Diese Unternehmen unterstützen Sie bei der Anpassung an die Datenschutz-Grundverordnung (DSGVO):

UnternehmenKontakt
BeratungUmsetzungDeutsche Cloud
interev GmbHinterev GmbH

Jürgen Recha

+49 511 89798410
ticktick
praemandatumpraemandatum GmbH
Peter Leppelt

+49 511 9694 9860 0
tickticktick
PlusServerHost Europe Solutions GmbH
Martin Weltrowski

+49 173 6355 279
tickticktick
DTS SystemeDTS GmbH
Frank Knischewski

+49 511 9649 9310
tickticktick
L und M IT GmbH
Andreas Sellin

+49 40 554 354 942
tickticktick
carus consultingcarus
Stefan Böhling

+49 511 6262 6116
tick
KVCValora Consulting GmbH


+49 30 8877 3701
tickticktick
raqcuisineraqcuisine
Dirk Schaare

+49 511 1659 0920
tickticktick
Althammer & Kill GmbH & Co. KGAlthammer & Kill GmbH & Co. KG

Thomas Althammer

+49 5139 973949-0
tickticktick
privsecprivsec
Klaus Mönikes

+49 511 2203 696
Beratung
Beratung
KVCKai Viehmeier Consulting GmbH
Hans-Jürgen Lehmann

+49 5066 6956 080
tickticktick
KSB IntaxKSB Intax
Isabelle Bulenda

+49 511 8540 463
tick
BSSE GmbHBSSE GmbH
Dieter Bentzen

+49 511 8573 315
ticktick

Mitgliedschaft im Hannover IT e.V.

Digitalisierung.Gemeinsam.Gestalten

FAQ

Häufig gestellte Fragen

Was hat der EuGH entschieden? Welche Konsequenzen hat das?

Der EuGH hat die „Safe-Harbor-Entscheidung“ der Kommission für ungültig erklärt. An dem Safe-Harbor-Programm teilnehmende US-Unternehmen bieten daher nicht mehr einen „sicheren Hafen“ für personenbezogene Daten. Ein weiterer Grund, um sicherzustellen, dass derartige Datenkategorien ausschließlich von Cloud-Anbietern mit Datenverarbeitungsstandorten in der EU und dem EWR verarbeitet werden.

Der Europäische Gerichtshof (EuGH) hat am 6. Oktober 2015 entschieden, dass die Safe-Harbor-Entscheidung der EU-Kommission aus dem Jahr 2000 ungültig ist. Diese Kommissionsentscheidung bildete eine von mehreren möglichen Grundlagen, um personenbezogene Daten aus der EU in die USA zu übermitteln. Das Urteil entfaltet sofortige Wirkung.

Safe Harbor – Die Hintergründe

Mit dem Ziel, europäische Datenschutzstandards zu wahren, unterliegen sämtliche Übermittlungen personenbezogener Daten an Destinationen außerhalb von EU und EWR besonderen gesetzlichen Anforderungen. Hiernach bedarf es vor allem eines „angemessenen Datenschutzniveaus“ auf Seiten des jeweiligen Datenempfängers in einem Drittstaat.

Ein angemessenes Datenschutzniveau hat die EU-Kommission zwar für verschiedene Drittstaaten (u.a. die Schweiz, Argentinien, Neuseeland) anerkannt – hingegen nicht für die USA, die datenschutzrechtlich damit als „unsicherer Drittstaat“ gelten. Übermittlungen personenbezogener Daten in die USA sind demzufolge grundsätzlich unzulässig.

Da ein solches Ergebnis nicht praxistauglich ist, hat das US-Handelsministerium aufgrund der hohen wirtschaftlichen Bedeutung von transatlantischen Datenübermittlungen – nach langen Verhandlungen zur Jahrtausendwende – mit der EU-Kommission Safe Harbor – Die Hintergründe die Grundsätze eines „sicheren Hafens“ entwickelt. Hiernach war auf Seiten eines Datenempfängers in den USA ein angemessenes Schutzniveau gewährleistet, wenn sich dieser, unter anderem, freiwillig den Safe-Harbor-Grundsätzen unterwirft.

In den 15 Jahren seiner Gültigkeit wurde das Safe-Harbor-Abkommen bereits vielfach kritisiert, insbesondere von den Aufsichtsbehörden für den Datenschutz. Bemängelt wurden vor allem der Selbstzertifizierungsmechanismus, fehlender Rechtsschutz sowie eine nicht vorhandene Durchsetzung durch US-amerikanische Kontrollbehörden. Zuletzt geriet Safe Harbor gerade im Zuge der NSA-Spähaffäre immer wieder in die Schlagzeilen.

