Wo speichern Sie Ihre Daten? Nutzen Sie die Cloud?

 

In seiner Entscheidung vom 06.10.2015 erklärte der EuGH die schon seit Beginn an in Kritik stehende Safe-Harbor Entscheidung der EU-Kommission für ungültig und nicht binden. Für die Praxis bedeutet dies, dass die Übermittlung personenbezogener Daten in die USA rein auf Basis einer Safe-Harbor Zertifizierung unzulässig ist.

Was bedeutet Safe-Harbor?

Nach EU-Recht darf die Übermittlung personenbezogener Daten aus Mitgliedstaaten der Europäischen Union in Drittländer nur erfolgen, wenn in dem jeweiligen Drittland ein entsprechendes bzw. vergleichbares Datenschutzniveau vorherrscht.

Um den Datentransfer zwischen EU-Ländern und Drittländer zu vereinfachen, wurde im Jahr 2000 ein entsprechendes Abkommen zwischen der EU-Kommission und den USA unterzeichnet, die sog. Safe-Harbor Entscheidung. Traten demnach Unternehmen aus Drittländern dem System des Safe-Harbor bei, stand für diese Unternehmen fest, dass sie über ein entsprechendes Datenschutzniveau verfügten und ein solches auch für personenbezogene Daten von EU-Bürgern gewährleisteten.

Zu beachten bleibt aber, dass die Safe-Harbor Zertifizierung eines Unternehmens zu keinen Zeitpunkt eine Rechtsgrundlage für den Datenaustausch darstellte.

Für einen rechtmäßigen Datenaustausch außerhalb der EU oder EWR bedurfte es trotz Safe-Harbor Zertifizierung des Datenimporteurs immer einer eigenständigen Rechtsgrundlage. Unternehmen, die sich beim Datenaustausch bisher nur auf eine Safe-Harbor Zertifizierung des Datenimporteurs beriefen, fehlte es daher schon immer an einer entsprechenden Rechtsgrundlage.

Mit der Entscheidung des EuGH gegen die Safe-Harbour Entscheidung ist nun aber eine weitere gesetzliche Voraussetzung für einen rechtmäßigen Datentransfer weggefallen. Ist der Datenimporteur Safe-Harbor zertifiziert, ist ein vergleichbares Datenschutzniveau des Datenimporteurs nicht mehr gewährleistet.

Das Bundesdatenschutzgesetz hat den Beteiligten des Datentransfers aber noch andere Möglichkeiten an die Hand gegeben. So kann ein wirksamer Datenaustausch stattfinden, wenn der Datenschutzstandard vertraglich zugesichert wird. Ein Beispiel hierfür sind die EU-Standardvertragsklauseln, welche von der EU-Kommission zur Verfügung gestellt werden. Voraussetzung für deren Wirksamkeit ist aber, dass diese Klauseln so übernommen und nicht abgeändert werden. Ein weiteres Beispiel sind die sog. Binding Corporate Rules. Der Unterschied zu den EU-Standardvertragsklauseln liegt darin, dass diese – von den Vertragspartnern selbst aufgestellten Regeln – der Genehmigung der Datenschutzbehörde bedürfen und daher oft schwer umsetzbar sind bzw. ein solcher Vorgang lange Zeit in Anspruch nimmt.

Dennoch besteht selbst bei Auswahl einer dieser Möglichkeiten das Problem, dass das Recht und die Praxis der Vereinigten Staaten es gestatten, die übermittelten personenbezogenen Daten von Unionsbürgern in großem Umfang zu sammeln, ohne dass sie über einen wirksamen gerichtlichen Rechtsschutz verfügen.

Die EU-Kommission selbst hält eine Verwendung der EU-Standardverträge und Binding Corporate Rules weiter für zulässig. Es liegt aber die Vermutung nahe, dass der EuGH diese ebenfalls für ungültig erklären wird, sofern die Eingriffsbefugnisse der Geheimdienste in den USA nicht im Sinne des EU-Standards geändert werden und somit ein Zugriff auf Daten nicht mehr stattfinden kann.

Was ist nun die Folge für Sie?

Konsequenz der Entscheidung ist, dass es derzeit nahezu unmöglich ist, seine eigenen Daten datenschutzkonform in den USA oder anderen unsicheren Drittstaaten speichern zu lassen. Dies betrifft Sie vor allem, weil Sie bei der Speicherung Ihrer Daten in einer Cloud im Zweifel nicht wissen, in welchem Land die Daten gespeichert werden. Sobald es sich um personenbezogene Daten handelt begehen Sie daher einen Datenschutzverstoß.

Es ist davon auszugehen, dass die deutschen Datenschutzbehörden ihr Augenmerk nun verstärkt auf diese Problematik legen. Unternehmen, die Daten in Drittländer exportieren oder in amerikanische Clouds verbringen, sollten zunächst versuchen EU-Standardverträge nachzuziehen. Sollte diese Vorgehensweise scheitern, sollte darüber nachgedacht werden die Daten ggf. abzuziehen.


Huettl Rechtsanwaelte