Die USA sind kein sicherer Hafen mehr
Nach EuGH-Entscheidung Gefahr im Verzug?
von Oliver Huq - 08.12.2015
In jedem Fall muss die EuGH-Entscheidung von allen Firmen beachtet werden, die personenbezogene Daten verarbeiten. Einfach eine bestehende Praxis beizubehalten wäre leichtsinnig. Ansonsten ist es nur eine Frage der Zeit, bis die erste kostenintensive Abmahnwelle erfolgt.
Unbedingt sollte daher einer Datenverarbeitung in den USA widersprochen werden. In einem zweiten Schritt ist dann dafür Sorge zu tragen, dass die Daten nicht ohne Weiteres einfach übertragen werden. Gegebenenfalls sind die internen Prozesse zur Datenverarbeitung entsprechend anzupassen.
Ausblick
Zwar könnte das EuGH-Urteil dazu führen, dass die Speicherung von Unternehmensdaten auf US-Servern in Zukunft vermieden wird. Manch einer spricht gar davon, dass der EuGH die Wirtschaft und die Politik vor praktisch unlösbare Probleme stellt. Angesichts der starken Vernetzung zwischen Europa und den USA mag das bezweifelt werden.
Zudem werden politische Entwicklungen und juristische Entscheidungen immer direkte Konsequenzen auf die technische Umsetzung von IT-Sicherheitsmanagement-Systemen entfalten. Das erfordert ohnehin eine ständige Anpassung – und zwar unabhängig vom konkreten Anlass.
IT-Sicherheitsmanager im Mittelstand können ohne entsprechende Planung kaum die erforderlichen ständigen Anpassungsarbeiten schultern. Darum sollte an einen externen Dienstleister gedacht werden, der das IT-Sicherheitsmanagement der Firma übernimmt, nach den organisatorischen Vorgaben des Auftraggebers umsetzt und das Regelwerk neuen Entwicklungen stets anpasst.
Fazit
Die oberste Devise lautet: Ruhe bewahren. Zwar betrifft das EuGH-Urteil eine Vielzahl von Unternehmen und Personen. Diesen ist davon abzuraten, gar nichts zu unternehmen, denn das birgt hohe Rechts- und finanzielle Risiken. Die Vorgehensweise liegt auf der Hand.
- Handlungsbedarf ermitteln: Werden personenbezogene Daten verarbeitet? Wenn ja, muss die Frage geklärt werden, ob das auch in den USA geschieht – etwa durch Server, die in den USA stehen.
- Maßnahmen einleiten: Bestehende Verträge überarbeiten und Providern bis zu einer wirksamen Neuregelung die Datenverarbeitung untersagen.
Zudem sollten die Verarbeitungsprozesse für die Daten angepasst und gegebenenfalls das IT-Sicherheitsmanagement outgesourct werden.
Weitere Infos
- https://openjur.de/u/268440.html
Informationelle Selbstbestimmung – vom Bundesverfassungsgericht seit 1983 im sogenannten Volkszählungsurteil als Grundrecht anerkannt (BVerfG, Urteil des Ersten Senats vom 15. Dezember 1983, 1 BvR 209/83 u. a. – Volkszählung –, BVerfGE 65,1) - www.export.gov/safeharbor/eu/eg_main_018365.asp
US‑Webseite mit allen wesentlichen Unterlagen zu den Safe‑Harbor‑Vereinbarungen - http://eur-lex.europa.eu/legal-content/de/ALL/?uri=CELEX:32000D0520
Entscheidung 2000/520/EG der EU‑Kommission zu Safe Harbor im Volltext - www.econstor.eu/dspace/bitstream/10419/64866/1/726593699.pdf
Cloud‑Computing als Instrument für eff iziente IT‑Lösungen, HWWI policy paper, No. 71, m. w .N. von Bräuninger, Michael; Haucap, Justus; Stepping, Katharina; Stühmeier, Torben (2012) - http://goo.gl/mTUUw0
Kritik der deutschen Datenschutzbeauft ragten an Safe Harbor nach der Datenschutzkonferenz 2013 in Bremen - http://goo.gl/yn0nuS
Urteil des EuGH im Volltext - https://goo.gl/seNa1P
Aktuelle Meldungen zu Safe Harbor - http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm
Klauseln für den Datentransfer in englischer Sprache