Safe Harbor – mehrfach haben wir bereits über den „Dauerbrenner“ der letzten Monate in der Datenschutzwelt berichtet. Ende des Monats läuft nunmehr das Ultimatum ab, das der EU-Kommission und der US-Regierung seitens Europäischer Datenschützer gestellt wurde, um sichere Datenflüsse zu gewährleisten.
Der Inhalt im Überblick
Internationaler Datenaustausch
Heutzutage ist es fast undenkbar, dass personenbezogene Daten nicht ins Ausland weitergeleitet bzw. dort verarbeitet werden. Seit jeher wurde dabei immer die kritische Stellung der USA und der dortigen Überwachungsgesetze beäugt. Für Unternehmen gewinnt diese Thematik gerade in Bezug auf die Bereiche der Auftragsdatenverarbeitung und der Internationalität vieler Unternehmen praktische Relevanz. Als Beispiel seien nur der Datentransfer zur US-Muttergesellschaft eines Unternehmens oder die Tätigkeiten der üblichen Verdächtigen Microsoft und Apple genannt.
Die Überprüfung der Zulässigkeit der Datenverarbeitung findet in zwei Schritten statt:
- Zulässigkeit der jeweiligen Datenverarbeitung: Diese kann sich gemäß § 4 Abs. 1 BDSG aus einer Rechtsvorschrift oder der Einwilligung des Betroffenen ergeben.
- Zulässigkeit der Übermittlung in das jeweilige Empfängerland (adäquates Datenschutzniveau).
Safe Harbor Urteil des EuGH
Der zweite Schritt steht nunmehr auf dem Prüfstand. Im Oktober letzten Jahres hat der Gerichtshof der Europäischen Union (EuGH) ein Mittel zur Schaffung eines adäquaten Datenschutzniveaus gekippt – Safe Harbor. Der EuGH sah Safe Harbor nicht vereinbar mit der EU-Grundrechtecharta.
„Unbegrenzte Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten europäischer Herkunft verletzten den Kernbereich der Grundrechte“,
so der ehemalige Bundesdatenschützer Peter Schar.
Safe Harbor war bis zur Entscheidung im Oktober eines von drei probaten Mittel einen sicheren Datenaustausch zu gewährleisten. Tausende Unternehmen in den USA, wie beispielsweise Salesforce, Microsoft und Oracle oder international agierende Unternehmen haben sich auf das Safe Harbor Abkommen gestützt und stehen nunmehr seit drei Monaten vor der großen Aufgabe Alternativen zu etablieren.
Alternativen zu Safe Harbor auch betroffen?
EU-Standardverträge und Binding Corporate Rules stellen alternative Möglichkeiten zu Safe Harbor dar. Diese standen auch nicht auf dem Prüfstand, sind jedoch auf Grund der Begründung im EuGH-Urteil ins Kreuzfeuer der Kritik geraten. Dies ging soweit, dass das ULD in Ihrem Positionspapier in Folge der Entscheidung sogar jeglichen Datenaustausch mit den USA für unzulässig sah und einen radikalen Rundumschlag machte.
Ultimatum bis Ende Januar 2016
Die Artikel-29-Gruppe setzte der EU-Kommission und der US-Regierung in Folge des Urteils ein Ultimatum bis Ende Januar 2016 eine rechtliche und technische Lösung für den transatlantischen Datenverkehr zu schaffen – Safe Harbor 2.0. Diesem schlossen sich die deutschen Datenschützer großteils an.
Ob die USA noch schnell genug guten Willen zeigen kann, werden wir sehen. Derzeit steht der sog. Judical Redress Act in den USA kurz vor Verabschiedung. Das Verfahren hat sich jedoch kurzfristig auf Grund von Änderungen am Gesetzestext verzögert, wie reuters berichtet. Der Judicial Redress Act würde einen verfahrensrechtlichen Schutz der Privatsphäre für Bürger aus ausgewählten Staaten ermöglichen und somit ein Zeichen für mehr Datenschutz in den USA für EU-Bürger setzen.
“That is a very, very important signal of trust and reliability”,
so Paul Nemitz, European Commission Director for Fundamental Rights.
