Die USA sind kein sicherer Hafen mehr

Auswirkungen des EuGH-Urteils für die Praxis

von - 08.12.2015
Das ergangene EuGH-Urteil stellt fest, dass in den USA allein durch die Safe-Harbor-Bestimmungen kein ausreichender Datenschutz gewährleistet wird.
Total vernetzt: Die Karte zeigt, wie die Länder weltweit mit Telekommunikations-Seekabeln vernetzt sind.
Total vernetzt: Die Karte zeigt, wie die Länder weltweit mit Telekommunikations-Seekabeln vernetzt sind.
(Quelle: Greg Mahlknecht)
Im Wortlaut heißt es im Urteil: „Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privat­lebens [und] desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz.“
Direkte Konsequenz der Entscheidung ist, dass personenbezogene Daten ohne Weiteres nicht mehr in den USA verarbeitet werden dürfen, denn dort gibt es keine gesetzlichen Regelungen, die den europäischen Standards entsprechen.
Widerspruch zum Datentransfer
Um sich nicht strafbar zu machen, sollten Unternehmen ihren Providern die Datenverarbeitung im außereuropäischen Ausland bis auf Weiteres untersagen. So könnte der Widerspruch lauten:
„Aufgrund der Entscheidung des Europäischen Gerichtshofs (Urteil vom 6.10.2015, AZ: C‑362/14) zu Safe Harbor untersagen wir sofort und vollumfänglich jegliche Datenverarbeitung personenbezogener Daten unseres Unternehmens auf Servern in den USA. Zudem fordern wir dazu auf, alle bereits vorhandenen personenbezogenen Daten wirksam zu löschen. Bei Zuwiderhandlungen behalten wir uns rechtliche Schritte sowie Schadenersatzforderungen vor.“
Auf die Praxis wird das aktuelle Urteil dennoch nur beschränkte Auswirkungen haben. Zum einen wurde die Entscheidung des EuGH bereits erwartet und so haben viele Unternehmen entsprechende Vorkehrungen getroffen, die es ermöglichen, die Datenverarbeitung EU-rechtskonform durchzuführen. Einige Firmen setzen beispielsweise verstärkt auf EU-Server-Standorte.
Zum anderen gibt es zu Safe Harbor verschiedene Alternativen, die betroffene Unternehmen ins Auge fassen können:
  1. Sogenannte Binding Corporate Rules ermöglichen die Festlegung konzernweiter Datenschutzregeln auf EU-Standard, die dann für die Datenübermittlung in die USA von den zuständigen Datenschutzbehörden genehmigt werden können. Einige Firmen haben das bereits umgesetzt.
     
  2. Daten können legal in die USA übermittelt werden, wenn die Standardvertragsklauseln der EU-Kommission für die Übermittlung von personenbezogenen Daten in Drittländer eingesetzt werden. Das verlangt einen gewissen Aufwand, denn die Klauseln müssen in bestehende Verträge eingearbeitet werden.
     
  3. Verschlüsselungstechnik kann genutzt werden. Das gilt dann, wenn personenbezogene Daten so verschlüsselt werden, dass sie nur von autorisierter Seite in der EU entschlüsselt und gelesen werden können. Auch das erfordert einen gewissen Aufwand. So müssen die technischen Voraussetzungen geschaffen und die dahinterliegenden Arbeitsprozesse angepasst werden.
Letztlich liegt es an der Politik, möglichst schnell eine neue Regelung zu schaffen, die den Datentransfer zwischen der EU und den USA regelt. Ein No-Spy-Abkommen wäre da hilfreich und sollte seitens der EU und den USA endlich ernsthaft angegangen werden.
Seite
  1. Teil: Die USA sind kein sicherer Hafen mehr
  2. Teil: Auswirkungen des EuGH-Urteils für die Praxis
  3. Teil: Nach EuGH-Entscheidung Gefahr im Verzug?
Verwandte Themen

Mehr zum Thema