Datenschutzexperten schlagen Alarm. Ein neues Urteil des EuGH wirkt sich auf den Datentransfer zwischen Europa und den USA aus. Seit 15 Jahren ermöglichte die Safe Harbor-Vereinbarung Unternehmen die Übermittlung personenbezogener Daten zwischen Europa und elf anderen Ländern ohne eine vorherige Genehmigung durch Datenschutzbehörden. Doch das ändert sich jetzt. Die bisherige Möglichkeit der Datenübermittlung wurde für unzulässig erklärt.

Urteil des EuGH zur Safe Harbor-Vereinbarung

Mit dem Urteil (EuGH, Az. C‑362/14) vom 6. Oktober 2015 entschied der Europäische Gerichtshof (EuGH), dass das Safe Harbor-Abkommen ungültig ist.

Warum? Weil Safe Harbor den europäischen Datenschutzbehörden keine Möglichkeit einräumt die Bürger zu schützen, die der Meinung sind, dass ihre Rechte auf informationelle Selbstbestimmung und Schutz der Privatsphäre verletzt werden.

Max Schrems gegen Facebook

Hintergrund des Urteils des EuGH ist die Klage von Max Schrems gegen Facebook. Mit dieser wollte der Österreicher die Datensammelwut von Facebook eindämmen. Die Folgen dieser Entscheidung treffen jetzt nicht nur Internet-Giganten wie Facebook sondern auch den größten Teil der europäischen Wirtschaft. Denn europäische Unternehmen nutzen eine Vielzahl von Diensten und Leistungen von Unternehmen außerhalb der EU, wie eben beispielsweise die USA.

Die Hintergründe zum Safe Harbor-Abkommen

In Deutschland setzt das Bundesdatenschutzgesetz (BDSG) die europäische Datenschutzrichtlinie 95/46/EG um.

4b BDSG gibt die Richtlinien für die Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen vor:

Personenbezogene Daten dürfen nur dann an Drittstaaten übermittelt werden, wenn bei den jeweiligen Empfängern in den Drittstaaten ein angemessenes Schutzniveau vorliegt. Die einzigen zulässigen Ausnahmen sind im § 4c BDSG festgelegt.

Die Drittstaaten mit einem angemessenen Schutzniveau wurden von der EU-Kommission verbindlich festgestellt. Dazu zählen Argentinien, Andorra, Faröer Inseln, Israel, Uruguay, Neuseeland, Guernsey, Isle of Man, Kanada, Schweiz und Jersey.

Werden personenbezogene Daten an diese Länder übertragen, ist keine gesonderte Prüfung auf ein angemessenes Datenschutzniveau notwendig.

Das Datenschutzniveau in den USA hingegen wurde von der EU-Kommission als nicht angemessen beurteilt. Deswegen bedarf es einer gesonderten Lösung, um den Datenverkehr von der EU in die USA über die Ausnahmefälle des § 4c BDSG weiterhin zu ermöglichen.

Das Safe Harbor-Abkommen wurde im Jahr 2000 als Vereinbarung zwischen der EU-Kommission und dem US-Handelsministerium getroffen. Mindeststandards im Datenschutzrecht wurden festgelegt.

US-Unternehmen und Organisationen konnten sich dem Safe Harbor-Abkommen in Form einer freiwilligen verbindlichen öffentlichen Selbstverpflichtung unterwerfen. Damit war eine Datenübertragung an das jeweilige amerikanische Unternehmen grundsätzlich zulässig.

Bis zum Urteil des EuGH vom 6. Oktober 2015 machten über 5.500 Organisationen und Unternehmen aus den USA Gebrauch von dieser Regelung.

Mit dem Urteil des EuGH wurde das Safe Harbor-Abkommen also 2015 für ungültig erklärt. Seitdem fehlt folglich auch eine rechtssichere Lösung für die Datenübertragung an ein US-Unternehmen.

Die Position der lokalen Datenschutzbehörden in der EU wird im Hinblick auf die unabhängigen Prüfungen der rechtlichen Grundlagen von Datenübermittlungen in Einzelfällen gestärkt. So soll das Recht auf informationelle Selbstbestimmung und Schutz der Privatsphäre von Personen unantastbar bleiben.

Auswirkungen auf den Datenverkehr zwischen den Mitgliedsstaaten der EU und den USA, aber auch zwischen der EU und anderen Ländern sind die Folge. Eine neue Rechtsgrundlage für den Datenaustausch ist erforderlich.

Was bringt die Zukunft?

Vor dem Safe Harbor-Abkommen konnte ein angemessenes Schutzniveau auch durch die sogenannte EU-Standardvertragsklauseln erreicht werden. Nach dem Urteil vom 6.Oktober scheint auch diese Vorgehensweise keine mögliche Alternative zu sein. Auch wenn das Urteil des EuGH nicht explizit dazu Stellung nimmt, lassen die Ausführungen in den Entscheidungsgründen Rückschlüsse zu. Es ist demnach davon auszugehen, dass sich durch die EU-Standardvertragsklausel keine rechtskonforme Datenübertragung in ein Drittland wie die USA mehr begründen lässt.

