Safe-Harbor Abkommen gekippt – Auswirkungen für Unternehmen?!

Veröffentlicht am 15. Oktober 2015 von Stephan Brunnet

Der Europäische Gerichtshof lehnt das Datenschutzabkommen zwischen Europa und den USA ab. In dem Urteil des EuGH geht es nicht nur um das Datenschutzabkommen selbst sondern auch um die Praktiken von US-Geheimdiensten. Diese Praktiken werden vom Gericht sehr deutlich bemängelt.



Datenschützer bemängeln schon lange das Datenschutzabkommen zwischen den USA und Europa. Den ersten großen Aufschrei gab es durch die Enthüllungen von Edward Snowden. Seit 2013 wird an einer Neufassung des Abkommens verhandelt. Diese Neufassung wurde nun von einem 28-jährigen Österreicher bemängelt. Max Schrems ist damit vor den Europäischen Gerichtshof gezogen und konnte sich durchsetzen. Das höchste Europäische Gericht hat nun das Abkommen zwischen der EU und den USA zum Austausch von persönlichen Daten für ungültig erklärt. Das Urteil ist ein großer Meilenstein für den Datenschutz. Damit zeigt Europa den US-Konzernen ihre Grenzen im Umgang mit personenbezogenen Daten auf. Gerade für Google, Apple und Facebook ist das ein herber Rückschlag.

Alle EU-Mitgliedsstaaten haben nun den Auftrag für mehr Transparenz bei der wirtschaftlichen und sicherheitspolitischen Nutzung von Daten zu sorgen.

Auswirkungen für Unternehmen

Unternehmen dürfen personenbezogene Daten Ihrer Kunden, Nutzer und Mitarbeiter nicht ohne weiteres an Dritte weitergeben. Für eine Weitergabe an Dritte müssen die Betroffenen einen Auftragsdatenverarbeitungsvertrag (ADV-Vertrag) gem. § 11 BDSG unterschreiben. In einem sogenannten ADV-Vertrag willigen die Betroffenen ein, dass Sie als Unternehmen Ihre Daten an Dritte weitergeben dürfen. Im Umkehrschritt verpflichten Sie sich aber auch, dass die Daten nur für den vorgesehenen Zweck verwendet und alle notwendigen technisch-organisatorische Schutzmaßnahmen veranlasst werden um diese Daten zu schützen. Solche Verträge dürfen nach deutschem Datenschutzrecht aber nur mit Unternehmen geschlossen werden, die Ihre Daten in einem Land mit einem hinreichenden Datenschutzniveau verarbeiten (§§ 4b, 4c BDSG). Außerhalb der EU verfügen nur wenige andere Staaten über ein hinreichendes Datenschutzniveau wie z.B. Australien, Neuseeland, Kanada, Israel, Schweiz, oder Uruguay für dies Länder liegt eine Angemessenheitsentscheidungen vor. Die USA gehören nicht dazu, weswegen das Safe-Harbor-Abkommen im Sinne eines „sicheren Hafens für Daten“ abgeschlossen werden sollte.

Unabhängig vom Safe-Harbor Abkommen sollten alle Unternehmen prüfen, ob Sie mit allen Unternehmen, mit denen Sie personenbezogene Daten austauschen, einen Auftragsdatenverarbeitungsvertrag unterzeichnet haben. Sollte dies nicht der Fall sein, muss dies schnellst möglich nachgeholt werden. softwareinmotion mit Ihrem Software-as-a-Service (SaaS oder auch Cloud-Dienst) CheroKey schließt mit allen Kunden einen entsprechenden ADV-Vertrag ab.

Sie als Unternehmen sollten prüfen, mit welchen Unternehmen personenbezogene Daten ausgetauscht und in welchen Ländern diese gespeichert werden. Viele große Dienstleister können nicht sicherstellen, dass Ihre Daten nicht außerhalb der EU gespeichert werden. In diesem Fall ist es oft besser auf kleine regionale Anbieter zu vertrauen.

Was sollten Sie tun?

  • Wenn möglich deutsche, anstatt amerikanischer Anbieter wählen.
  • ADV-Verträge mit den entsprechenden Anbietern vereinbaren.
  • Im Zweifel die betroffenen Kunden informieren und um ihre Einwilligungen bitten.

Fazit

Wenn Sie bisher auf vertraglicher Ebene personenbezogene Daten mit Unternehmen aus den USA austauschen, sollten Sie handeln. Dieser Datenaustausch ist bedenklich. Man sollte sich im Klaren darüber sein, dass die amerikanische Regierung im Zweifelsfall den Zugriff auf alle Daten bekommt. Dabei ist es egal ob eine Einwilligung der jeweiligen Person vorliegt.

Geändert hat sich aber der rechtliche Fokus auf den Datenschutz, dieser wird stärker und damit müssen Sie als Unternehmen noch mehr als zuvor auf die möglichst genaue Einhaltung der Datenschutzvorschriften achten. Wichtig für Sie ist noch, dass Sie mit allen Dienstleistern, denen Sie personenbezogene Daten übermitteln, entsprechende ADV-Verträge abschließen.

Quellen:

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Datenschutz Wiki
Datenschutzrichtlinie 95/46/EG
Cherokey.de
softwareinmotion.de