Safe Harbor: EuGH erklärt Datenübermittlung in die USA für rechtswidrig

Mehrere hunderttausend deutsche Mittelständler stehen nach dem jüngsten Urteil des Europäischen Gerichtshofs (EuGH) in Sachen Informationstechnologie vermutlich im Regen. Darauf weist das Mittelstandsforum des Globalen Think Tank Diplomatic Council hin [1].

foto cc0 boote safe habor

Der EuGH hat in einem Urteil vom 06.10.2015 (RS C-362/14 – Maximilian Schrems/Data Protection Commisioner) die sogenannte »Safe-Harbor-Entscheidung« der EU-Kommission aus dem Jahr 2000 für ungültig erklärt; das Urteil entfaltet sofort Wirkung. In dem zugrundeliegenden Verfahren ging es um die Praxis der Datenspeicherung von Facebook. Das Unternehmen speicherte Daten europäischer Nutzer auch in den USA.

Das Urteil hat zur Folge, dass personenbezogene Daten auf der Basis von Safe Harbor nicht mehr in die USA übermittelt und dort gespeichert werden dürfen. Auf Seiten eines an dem Safe-Harbor-Programm teilnehmenden US-amerikanischen Unternehmens ist ein angemessenes Datenschutzniveau im Sinne deutschen und europäischen Datenschutzrechts hiernach nicht mehr gewährleistet. Insbesondere können Datenschutzbehörden nun prüfen, ob bei Datenübermittlungen von Unternehmen in die USA die Anforderungen des Unionsrechts an den Schutz dieser Daten eingehalten werden. Die hierzu ohnehin »strenge« Sichtweise der deutschen Aufsichtsbehörden für den Datenschutz ist seit Jahren bekannt; es ist daher davon auszugehen, dass die Datenspeicherung in den USA von den deutschen Datenschutzbehörden als unzulässig angesehen werden wird. Das gleiche dürfte gelten, sofern ein Zugriff auf in der EU gespeicherte Daten aus den USA möglich ist.

Anzeige

Dies ist insbesondere von Bedeutung für diejenigen Unternehmen, die im Rahmen des IT-Outsourcing die Leistungen US-amerikanischer Anbieter in Anspruch nehmen oder kommerzielle Cloud-Dienste US-amerikanischer Unternehmen nutzen, was gerade im Mittelstand zunehmend der Fall ist.

Der Diplomatic Council hat die Auffassung, dass die Übermittlung personenbezogener Daten in die USA, so wie dies zum Beispiel im Rahmen des IT-Outsourcings (bei US-amerikanischen Dienstleistern) oder der Nutzung kommerzieller US-amerikanischer Cloud-Dienste geschieht, auf der Basis von Safe Harbor dem Grunde nach unzulässig ist, bereits seit längerem vertreten. Zuletzt wurde hierzu in der Veranstaltungsreihe DC-Cyber Crime Luncheons (Frankfurt, Hamburg, München, Berlin, Köln, Düsseldorf, Stuttgart) unter der Leitung von Herrn Rechtsanwalt Ralf Schulten, Chairman Global SME (Mittelstand) Forum im DC diskutiert.

DC Mitgliedsfirmen wie BMT Büsing, Müffelmann & Theye, Leaseweb und andere stehen bereit, um die betroffen Unternehmen bei der Analyse der Auswirkungen des EuGH-Urteils auf ihren Geschäftsbetrieb und bei der Suche nach Alternativen sowie gegebenenfalls Interimslösungen zu beraten und zu unterstützen.

Anzeige

Der Digitalverband Bitkom zu den Folgen der Entscheidung des Europäischen Gerichtshofes (EuGH) zum Safe-Harbor-Abkommen

»Die Digitalwirtschaft braucht international einheitliche Regelungen zum Datenschutz auf hohem Niveau », sagte die Geschäftsleiterin des Digitalverbands Bitkom, Susanne Dehmel. »Tausende von Unternehmen haben ihre Datenübermittlungen zwischen Deutschland und den USA bisher auf Safe Harbor gestützt. Die Unternehmen brauchen jetzt schnellstmöglich Rechtssicherheit. Sie müssen wissen, auf welche rechtliche Grundlagen sie zukünftig bauen können und wie viel Zeit sie für die Umstellung auf andere Rechtsgrundlagen haben.« Hier sind aus Bitkom-Sicht die EU-Kommission und die nationalen Datenschutzbehörden in der Pflicht.

Bitkom weist darauf hin, dass es neben Safe Harbor weitere rechtliche Möglichkeiten gibt, einen Transfer von personenbezogenen Daten in Drittstaaten außerhalb der EU datenschutzkonform zu gewährleisten. Dazu gehören die von der EU-Kommission frei gegebenen Standardvertragsklauseln und die sogenannten Corporate Binding Rules. Alternativ können Unternehmen die Einwilligung ihrer Nutzer für die Datenübermittlung individuell einholen. »Eine Umstellung von Safe Harbor auf andere rechtliche Verfahren bedeutet für die Unternehmen einen enormen Aufwand«, betonte Dehmel. Große Unternehmen haben zum Teil hunderte Verträge auf der Basis von Safe Harbor geschlossen, die jetzt hinfällig werden.

Die Entscheidung des EuGH müsse aus Sicht des Bitkom in die aktuellen Verhandlungen zwischen der EU und den USA zur Reform des Safe-Harbor-Abkommens einfließen.

Zum vom Europäischen Gerichtshof (EuGH) verabschiedeten Urteil zum sogenannten Safe-Harbor-Abkommen sagt Oliver Süme, eco Vorstand Politik & Recht:

»Das heutige Urteil des EUGH hat für die Internetwirtschaft weitreichende Folgen. Datenbasierte Geschäftsmodelle und der transnationale Austausch von Daten werden volkswirtschaftlich immer wichtiger. Der sachgerechte Ausgleich zwischen einem barrierefreien internationalen Datenfluss und dem Schutz personenbezogener Daten kommt daher ein extrem hoher Stellenwert zu.

Der Fall des Safe-Harbor-Abkommens bedeutet für viele Unternehmen daher eine erhebliche Rechtsunsicherheit. Bundesregierung und Europäische Union müssen jetzt schnellstmöglich eine neue Regelung finden, die unseren hohen Datenschutzstandards genügt und gleichzeitig eine praktikable Lösung für die Unternehmen schafft.«

[1] Das Diplomatic Council (UNO reg.) ist ein bei den Vereinten Nationen registrierter globaler Think Tank zur Verbindung von Diplomatie, Wirtschaft und Gesellschaft. Hierzu verknüpft das Diplomatic Council ein weltweites Wirtschaftsnetzwerk mit der Ebene der diplomatischen Kommunikation. Als Mitglieder sind gleichermaßen Diplomaten und Persönlichkeiten aus Wirtschaft und Gesellschaft willkommen. www.diplomatic-council.org