Von Innovationen abgehängt

Bitkom fürchtet unangenehme Folgen des Safe-Harbor-Urteils

11.11.2015
Von 
Heinrich Vaske ist Editorial Director a.D. von COMPUTERWOCHE, CIO und CSO.
Der ITK-Branchenverband Bitkom sorgt sich, dass europäische Unternehmen in Folge des Safe-Harbor-Urteils des Europäischen Gerichtshofs (EuGH) von innovativen Online-Diensten aus den USA abgeschnitten werden könnten.

Der Verband warnt vor negativen Konsequenzen durch das Safe-Harbor-Urteil des Europäischen Gerichtshofs (EuGH). "Es besteht die Gefahr, dass in Zukunft gar keine personenbezogenen Daten mehr in die USA übertragen werden dürfen", mahnt Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit. Dann könnten Unternehmen und andere Organisationen personenbezogene Daten nur noch auf Servern innerhalb Europas verarbeiten.

Safe Harbor ist keine rechtsgültige Grundlage mehr

Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit, fürchtet, dass Anwender mit Daten in den USA für das Safe-Harbor-Urteil büßen müssen.
Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit, fürchtet, dass Anwender mit Daten in den USA für das Safe-Harbor-Urteil büßen müssen.

Der EuGH hatte Anfang Oktober geurteilt, dass personenbezogene Daten nicht mehr auf Grundlage des Safe-Harbor-Abkommens in die USA übertragen werden dürfen. Die Richter begründeten das Urteil mit den umfassenden Zugriffsmöglichkeiten der US-Behörden und dem mangelnden Rechtsschutz für EU-Bürger. So konnten Europäer in den USA bislang nicht rechtlich gegen Datenschutzverstöße von Behörden vorgehen. Inzwischen gibt es Leitlinien seitens des Europäischen Kommission, wie mit dem Urteil umzugehen ist.

Lesen Sie auch:

Betroffen sind unter anderem die Anbieter und Nutzer von Cloud-Services, sozialen Netzwerken, Online-Shops etc. Auch die Tochtergesellschaften von US-Unternehmen in Europa können die Daten ihrer Mitarbeiter und Kunden nicht mehr einfach auf der Grundlage von Safe Harbor in den USA verarbeiten. Das gleiche gilt für US-Töchter europäischer Unternehmen. (Siehe auch die aufschlussreiche FAQ des Bitkom zum Thema).

Finanzieller und organisatorischer Aufwand

"Die Kunden wären von vielen innovativen Online-Diensten aus den USA abgeschnitten und müssten Qualitätseinbußen oder höhere Kosten in Kauf nehmen", fürchtet Dehmel. Außerdem drohe ein hoher finanzieller und organisatorischer Aufwand, wenn die Datenverarbeitung nach Europa verlegt werden müsse. Der Bitkom plädiert für eine "politische Lösung". EU-Kommission und US-Regierung müssten sich auf Standards einigen, die ein ausreichendes Datenschutzniveau für EU-Bürger in den USA gewährleisteten.

Nach dem Verbot von Safe Harbor sind die Unternehmen gezwungen, die Datenübermittlung von persönlichen Daten in die USA auf eine neue rechtliche Grundlage zu stellen. Alternativen sind die Standardvertragsklauseln der EU-Kommission, von den Datenschutzbehörden genehmigte "verbindliche Unternehmensregelungen" (Binding Corporate Rules) oder die Einwilligung der Betroffenen. Laut Dehmel haben bereits viele Unternehmen mit der Umstellung ihrer Verträge begonnen - ohne allerdings sicher sein zu können, dass diese Anpassungen nun dauerhaft gültig sind.

Was sollen Anbieter tun, die Safe Harbor nutzen?

Der Bitkom empfiehlt, zunächst eine Bestandsaufnahme vorzunehmen und zu klären, welche Datenströme sich auf Safe Harbor stützen. Das sollte sich aus den Verträgen zur Datenverarbeitung ergeben. Im zweiten Schritt wäre zu überlegen, welche alternativen Rechtsgrundlagen für den Datentransfer in Frage kommen. Darauf ausgerichtete Datenschutzerklärungen, Werbematerialien und Texte auf Webseiten müssen ebenfalls angepasst werden.

Welche Alternativen kommen in Frage?

Kurzfristig lässt sich Safe Harbor nur durch den Einsatz von Standardvertragsklauseln ersetzen. Deutsche Unternehmen sollten diese möglichst ohne Änderungen übernehmen. Ist das nicht möglich, sollten sie die Auslegung und das übliche Vorgehen der für sie zuständigen Datenschutzaufsicht in Erfahrung bringen.

Was tun, wenn Daten in den USA verarbeitet werden?

Die gewählten US-Dienstleister sollten in der Lage sein zu erklären, welche rechtskonforme Lösung sie anbieten können. US-Firmen, die sich bisher auf Safe Harbor gestützt haben, sind in der Regel längst dabei, angemessene Lösungen zu implementieren. Manche Anbieter haben ihren Kunden bereits die Umstellung auf Standardvertragsklauseln angeboten.