Das Dell Insider-Portal: Für alle, bei denen die Umsetzung mehr zählt als die Theorie:
Mit echten Fallbeispielen und Erfahrungsberichten zu den aktuellsten IT-Themen

EuGH-Urteil

Safe Harbor ist ungültig – welche Konsequenzen drohen?

Thomas Fischer schreibt seit über 20 Jahren für unterschiedliche namhafte PC-Zeitschriften über IT-Themen sowie Business-Software, war beteiligt an der Entwicklung von Konzepten neuer IT-Magazine und arbeite mehrere Jahre in einem Verlag im Bereich Corporate Publishing. Sein Slogan ist: Technik einfach erklärt..
Der Europäische Gerichtshof hat am 6. Oktober 2015 Safe Harbor für ungültig erklärt, das seit dem Jahr 2000 den Austausch personenbezogener Daten mit den USA geregelt hatte. Was bedeutet dieser Gerichtsentscheid für deutsche Unternehmen?

Das als "Safe Harbor" (sicherer Hafen) bezeichnete Verfahren erlaubte Unternehmen der EU bislang, personenbezogene Daten legal in die USA zu übermitteln. Das geschieht beispielsweise bei der Nutzung von Cloud-Diensten oder von Internetangeboten wie Social-Media-Plattformen, deren Server in den USA gehostet werden. Wichtig war das Safe-Harbor-Abkommen vor allem deswegen, weil die Europäische Datenschutzrichtlinie solch einen Datentransfer eigentlich verbietet. Der Grund: Die USA erfüllen nicht alle von Europa geforderten Standards, etwa das Verbot einer willkürlichen Verarbeitung personenbezogener, sensibler Daten. Hier lassen die europäischen Richtlinien nur dann eine Ausnahme zu, wenn Gründe für ein wichtiges öffentliches Interesse vorliegen.

Safe Harbor sollte EU-Beschränkungen umschiffen

Die Europäische Kommission kann die Erlaubnis zum Datentransfer in ein anderes Land erteilen, wenn sich das außerhalb der EU befindliche Unternehmen verpflichtet, die Europäische Datenschutzrichtlinie zu akzeptieren und einzuhalten. Im Safe-Harbor-Verfahren wurden die Bedingungen dafür genau definiert. Das US-Handelsministerium hatte am 21. Juli 2000 bestimmte Kriterien zum Datenschutz beschlossen, die einen Datentransfer unter Beachtung der Europäischen Datenschutzrichtlinie zulassen können. Die Europäische Kommission kam daher im Jahr 2000 zu der Erkenntnis, dass bei Einhaltung der im Safe-Harbor-Verfahren festgelegten Kriterien der geforderte Datenschutz erfüllt und ein Datentransfer zu US-Unternehmen erlaubt sei.

US-Unternehmen müssen dafür preisgeben, welche Daten ihrer Kunden sie speichern, und sie müssen sich für das Safe-Harbor-Verfahren registrieren. Dazu erfolgt ein Eintrag bei der Federal Trade Commission und sie verpflichten sich zur Einhaltung dieser Kriterien. Die Liste der eingetragenen Unternehmen ist für jeden einsehbar. Europäische Unternehmen können sich damit jederzeit darüber informieren, ob sich ein entsprechendes US-Unternehmen zur Einhaltung des Safe-Harbor-Verfahrens verpflichtet hat.

PRISM - Nichts bleibt der NSA verborgen

Zum 6.Oktober 2015 hat der Europäische Gerichtshof dem bis dato gültigen Safe-Harbor-Verfahren einen Riegel vorgeschoben und es für ungültig erklärt. Was war geschehen?

Die Entscheidung beruht vor allem auf der Klage des österreichischen Juristen, Autors und Datenschutzaktivisten Maximilian Schrems. Er klagte, weil Facebook ungeniert Daten von EU-Bürgern zur Facebook-Zentrale in die USA weiterleitet. Die Klage hatte anfangs keinen Erfolg. Daran änderte sich auch nichts, als im Zeitraum des Verfahrens die Enthüllungen von Edward Snowden ans Tageslicht kamen. Er bewies, dass und wie US-Behörden und die NSA sämtliche Server großer US-Konzerne wie Google und Facebook dreist ausspionieren. Erst die Aufdeckung von PRISM brachte schließlich Bewegung in den Fall und führte letztendlich dazu, dass der EuGH Safe Harbor am 6. Oktober 2015 für ungültig erklärte (C-362/14 Maximilian Schrems).

