Datenübertragung nach USA

Safe-Harbor-Urteil kann Folgen haben

| Autor: Heidemarie Schuster

In den USA ist der Datenschutz so gut wie gar nicht geregelt.
In den USA ist der Datenschutz so gut wie gar nicht geregelt. (Bild: © fotogestoeber - Fotolia)

Der Europäische Gerichtshof (EuGH) hat das Safe-Harbor-Abkommen gekippt und USA als unsicher für Daten befunden. Nun warnt der Bitkom vor möglichen Folgen.

Der Digitalverband Bitkom hat vor den negativen Konsequenzen des Safe-Harbor-Urteils des Europäischen Gerichtshofs (EuGH) für Europa gewarnt. „Es besteht die Gefahr, dass als Folge des EuGH-Urteils in Zukunft gar keine personenbezogenen Daten mehr in die USA übertragen werden dürfen“, sagt Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit.

Unternehmen und andere Organisationen könnten personenbezogene Daten dann nur noch auf Servern innerhalb Europas verarbeiten. „Die Kunden wären von vielen innovativen Online-Diensten aus den USA abgeschnitten und müssten Qualitätseinbußen oder höhere Kosten in Kauf nehmen“, so Dehmel. Dies solle im Interesse des Digitalstandorts Europa verhindert werden. Darüber hinaus drohe den Unternehmen ein hoher finanzieller und organisatorischer Aufwand, wenn sie die Datenverarbeitung nach Europa verlegen müssten. Notwendig sei jetzt eine politische Lösung. „EU-Kommission und US-Regierung müssen sich auf Standards einigen, die ein ausreichendes Datenschutzniveau für EU-Bürger in den USA gewährleisten“, so Dehmel weiter.

Das Urteil

Der EuGH hatte Anfang Oktober geurteilt, dass keine personenbezogenen Daten auf Grundlage des Safe-Harbor-Abkommens mehr in die USA übertragen werden dürfen. Als wichtigste Gründe für das Verbot nannten die Richter die umfassenden Zugriffsmöglichkeiten der US-Behörden auf Daten und den mangelnden Rechtsschutz für EU-Bürger. So können Europäer in den USA bisher nicht rechtlich gegen Datenschutzverstöße von Behörden vorgehen. Betroffen sind Anbieter und Nutzer von zahlreichen Online-Diensten, darunter Cloud-Services, soziale Netzwerke und Online-Shops. Auch die Tochtergesellschaften von US-Unternehmen in Europa müssen Konsequenzen ziehen, wenn sie zum Beispiel Daten ihrer Mitarbeiter oder Kunden in den USA auf Grundlage von Safe Harbor verarbeiten. Das gleiche gilt für die US-Töchter von europäischen Unternehmen.

Umstellung der Verträge

Nach dem Verbot von Safe Harbor sind die Unternehmen gezwungen, die Übermittlung von persönlichen Daten in die USA auf eine neue rechtliche Grundlage zu stellen. Alternativen sind die Standardvertragsklauseln der EU-Kommission, von den Datenschutzbehörden genehmigte „verbindliche Unternehmensregelungen“ (Binding Corporate Rules) oder die Einwilligung der Betroffenen. „Viele Unternehmen haben inzwischen mit der Umstellung ihrer Verträge begonnen“, sagte Dehmel. „Allerdings ist nicht sicher, ob diese Anpassungen auch dauerhaft gültig sind.“ Die Datenschutzbehörden prüfen derzeit, ob auch diese rechtlichen Transfermechanismen von dem EuGH-Urteil betroffen sind. Die Frist für die Prüfung läuft bis zum 31. Januar 2016.

Tipps des Bitkoms zu den häufigsten Fragen zum Urteil:

  • Was sollen Anbieter tun, die Safe Harbor nutzen? Im ersten Schritt sollten Unternehmen eine Bestandsaufnahme machen und klären, welche Datenströme auf Safe Harbor gestützt wurden. Das sollte sich aus den Verträgen zur Datenverarbeitung ergeben. Im zweiten Schritt sollte überlegt werden, welche alternativen Rechtsgrundlagen für den Datentransfer in Frage kommen. Darauf ausgerichtete Datenschutzerklärungen, Werbematerialien und Texte auf Webseiten müssen ebenfalls angepasst werden.
  • Welche Alternativen zu Safe Harbor kommen in Frage? Aus Sicht des Bitkom macht es kurzfristig nur Sinn, Safe Harbor durch den Einsatz von Standardvertragsklauseln zu ersetzen. Deutsche Unternehmen sollten Standardvertragsklauseln möglichst ohne Änderungen übernehmen. Ist dies nicht möglich, sollten sie die Auslegung und Praxis der für sie zuständigen Datenschutzaufsicht in Erfahrung bringen. In anderen EU-Ländern muss geprüft werden, ob noch andere Voraussetzungen (z.B. Genehmigungen) gelten.
  • Was sollen Kunden tun, die personenbezogene Daten bei US-Unternehmen verarbeiten lassen? Unternehmen sollten sich an ihre Dienstleister (zum Beispiel Anbieter von Cloud-Services) wenden und klären, welche rechtskonforme Lösung sie anbieten. US-amerikanische Unternehmen, die bisher auf der Basis von Safe Harbor gearbeitet haben, sind derzeit dabei, angemessene Lösungen zu implementieren. Manche Anbieter haben ihren Kunden bereits die Umstellung auf Standardvertragsklauseln angeboten.
Patriot Act & Co. konterkarieren EU-Rechtsprechung

Safe-Harbor-Urteil wirkungslos

Patriot Act & Co. konterkarieren EU-Rechtsprechung

20.10.15 - Das jüngste Urteil des Europäischen Gerichtshofs gegen die Rechtmäßigkeit des Safe-Harbor-Abkommens muss deutschen und europäischen Datenschützern wie Öl heruntergegangen sein. Und doch sind Internet-Nutzer im internationalen Datenverkehr noch lange nicht auf der sicheren Seite. lesen

Zu viel spioniert – Safe-Harbor gekippt

Konsequenzen des EuGH-Urteils

Zu viel spioniert – Safe-Harbor gekippt

13.10.15 - Geheimdienst-Kritiker fühlen sich bestätigt, Rechtsanwälte warnen, Verbände kommentieren. CloudComputing-Insider gibt einen Überblick über erste Reaktionen nach dem, vom EuGH gekippten, Safe-Harbor-Abkommen. Dieser Vorgang betrifft nicht nur die Zusammenarbeit mit Unternehmen, die personenbezogene Daten in die USA übertragen, sondern auch „Binding Corporate Rules“ in Konzernen. lesen

Gastkommentar zum gekippten Safe-Harbor-Abkommen

„Gutgemeinter Selbstbetrug“

Gastkommentar zum gekippten Safe-Harbor-Abkommen

30.10.15 - Andreas Gauger, Gründer von ProfitBricks, stellt das vom EuGH gekippte Safe-Harbor-Abkommen aus seiner Sicht dar. Seine Forderung: Unternehmen müssen jetzt handeln. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43720065 / Recht und Datenschutz )