Anfang Oktober hat der Europäische Gerichtshof (EuGH) in einem viel beachteten Urteil entschieden, dass das sog. Safe Harbor Abkommen zur Übermittlung von personenbezogenen Daten in die USA ungültig sei. Wir befragten Dr. Fabian Niemann, Partner bei der renommierten Kanzlei Bird&Bird, zu den Auswirkungen für Unternehmen und führten eine Umfrage zum Urteil unter deutschen Unternehmen durch. Die Frist für Unternehmen, die personenbezogene Daten auf Grundlage des Safe Harbor Abkommens in die USA übermitteln läuft Ende Januar aus. Danach drohen Bußgelder. Im Vorteil sind Unternehmen, die auf Europäische Cloud Anbieter mit Serverstandort Deutschland setzen.
Bis Ende Januar haben Unternehmen, die personenbezogene Daten auf der rechtlichen Grundlage des Safe Harbor Abkommens in die USA übermitteln, noch Zeit, ihre Datenübermittlung der neuen Rechtslage anzupassen. Ab dem 01. Februar müssen Unternehmen mit Bußgeldern rechnen, wenn sie weiterhin personenbezogene Daten auf Grundlage von Safe Harbor übermitteln. Was sind die Alternativen? Zum Einen ist es möglich, die Übermittlung personenbezogener Daten in die USA auf Grundlage von sog. Standard-Vertragsklauseln oder Binding Corporate Rules (BCR) zu regeln. Experten rechnen jedoch damit, dass nach dem Safe Harbor Abkommen möglicherweise mittelfristig auch die Standardvertragsklauseln vor dem EuGH in Frage gestellt werden könnten. Zum Anderen ist es natürlich grundsätzlich möglich, sich ein explizites Opt-In für die Datenübermittlung beim Nutzer einzuholen. Nähere Informationen zu Opt-Ins gibt es in unserer Checkliste 23 Fragen zu Big Data und Recht.
Auf Europäische Anbieter mit Serverstandort Deutschland setzen
Wesentlicher Kritikpunkt des EuGH beim Safe Harbor Urteil war, dass personenbezogene Daten in den USA nicht ausreichend vor dem Zugriff durch Behörden (z.B. Geheimdienste) geschützt wären. Einige US-amerikanische Cloud Anbieter sind nach dem Safe Harbor Urteil dazu übergegangen, ihren Kunden anzubieten, personenbezogene Daten nur auf Servern in Europa zu speichern, da das dortige Datenschutzniveau den Anforderungen der europäischen Datenschutzbehörden entspricht. Was auf dem Papier zunächst wie ein funktionierender Kompromiss klingt, der es ermöglicht, mit US-amerikanischen Anbietern zu arbeiten, ohne dabei Daten in die USA transferieren zu müssen, ist trotzdem kritisch zu beurteilen. Anbieter, deren Hauptsitz in den USA liegt, unterliegen immer US-amerikanischem Recht, egal wo ihre Server stehen. Die US Regierung folgert daraus, dass sie auch Zugriff auf Daten anfordern darf, die außerhalb der USA stehen. Die Rechtslage hierzu ist noch umstritten, es ist jedoch fraglich, ob es für die Anbieter rein technisch und organisatorisch überhaupt möglich ist, Server außerhalb der USA vor dem Behördenzugriff zu schützen. Vereinfacht ausgedrückt: Solange ein Administrator aus der Zentrale in den USA auf einen Server zugreifen kann, kann dies auch eine US-amerikanische Behörde. Wer sichergehen will, setzt daher auf einen europäischen Anbieter, der EU Gesetzen unterworfen ist. Im besten Fall verfügt dieser Anbieter über Serverstandorte in Deutschland, da hier nach aktueller Rechtslage die strengsten Datenschutzgesetze in der EU gelten. Dabei sollte nicht vergessen werden: Datenschutz ist nicht nur eine gesetzliche Notwendigkeit. In Anbetracht hoher Sensibilität von Verbrauchern gegenüber Datenschutzfragen kann ein hohes Datenschutzniveau auch ein Wettbewerbsvorteil sein.