Außerplanmäßige Sitzung der deutschen Datenschützer
Das Ultimatum rast nunmehr unausweichlich dem Ende zu und die Wirtschaft wird nervös, da ein besseres Safe Harbor nicht in Sicht ist. Die Datenschutzbeauftragten von Bund und Ländern haben sich daher diese Woche in Frankfurt außerplanmäßig zusammengesetzt und über die Situation und deren Handhabung beraten.
Eins ist nach der Sitzung klar: Unternehmen, die weiterhin Daten auf der Grundlage von Safe Harbor in die USA übertragen, haben mit Sanktionen zu rechnen.
Allerding stellt Johannes Casper, Datenschutzbeauftragter von Hamburg, auch klar,
„Das EuGH-Urteil beschäftigt sich mit den Problemen, die entstehen, wenn Nachrichtendienste in den USA ungehindert auf Daten zugreifen.“
Diese Problematik wird jedoch auch nicht mit dem Abschluss von Standardvertragsklauseln oder Corporate Binding Rules gelöst.
Einheitliche Linie in der EU
Reinhard Dankert, der Vorsitzende der Datenschutzkonferenz, erklärte,
„dass es nunmehr darum gehe eine gemeinsame Position auf europäischer Ebene zu finden.“
In der nächsten Woche wird daher ein Treffen in Brüssel mit den europäischen Kollegen stattfinden in dem eine einheitliche Linie diskutiert werden soll. Eines steht jedoch wohl fest: Die Verhandlungsergebnisse müssen sich selbstverständlich an den Vorgaben des EuGH messen lassen.
Es muss jedoch eine pragmatische und praktische Lösung her! Wir können uns daher abschließend nur Susanne Dehmel, Bitkom-Geschäftsleitung Datenschutz und Sicherheit, anschließen:
„Europa darf keine Dateninsel werden. Deutsche Unternehmen sind international tätig und haben Töchter und Geschäftspartner in aller Welt. Wie sollen sie mit Niederlassungen und Kunden zusammenarbeiten, wenn sie kaum noch Daten austauschen dürfen? Ein Wegfall weiterer, bislang legaler Wege der Datenübermittlung würde nicht nur die Digitalbranche schwer treffen, sondern die deutsche Wirtschaft insgesamt.“
Alleine der Aufwand den ein Unternehmen jetzt auf sich nehmen muss, um alle EU Standardverträge nachzuholen ist enorm! Ich kann mir kaum vorstellen, dass es überhaupt ein Unternehmen „fristgerecht“ schaffen kann alle Datentransfers auf sichere Beine zu stellen – vollkommen unrealistisch. Die Aufsichtsbehörden sollten froh sein, wenn sich ein Unternehmen darum kümmert, aber können wohl kaum zum Zeitpunkt X erwarten, dass alles 100%ig steht!
„Es muss jedoch eine pragmatische und praktische Lösung her! Wir können uns daher abschließend nur Susanne Dehmel, Bitkom-Geschäftsleitung Datenschutz und Sicherheit, anschließen: ‚Europa darf keine Dateninsel werden.'“
@Dr. Datenschutz:
Wer ist hier eigentlich nochmal der Böse? Etwa Europa, das auf die Einhaltung der Grundrechte pocht? Oder die USA, die Europa vergewaltigen und ausbeuten ohne Rücksicht auf Verluste? Wie erbärmlich Sie den US-Interessen in die Hände spielen! Die USA wissen sehr genau, welche Machtposition sie haben und nutzen sie gnadenlos aus. Und Ihnen und Ihren Kollegen vom BITKOM (in dem übrigens zahlreiche US-IT-Konzerne vertreten sind) haben wieder mal nur Wirtschaftsinteressen im Kopf! Warum schaffen wir nicht gleich sämtliche Umweltschutzvorschriften und Arbeitnehmerrechte ab? Seit Unternehmen nicht mehr grenzenlos Mensch und Natur ausbeuten dürfen, leiden Profite und Marktchancen! Wie schrecklich!
„Die Aufsichtsbehörden sollten froh sein, wenn sich ein Unternehmen darum kümmert, aber können wohl kaum zum Zeitpunkt X erwarten, dass alles 100%ig steht!“
erstens war „Safe“ Harbor schon lange in der Kritik, und Zeit genug, für einen Übergang zu sorgen, war ebenfalls. Die Unternehmen haben schlicht auf die Karte des Verschleppens gesetzt, um so wie bisher weiterwursteln zu können. Nun brennt denen natürlich der Kittel…