Safe Harbor: Die Konsequenzen des Urteils – Update
+++ 02.02.2016: Ist das neue Etikett wirklich eine Lösung? +++
Nach Kippen des Safe Harbor-Abkommens durch den EuGH gibt es Neuigkeiten in Sachen Safe Harbor. Aus dem Safe Harbor-Abkommen wurde das EU-US Privacy Shield. Dieses beinhaltet, dass das US-Handelsministerium jene Unternehmen, die mit Daten aus dem europäischen Raum arbeiten, überwacht. Den Firmen, die sich nicht an die vereinbarten Standards hielten, drohten Sanktionen bis hin zur Streichung von der Liste. Die Umsetzung dieser Vereinbarung werde jedes Jahr von beiden Partnern geprüft. Wer glaube, dass seine Datenschutz-Rechte verletzt würden, könne sich an einen neutralen Ombudsmann wenden, der von der US-Regierung gestellt werde und unabhängig von den US-Geheimdiensten sei.
Kurz nach Verkünden der neuen Regelungen trendete der Hashtag #SafeHarbor auf Twitter und versammelte zahlreiche Kritiker unter sich. Diese haben nicht ganz unrecht, da das neue Label eines keineswegs gibt: Rechtssicherheit. Die eben beschriebenen Änderungen sind nicht etwa in einem Gesetz fixiert und somit wirklich verbindlich für alle Parteien, es sind lediglich Zusicherungen. Laut heise melden sowohl der ceo-Verband der deutschen Internetwirtschaft als auch der Bundesverband Digitale Wirtschaft Zweifel an der Tragfähigkeit des neuen Abkommens an. Von ersteren heiße es, dass „eine verbindliche und tragfähige Regelung für die Zukunft, die den Unternehmen Rechtssicherheit garantiert“ vonnöten ist und letztere sehen „wesentliche Fragen“ als „offen, die für eine rechtssichere Anwendung der neuen Regeln in der Praxis“ notwendig sind und fordern, dass dies „umgehend gelöst werden“ müsse. Der Bundestagsabgeordnete der Grünen, Konstantin von Notz, geht noch harscher in die Kritik:
Nach #Safeharbor: Scharfe Kritik am neuen EU-USA-Datenschutzabkommen von @KonstantinNotz https://t.co/MU93GfVTfc pic.twitter.com/2RDCu1wkrD
— NDR Info (@NDRinfo) 3. Februar 2016
Wir sind gespannt, wie es in Sachen Safe Harbor weiter geht und halten Sie auf dem Laufenden!
+++ 06.11.2015: Das Safe Harbor-Abkommen wurde gekippt +++
Wer etwas für Dramatik übrig hat, könnte den 06.10.2015 als den schwarzen Freitag aller Unternehmen bezeichnen, die ihre personenbezogenen Daten in den USA speichern oder diese an ihre dort ansässigen Mutterkonzerne leiten müssen. Denn genau das ist nicht mehr zulässig, seitdem der Europäische Gerichtshof (EuGH) die Safe Harbor-Vereinbarung zwischen der Europäischen Union und den USA am 06.10.2015 für nichtig erklärt hat.
Der Hintergrund
Dass die Safe Harbor-Vereinbarung überhaupt notwendig ist, liegt in den unterschiedlichen Datenschutzniveaus. Während man in Europa strenge Auflagen erfüllen muss, sind diese in den USA vergleichsweise laxer – dort gibt es keine umfassenden gesetzlichen Regelungen bezüglich Datenschutzes, die dem europäischen Standard nahe kommen. Denn nur, wenn diese Auflagen erfüllt sind, dürfen personenbezogene Daten aus dem europäischen Raum an Drittstaaten übermittelt werden. Um den Datenaustausch dennoch zu gewährleisten, wurde im Jahre 2000 die Safe Harbor-Vereinbarung getroffen, der zufolge die in den USA sitzenden Unternehmen 7 Prinzipien erfüllen müssen um anzuzeigen, dass sie ein angemessenes Datenschutzniveau erfüllen. Diese 7 Safe Harbor-Prinzipien finden Sie auf der Website der Bundesbeauftragten für Datenschutz und die Informationsfreiheit. Für diejenigen, die sich klicken und scrollen sparen möchten, übertrage ich die dort aufgeführten Punkte:
1. Informationspflicht: die Unternehmen müssen die Betroffenen darüber unterrichten, welche Daten sie für welche Zwecke erheben und welche Rechte die Betroffenen haben.
2. Wahlmöglichkeit: die Unternehmen müssen den Betroffenen die Möglichkeit geben, der Weitergabe ihrer Daten an Dritte oder der Nutzung für andere Zwecke zu widersprechen.