Der europäische Gerichtshof hat erkannt, dass Safe Harbor letztendlich keinen US-Geheimdienst nur im Geringsten gehindert hatte. Denn das Rechtssystem der USA erlaubt ihren Geheimdiensten jeglichen uneingeschränkten Zugriff auf alle beliebigen Daten eines in den USA ansässigen Unternehmens. Alle in der Europäischen Union tätigen Datenschutzaufsichtsbehörden waren vom Europäischen Gerichtshof daher augenblicklich befugt, jeglichen Datentransfer im Rahmen des Safe-Harbor-Verfahrens zu untersagen.

Ist Ihr Unternehmen vom Urteil zu Safe Harbor betroffen?

Viele deutsche Unternehmen fragen sich nun, welche Konsequenzen dieses Urteil für Sie hat und wie sie sich verhalten sollen. Betroffen ist ein Unternehmen immer dann, wenn es personenbezogene Daten in die USA übermittelt. Das trifft selbstverständlich auch dann zu, wenn der Datentransfer über Dritte erfolgt und die Daten dann in den USA weiterverarbeitet werden.

Vor allem solche Dienstleister sind kritisch zu hinterfragen, die Cloud-Dienste oder Produkte aus dem Bereich SaaS (Software as a Service) anbieten. Haben deutsche Unternehmen Software für den Betrieb eines Online-Shops oder für Ihre Business-Anwendungen gemietet, sollten sie kritisch prüfen, ob die dabei anfallenden Daten in der EU verarbeitet werden. Ist das nicht der Fall, wechseln sie besser zu einer alternativen Lösung. Selbst falls Ihr Unternehmen für Safe Harbor zertifizierte Dienste nutzt, sollten Sie sich nach einer entsprechenden Alternative umsehen. Neben den SaaS-Lösungen und Cloud-Diensten kann es sich dabei auch um Speicherdienste, Tracking- und Analyse-Tools oder andere Internetdienste handeln. Betreiber oder Hoster von Webseiten sind hier ebenfalls kritisch zu betrachten. Das gilt umso mehr, wenn der Hoster nur eine Niederlassung beispielsweise in Deutschland hat, sein Hauptsitz sich aber in den USA befindet. Denn hier kann die Möglichkeit bestehen, dass die Niederlassung dem US-Recht unterliegt und Geheimdienste der USA willkürlich auf alle Daten zugreifen können.

Doch nicht automatisch drohen rechtliche Schwierigkeiten: Auch wenn ein Unternehmen weltweit vertreten ist und seinen Hauptsitz in den USA hat, kann sich das Rechenzentrum etwa für die Cloud dennoch im Inland - etwa Deutschland - befinden und nach hiesigem Recht betrieben werden. Hier ist beispielsweise das Unternehmen Dell schon jetzt sehr gut aufgestellt. Alexander Neff, General Manager & Executive Director EMEA Central bei Dell Software, betont in einem Interview, dass europäische Unternehmen mit Dell als Geschäftspartner sicher sein können, dass die Dell-Server innerhalb der Europäischen Union stehen und keine darauf gespeicherten Daten die Grenzen Europas verlassen.

Fazit

Das Kippen des Safe Harbor-Verfahrens durch den Europäischen Gerichtshof betrifft so gut wie alle Unternehmen. Sie sind gezwungen, nach Alternativen zu suchen und diese umzusetzen. Am besten sind Unternehmen damit beraten, wenn sie ihre Daten innerhalb der EU speichern und verarbeiten und Dienstleister sowie Hosting-Anbieter wählen, die dies garantieren. Die Schonfrist läuft schon bald aus, nämlich Ende Januar 2016: Bis dahin haben Unternehmen noch Zeit, die Einhaltung des Datenschutzes im Zusammenhang mit dem Safe-Harbor-Urteil zu prüfen und entsprechende Maßnahmen einzuleiten. Derzeit laufen zwar Verhandlungen zwischen den USA und der EU-Kommission, die zum Ziel haben, möglichst bald ein neues und verbessertes Abkommen zum Austausch von Daten abzuschließen - ob und wann hier eine Einigung erzielt werden kann, ist aber noch ungewiss.

Weitere Informationen und Artikel zum Thema