Folgen des Safe-Harbor-Urteils des EuGH

Das jetzige EuGH-Urteil hat zur Folge, dass personenbezogene Daten auf Basis von Safe Harbor nicht mehr in die USA übermittelt und dort gespeichert werden dürfen. Da die Kommissionsentscheidung für ungültig erklärt wurde, ist auf Seiten eines an dem Safe-Harbor-Programm teilnehmenden US-Unternehmens ein angemessenes Datenschutzniveau nicht mehr gewährleistet.

Zudem können Datenschutzbehörden nun prüfen, ob bei Datenübermittlungen in die USA die Anforderungen des Unionsrechts an den Schutz dieser Daten eingehalten werden. Die hierzu ohnehin „strenge“ Sichtweise der deutschen Datenschutzbehörden ist seit Jahren bekannt.

Als zulässige Alternativen für Datenübermittlungen in die USA verbleiben – neben einer Einwilligung – derzeit die EU-Standardvertragsklauseln sowie verbindliche Unternehmensregelungen (Binding Corporate Rules), die weiterhin ein angemessenes Datenschutzniveau bewerkstelligen können.

Die Implementation dieser Rechtsinstrumente kann aber kostenintensiv sein und in Teilen zudem der aufsichtsbehördlichen Genehmigung bedürfen. Da derzeit auch die Auswirkungen des Safe-Harbor-Urteils auf diese Rechtsinstrumente diskutiert werden, ist die weitere Entwicklung – dabei insbesondere Stellungnahmen von Aufsichtsbehörden – aufmerksam zu beobachten.

Was sollten Unternehmen jetzt tun?

Das Safe-Harbor-Urteil des EuGH ist für Unternehmen von Bedeutung, die (auch) auf US-amerikanische IT-Ressourcen zurückgreifen. Es sollte zunächst analysiert werden, welche Daten und welche Leistungen eines US-Anbieters überhaupt unter Safe Harbor fallen. Sodann ist rechtlich zu prüfen, ob die Daten noch auf Basis anderer Rechtsinstrumente – wie zum Beispiel der EU-Standardvertragsklauseln – an diesen Anbieter übermittelt werden können. Auf Basis dieser Ergebnisse sind schließlich Lösungen für eine datenschutzrechtliche Compliance zu entwickeln und die Entscheidungen für die Anbieter- und Standortwahl zu treffen.

Für Unternehmen ist das Safe-Harbor-Urteil hierbei ein weiterer Grund, verstärkt auf die Nutzung von Cloud-Ressourcen in der EU zu setzen. Eine datenschutzrechtliche Compliance ist aber ein komplexes Thema und hängt von den konkreten Umständen der Datenverarbeitung ab. Daher bedarf es stets einer genauen rechtlichen Betrachtung der jeweiligen Datenverarbeitungsszenarien eines Unternehmens.

Was ist das EU-US-Privacy-Shield?

Laut dem neuen EU-US-Privacy-Shield, auf das sich EU-Kommission und USA verständigt haben, soll das US-Handelsministerium die amerikanischen Unternehmen überwachen, die Daten aus Europa verarbeiten. Eine Ombudsperson soll Beschwerden von EU-Bürgern entgegennehmen, wenn ihre persönlichen Daten für Geheimdienstzwecke genutzt werden. Einmal im Jahr sollen die EU und die USA gegenseitig prüfen, ob die getroffenen Vereinbarungen eingehalten werden.

Das neue Abkommen ist ohne Frage ein Schritt in Richtung mehr Rechtssicherheit für Unternehmen. Doch es ist noch zu unkonkret und unausgegoren: Der genaue Text des Abkommens steht noch aus – er soll in den kommenden Wochen austariert werden. Mit Blick auf die Ombudsperson ist es wenig realistisch, dass sie – wenn sie denn Beschwerden erhält – effektiven Rechtsschutz gewährleisten kann. Unternehmen müssen außerdem fürchten, dass das neue Abkommen im Fall einer Klage wieder vom Europäischen Gerichtshof (EuGH) gekippt wird. Denn schon jetzt monieren Datenschützer, dass das neue Abkommen den Anforderungen aus dem EuGH-Urteil nicht gerecht wird.