3. Weitergabe: wenn ein Unternehmen Daten an Dritte weitergibt, muss es die Betroffenen darüber und die unter 2. aufgeführte Wahlmöglichkeit informieren.
4. Zugangsrecht: die Betroffenen müssen die Möglichkeit haben, die über sie gespeicherten Daten einzusehen und sie ggfs. berichtigen, ergänzen oder löschen können.
5. Sicherheit: die Unternehmen müssen angemessene Sicherheitsvorkehrungen treffen, um die Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch zu schützen.
6. Datenintegrität: die Unternehmen müssen sicherstellen, dass die von ihnen erhobenen Daten korrekt, vollständig und zweckdienlich sind.
7. Durchsetzung: die dem Safe Harbor beigetretenen Unternehmen verpflichten sich zudem, Streitschlichtungsmechanismen beizutreten, so dass die Betroffenen ihre Beschwerden und Klagen untersuchen lassen können und ihnen im gegebenen Fall Schadensersatz zukommt.
Die Folgen
Da die Safe Harbor-Vereinbarung getroffen wurde um sicherzustellen, dass die EU weiterhin mit ihren wichtigsten Handelspartnern kooperieren kann, ist es nicht schwer, sich die Konsequenzen auszumalen. Der schlimmste anzunehmende Fall wäre natürlich das komplette Erliegen der Handelsbeziehungen. Viele Unternehmen, die solch ein Urteil schon als kalkulierbares Risiko eingestuft hatten, haben sich mit Standardvertragsklauseln gegenüber dem Kippen der Safe Harbor-Regelung abgesichert. In diesen Klauseln versichert das in den USA ansässige Unternehmen, keinerlei Gesetzen zu unterliegen, die sie zur einer Ausgabe der personenbezogenen Daten zwingen könnten. Aber auch diese Vorkehrungsmaßnahme wird vermutlich nicht ausreichen. Aktuell wird geprüft, ob mit dem Urteil des EuGH zum Fall Safe Harbor einfach alles steht und fällt – Standardvertragsklauseln sowie Binding Corporate Rules, die den Datenschutz der Mitarbeiter betreffen oder andere Rechtsklauseln, die im Zusammenhang mit dem Safe Harbor-Abkommen stehen. Nach Einschätzung des unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein ist auch der vermeintlich sichere Ausweg durch Standardvertragsklauseln null und nichtig. Dargelegt haben sie diese Ansicht in einem Positionspapier, das Sie hier finden.
Ausblickheise.de/…/Bitkom-warnt-vor-den-Folgen-des-Safe-Harbor-Urteils-2913778
In den betroffenen Unternehmen suchen die Zuständigen mit Sicherheit schon händeringend nach einer akzeptablen Lösung des durchaus kniffligen Safe Harbor-Problems. US-Firmen liebäugeln mit dem Gedanken, ihre Standorte einfach nach Europa zu verlagern und die Verträge entsprechend anzupassen. Doch auch das scheint kein Patentrezept zu sein. Frank Hißen von CIO zweifelt an, dass das der Schlüssel zur Lösung des Safe Harbor- Problems ist, denn: Aus technischer Sicht gibt es keine Ländergrenzen. Die Verlagerung des Standortes hätte nur zur Folge, dass die physischen Maschinen von A nach B verschoben werden. Die Verantwortlichen, die diese Maschinen aus der Ferne bedienen, werden weiterhin an Standort A verbleiben. Das heißt, dass diese auch weiterhin den Weisungen ihrer Behörden Folge leisten müssen. Jetzt könnte man sagen, dies ließe sich mit einem angemessenen Vertragswerk regeln. Doch ob das rechtlich möglich ist, ist nur die eine Frage. Ob es in der Realität praktikabel ist und sich so auch tatsächlich etabliert, steht jedoch auf einem ganz anderen Blatt geschrieben. Für Herrn Hißen ist klar, dass Data-Center in Europa keine Lösung sind – ob auch die vom Safe Harbor-Abkommen Betroffenen zu diesem Schluss kommen werden, muss sich noch herausstellen. Laut der Website datenschutzbeauftrager-info setzen die US-Unternehmen bereits auf den Ausbau ihrer europäischen Standorte. Es bleibt also abzuwarten, wohin die Reise letztendlich gehen wird. Auch der deutsche IT-Lobbyverband Bitkom warnt vor den Folgen des Safe Harbor-Urteils, wie heise.de berichtet, und hat hier die zentralen Folgen des EuGH-Urteils zusammengefasst.