Eine neue und umfassende Vereinbarung ist bereits in Arbeit – Safe Harbor II. Diese ist mit den Anforderungen des EuGH-Urteils konform und wendet die Gefahr ab, dass am Ende in Europa ein Flickwerk nicht kompatibler lokaler Vorschriften herrscht. Ohne eine solche gemeinsame Vereinbarung riskiert Europa seine Isolierung. Schädliche Einflüsse auf den Welthandel könnten die Folge sein.

Unabhängig vom Ergebnis der laufenden Verhandlung müssen aber die derzeitigen Unsicherheiten so schnell wie möglich beseitigt werden. Unternehmen müssen für den Übergang auf die neuen Regelungen genügend Zeit haben.

Aktuelle Probleme für Unternehmen

Für viele Unternehmen bedeutet diese Entscheidung eine Reihe neuer Probleme und Herausforderung.

Globale Unternehmen mit amerikanischer Konzernführung haben keine Rechtsgrundlage mehr für das regelmäßige Reporting der Mitarbeiterdaten. Dennoch müssen hier Daten vielfach ausgetauscht werden, z.B. für die Personalplanung.

Alle Unternehmen, die auf Cloud-Lösungen setzen sind von der Änderung betroffen. Bei jeder Übermittlung gibt es einen Absender und einen Empfänger. In der EU sind die Absender der Daten für den Schutz dieser verantwortlich. Sie haften nach dem europäischen Datenschutzrecht dafür, ob die Übermittlung erlaubt ist oder nicht.

Durch den Wegfall der Safe Harbor-Regelung fehlt die Rechtsgrundlage für die weitere Übermittlung. Aus Managementsicht bedeutet das ein Compliance-Problem. Die Nutzung der Dienste ist gesetzeswidrig, sie müsste sofort eingestellt werden. Aus praktischen Problemen ist das jedoch nur in den wenigsten Fällen möglich. Denn ohne IT-Systeme wie E-Mail und HR können Unternehmen heute nicht überleben

 

Fazit:

Wer nach dem Safe Harbor Urteil nicht handelt, riskiert hohe Bußen aufgrund von Compliance-Verstößen.

  • Verträge müssen angepasst und aktualisiert werden
  • Lokale Verarbeitung und Speicherung personenbezogener Daten um internationale Datenübermittlungen zu vermeiden

Wollen Unternehmen weiterhin Dienste von US-Anbietern oder deren EU-Tochtergesellschaften ohne datenschutzrechtliche Risiken nutzen, ist das nur mit Beruf auf die Fallgruppen des § 4c BDSG möglich. Ist das nicht der Fall, sollten Unternehmen nachfragen, wie der jeweilige Anbieter eine datenschutzkonforme Lösung in Anbetracht der aktuellen Lage anbieten kann.

Stellungnahme der SAP:

Im Gegensatz zu vielen anderen Unternehmen fällt es SAP leichter, auch mit dem Wegfall des Safe Harbor-Abkommens ein entsprechend hohes Schutzniveau sicherzustellen.

Beim Thema Cloud heißt das konkret die Nutzung der Cloud-Kapazitäten in Europa. Daneben können Service- und Supportleistungen lokal angeboten werden. Wachsenden Rechenzentrumskapazitäten in den verschiedensten Ländern, ermöglicht das Anbieten von lokalen Dienstleistungen. Seitens der SAP gibt es hier auch eine offizielle Stellungnahme.

0
Datacenter
0
Länder

Der Konzern verfügt über 42 Datencenter in 12 Ländern. So können europäische Daten auch in Europa gespeichert werden. Das entspricht dem Ansatz der SAP – den Kunden weltweit ein hohes Schutzniveau für ihre Daten zu bieten.

Allerdings geht es nicht nur um den Speicherort der Daten sondern auch auf den Informationszugriff bei Wartungsprozessen. Deshalb bietet SAP die Option an, dass nur aus der EU der Zugriff auf die Daten erfolgen darf. Der Konzern selbst hat durch die Safe-Harbor-Entscheidung kaum Beeinträchtigungen. Die SAP hat stattdessen bereits individuelle Verträge zum Datenaustausch geschlossen.

Das Urteil des Europäischen Gerichtshofs betrifft uns vergleichsweise wenig, weil wir uns auch schon in der Vergangenheit nicht auf Safe Harbor verlassen haben.
Luka Mucic, Mitglied des Vorstands und des Global Managing Boards, Finanzvorstand und Chief Operating Officer, SAP SE

EU Access from SAP

SAP bietet ihren Kunden mit „EU Access from SAP“ einen passenden Service an. Personenbezogene Daten werden damit in Rechenzentren ausschließlich innerhalb der EU/EWR gespeichert und verarbeitet. Ohne vorherige Freigabe durch den Kunden sind keine Zugriffe von außerhalb Europas möglich.