Am 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) das Safe Harbor Abkommen zwischen der EU und den USA für ungültig erklärt. Diese Entscheidung wird sich folglich direkt auf den Datenschutz auswirken. In welchem Maße Online Unternehmen betroffen sind und was diese nun konkret tun sollen, dass erfahren Sie hier.
Das Safe Harbor Abkommen
Safe Harbor ist eine von der Europäischen Kommission mit den USA abgestimmte Entscheidung, die die Weitergabe von personenbezogenen Daten aus den EU-Mitgliedsstaaten in die USA regelt.
Hintergrund für diese Entscheidung bildet die Datenschutzrichtlinie 95/46/EG. Diese untersagt grundsätzlich die Übermittlung von personenbezogenen Daten aus der EU in Ländern, dessen Datenschutzbestimmung kein gleichwertiges Schutzniveau aufweist. Zu diesen Staaten gehören auch die USA. Damit der Datenverkehr zwischen den USA und der EU nicht zum Erliegen kommt, wurde dahingehend zwischen 1998 und 2000 ein Abkommen ausgehandelt.
Hierbei können sich US-amerikanische Unternehmen in eine entsprechende Liste des US-Handelsministeriums eintragen lassen. Mit der Eintragung erklären sich die US-Unternehmen gleichzeitig einverstanden, die Prinzipien des EU-Datenschutzrechtes zu akzeptieren. Bislang haben sich rund 5.000 Unternehmen in diese Liste eingetragen. Die Eintragung in diese bildet die Voraussetzung um ins Safe Harbor aufgenommen zu werden.
Das Problem der Übermittlung von personenbezogenen Daten in die USA liegt vor allem in dem möglichen Datenmissbrauch. Nicht nur Unternehmen können die Daten für Fremdzwecke verwenden, sondern es können auch Dritte, darunter Cyber-Kriminelle und Geheimdienste, auf die sensiblen Daten zugreifen und sie für eigene Zwecke missbrauchen. Die Enthüllungen von Edward Snowden zeigen, dass insbesondere die US-Geheimdienste versuchen, Zugang zu diesen Daten zu erhalten. Dies wiederum verletzt die Standards des Safe Harbor Abkommens. Unter anderem aus diesem Grund wurde das gesamte Abkommen nun für ungültig erklärt.
Die Folgen der Rechtsprechung des EuGH in Bezug auf Safe Harbor
Die digitale Vernetzung zwischen der EU und den USA ist außerordentlich groß. Sowohl europäische Unternehmen und Privatpersonen nutzen intensiv die Dienste US-amerikanischer Unternehmen, darunter Technologieunternehmen wie Microsoft, IBM, Google, Amazon und Apple, aber auch andere digitale Plattformen wie Social Media Kanäle und Clouddienste.
Sowohl auf Unternehmen als auch auf Privatpersonen wird die Entscheidung des EuGHs direkte Auswirkungen haben. Insbesondere Unternehmer, die Unternehmens- oder Kundendaten in die USA transferieren, sind von der EuGH-Entscheidung zum Safe Harbor Abkommen betroffen.
Ein konkretes Beispiel: Wenn Unternehmer und Privatpersonen Social Plugins auf Webseiten einbinden, Analyse-Tools wie Google Analytics verwenden oder Kundendaten in US-amerikanische Cloudienste speichern, dann handeln diese nach dem Urteil des EuGHs rechtswidrig, sofern keine spezielle Vereinbarung zwischen Dienstleister und Nutzer getroffen wurde. Dies ist jedoch in den wenigsten Fällen der Fall.
Für US-Unternehmen, die Nutzerdaten aus der EU in die USA beispielsweise zur Muttergesellschaft transferieren oder Datengeschäfte in der EU machen, heißt es erstmal, dass sie wirtschaftlich beeinträchtigt werden. US-amerikanische Firmen und Politiker üben verständlicherweise daher Kritik an der Entscheidung zum Safe Harbor.
EU-Unternehmen stehen in der Pflicht auf diese Entwicklung zu reagieren
Für EU-Unternehmen heißt es hingegen, dass Abmahnungen jetzt theoretisch wahrscheinlicher sind. Ob es zu einer größeren Abmahnungswelle kommt wird, liegt vor allem daran, ob die jeweiligen Datenschutzbehörden genügend Kapazitäten hätten. Dies scheint erstmal unwahrscheinlich, so sind bislang keine Pläne bekannt, dass die ohnehin knappen finanziellen und personellen Mittel aufgestockt werden.
Unternehmer und Privatpersonen sollten dennoch gewarnt sein und die jüngste Entwicklung nicht komplett ignorieren. Die betreffenden Akteure sollten auf jeden Fall aktiv werden. Ein noch genauerer Blick auf die Datenschutzvorschriften ist unabdingbar. Datenschutzexperten empfehlen, EU- statt US-Anbieter zu wählen bzw. zu US-Anbietern greifen, die ADV-Verträge anbieten. Firmen wie Microsoft und Amazon Web Services beispielsweise bieten solche Verträge an. Auch sollten Unternehmer darauf achten, die eigenen Daten in Europa statt in den USA zu verarbeiten.