wonach eine Prüfung angesichts des ausgehandelten Safe-Harbor-Abkommens unterbleiben könne, für fraglich und wandte sich an den EuGH, der nun über das Abkommen entschied.

Das Safe-Harbor-Abkommen wurde im Jahr 2000 zwischen der Europäischen Kommission und den USA geschlossen und sollte einen sicheren Datentransfer in die USA auf Basis einer freiwilligen Selbstzertifizierung des datenimportierenden Unternehmens ermöglichen. Bei den USA handelt es sich aus Sicht der europäischen Datenschützer um ein sogenanntes „unsicheres Drittland“, da hier kein dem europäischen Recht vergleichbares Schutzniveau besteht. So dürfen US-amerikanische Behörden ohne gerichtlichen Beschluss auf in den USA gespeicherte Daten zugreifen. Dem Betroffenen steht ferner kein Recht zur Auskunft über die zu ihm gespeicherten Daten zur Verfügung. An dieser Sachlage änderte auch das Safe-Harbor-Abkommen nichts, weshalb es von Datenschützern seit seinem Inkrafttreten kritisiert wurde. Nach Bekanntwerden der Spähaktivitäten US-amerikanischer Geheimdienste mehrten sich die Stimmen in Politik, Wirtschaft und Zivilgesellschaft, die die Aussetzung der Vereinbarung mit den USA forderten.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Was ist die Summe aus 9 und 1?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Was bemängelte das Gericht an dem Abkommen?

Nach Ansicht des EuGH schützt das Abkommen nur in unzureichendem Maße das in der europäischen Grundrechtecharta verankerte Persönlichkeitsrecht der Betroffenen. Das Abkommen verpflichte lediglich die US-Unternehmen, die dem Abkommen freiwillig beiträten; einen Schutz vor US-Behörden biete es nicht in ausreichendem Umfang. Die Tatsache, dass US-Behörden ohne jegliche Hürde auf die exportierten Daten zugreifen können, sei, so der EuGH, nicht mit dem europäischen Grundrecht auf Achtung des Privatlebens vereinbar. Ferner widerspreche die fehlende Möglichkeit des Betroffenen, gegen den stets möglichen behördlichen Datenzugriff Rechte geltend zu machen, dem Grundrecht auf wirksamen gerichtlichen Rechtsschutz, der wiederum zum Wesen eines Rechtsstaats gehöre.

Was wurde noch beschlossen?

Ausgangspunkt des Verfahrens vor dem EuGH war die Frage, ob eine europäische Datenschutzbehörde die Prüfung einer Datenverarbeitung mit Verweis auf eine von der EU-Kommission getroffene Entscheidung – in diesem Fall: das Safe-Harbor-Abkommen – ablehnen kann. Auch hier gab das Gericht einen negativen Bescheid. Die Datenschutzbehörden seien qua Gesetz unabhängig und daher verpflichtet, möglichen Datenschutzverletzungen auch dann nachzugehen, wenn diese sich vor dem Hintergrund einer Kommissionsentscheidung als unbedenklich darstellten.

Ihre Lösung für den besten Datenschutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Kostenfreien Kennenlerntermin vereinbaren

Was ist zu tun?

Für europäische Unternehmen, die neben einer Prüfung der Safe-Harbor-Zertifizierung auch die EU-Standardvertragsklauseln mit ihrem US-amerikanischen Vertragspartner abgeschlossen haben, besteht zunächst einmal kein Grund zur Sorge. Die Standardvertragsklauseln waren nicht Gegenstand der EuGH-Entscheidung. Die Europäische Kommission hat zudem bereits erste Maßnahmen angekündigt, die den Beschlüssen des Urteils gerecht werden sollen. Věra Jourová, die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung erläuterte in einer ersten Pressekonferenz am Nachmittag die weiteren Schritte. Danach seien (1) ausreichende Schutzvorkehrungen bei künftigen Übermittlungen sicherzustellen, (2) die Übermittlungen in die USA bereits aus wirtschaftlichen Gesichtspunkten trotz der EuGH-Entscheidung fortzuführen und (3) ein einheitliches Vorgehen der nationalen Aufsichtsbehörden anzustreben. Jourová betonte die wirtschaftliche Bedeutung von Datenexporten in die USA. Sie habe sich daher bereits mit der Vereinigung der europäischen Datenschutzbehörden abgestimmt, um das Handeln zu koordinieren. Darüber hinaus werde bereits an einem „safer“ Safe Harbor gearbeitet. Bis dahin sollten europäische Unternehmen, so die Kommissarin, für einen Datenexport in die USA die Standardvertragsklauseln, Binding Corporate Rules oder andere gesetzliche Erlaubnistatbestände verwenden. Wir werden Sie über aktuelle Entwicklungen in der Sache auf dem Laufenden halten.

Weitere Neuigkeiten

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …