Was ist mit Safe Harbor 1.0 passiert?
Am 06.10.2015 hat für einige der größte Durchbruch der letzten Jahrzehnte im Datenschutz stattgefunden und für andere endlich die langjährige bewußte Selbsttäuschung ein Ende gefunden. Die Rede ist vom sogenannten Safe Harbor Urteil des Europäischen Gerichtshofs. Vollkommen zu Recht hat der EuGH dieses Zulässigkeitsverfahren für Datenübermittlungen in die USA in Frage gestellt und am Ende für nichtig erklärt. Wer sich mit den Hintergründen befasst hat, ist davon wenig überrascht.
Was jedoch in der Praxis in den ersten Wochen der Unsicherheit nach diesem Urteil nun stattfand, war teilweise purer marktschreierischer Aktionismus gepaart mit einer gehörigen Portion Weltfremdheit.
06.10.2015 Das Safe Harbor Urteil des Europäischen Gerichtshofs
Jede Datenübermittlung benötigt eine rechtliche Grundlage zur Zulässigkeit. Dies schreiben unsere deutschen und europäischen Datenschutzgesetze so vor. Zur vereinfachten Legitimation von Übermittlungen personenbezogener Daten in die USA durch europäische Unternehmen wurde vor 15 Jahren (also auch lange vor dem NSA Skandal) Safe Harbor ins Leben gerufen. Der “sichere Hafen” definierte Richtlinien zum Datenschutz und zur Datensicherheit, unter denen die Übermittlung personenbezogene Daten in die USA als zulässig eingestuft wurde. Amerikanische Anbieter konnten sich diesen Richtlinien unterwerfen und an zentraler Stelle dies dokumentieren lassen. Eine Überprüfung, ob die geforderten Standards wirklich in die Tat umgesetzt waren, fand nicht statt. Alleine schon deswegen stand dieses Verfahren von Anfang an unter Beschuss seitens Vertretern des Datenschutzes.
Zusätzlich bot Safe Harbor keinen Schutz vor US-geheimdienstlichen Zugriffen auf Daten deutscher / europäischer Bürger, selbst wenn deren Daten in europäischen Rechenzentren dieser amerikanischen Unternehmen gespeichert waren.
Diesem Umstand trug der EuGH in seinem Urteil vom 06.10.2015 Rechnung und hat Safe Harbor für unzulässig erklärt. In der Urteilsbegründung wurde weiterhin die Autonomie der Datenschutzbehörden der Mitgliedsländer in dieser Sache bekräftigt. Und ab hier wird es bunt …
Die Bundesbeauftragte für Datenschutz und Informationssicherheit spricht von einem “Meilenstein für den Datenschutz”.
Das ULD postulierte “Das ULD wird prüfen, ob Anordnungen gegenüber nichtöffentlichen Stellen getroffen werden müssen, auf deren Basis Datenübermittlungen in die USA ausgesetzt oder verboten werden müssen.”
Recht blauäugig reagiert hingegen die EU Kommission, die für das bisherige Safe Harbor Verfahren verantwortlich zeichnet. Das Urteil wird als “Weiter so” betrachtet, in Form von Neuverhandlungen zu Safe Harbor. Bis diese nicht abgeschlossen sind, wäre kein Grund zum Handeln laut der Kommission.
Doch es gibt auch Erfreuliches zu berichten
Die Artikel 29 Gruppe (der Zusammenschluss der EU Datenschutzbeauftragten) zeigt hier etwas mehr Augenmaß. Sie sieht die Notwendigkeit einer gemeinsamem Linie in der weiteren Vorgehensweise. Bis dahin sollen zumindest die EU standard clauses für Rechtssicherheit bei den Unternehmen auf beiden Seiten des Atlantiks sorgen. Diese wurden vom EuGH nicht für unzulässig erklärt, obwohl sich die Kritik an Safe Harbor auch auf die clauses anwenden lässt.
Vera Jourova, EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung, äußerte sich vor kurzem in einer österreichischen Tageszeitung zuversichtlich, ein neues Safe Harbor Abkommen mit den USA schon bald abschließen zu können. Bei dem Nachfolger von Safe Harbor dürfte es sich tatsächlich um ein Abkommen handeln, nicht um eine einseitige Entscheidung der Kommission (mit einer der Kritikpunkte an der früheren Regelung).
„Idealerweise sollten wir uns über alle Streitfragen bis Mitte Jänner 2016 einigen“, so Vera Jourava im Interview. Das mag optimistisch klingen, aber der Druck auf beiden Seiten des Atlantiks ist enorm. Unternehmen in den USA und ihre Vertragspartner auf Seiten der EU müssen sich plötzlich mit den EU-Standardvertragsklauseln beschäftigen. Und auch diese stellen schlimmstenfalls nur eine Interimslösung dar.
Bis hierüber Klarheit herrscht, sollten bisherige Vereinbarungen zur Datenübermittlung, die sich ausschließlich auf Safe Harbor beziehen, auf die EU-Standardvertragsklauseln umgestellt werden. Die Erfahrungen der letzten Wochen zeigen, dass amerikanische Anbieter hier konstruktiv mitarbeiten und die Umstellung unterstützen. Ende Januar 2016 wird man sehen, was die Zukunft bringt. Die Zeit sollte man jedoch nicht ungenutzt verstreichen lassen. Denn rechtlich sind unsere deutschen Landesdatenschutzbehörden durchaus in der Lage, den “Stecker zu ziehen”.
Microsoft führt zur Zeit einen Musterprozess in den USA (2nd U.S. Circuit Court of Appeals, No. 14–2985). Das Unternehmen will die Herausgabe von personenbezogenen Daten an US-Behörden verhindern, die auf europäischen Servern gespeichert sind. Geht dieses Urteil zugunsten von Microsoft aus, wäre das ein wirklicher Paukenschlag. Im anderen Fall wird eine ganze Branche mit Giganten wie Microsoft, Apple, Google, Facebook & Co. schwer zu kämpfen haben. Das Wall Street Journal berichtet noch am Tag des Urteils über die Bemühungen amerikanischer Unternehmen, die personenbezogenen Daten europäischer und deutscher Bürger dem Zugriff der US-Behörden zu entziehen.
Was können Sie tun?
Trotz der Panikmache seitens der deutschen Landesdatenschutzbehörden hilft purer Aktionismus nicht weiter. Auch wenn sich deutsche und europäische Anbieter nun die Hände reiben, sie müssen sich an Leistung und Preis der transatlantischen Konkurrenz messen lassen. Und selbst den Datenschutzbehörden sollte klar sein, dass die Migration eines langjährig genutzten CRM Systems oder anderer elementarer Bausteine nicht auf Knopfdruck erfolgen kann, selbst wenn ein alternativer Anbieter gefunden wurde.
- Umschauen schadet nicht: Ob und wie eine Ersatzregelung für Safe Harbor gefunden werden kann, steht zur Zeit in den Sternen. Wer also personenbezogene Daten zu US-amerikanischen Anbietern überträgt und / oder deren Services nutzt, sollte zumindest den europäischen und deutschen Markt nach geeigneten möglichen Alternativen sondieren.
- Ausweichen auf die EU standard clauses: Noch sind diese nicht per Urteil außer Kraft gesetzt und können daher bis auf weiteres aus Sicht der Art.29-Gruppe als Legitimationsersatz dienen. Gerade Nutzer der Microsoft Cloudservices haben es hier relativ einfach, hat das Unternehmen doch mit seinen Regelungen den Segen der Art.29-Gruppe erhalten. Die Dokumente für die Microsoft Services finden Sie hier.
- Einwilligung der Betroffenen statt vertraglicher Regelungen mit den US-Unternehmen: Hier scheiden sich die Geister. Während beispielsweise der ehemalige Bundesdatenschutzbeauftragte Peter Schaar als einer von vielen eine sauber für diesen Zweck formulierte und eingeholte Einwilligung samt ausführlicher Information über die Risiken der Datenübermittlung in die USA oder an US-Unternehmen für zulässig hält, sehen das einige Landesdatenschutzbeauftragte anders. In deren Augen kann die Einwilligung — als eigentlich stärkstes Zulässigkeitsinstrument — dies nicht leisten.
- Kühlen Kopf bewahren: Bei aller Panikmache seitens der Schutzbehörden sollte das Thema nun ruhig und konzentriert angegangen werden. Beide Seiten des Atlantiks sind hier aufeinander angewiesen, gerade auch wirtschaftlich. Ganze Branchen können hier nicht wechselseitig aufeinander verzichten. Von daher steht zu erwarten, dass auf beiden Seiten Bewegung in die Sache kommen. Eine Garantie gibt es hierfür jedoch keine. Daher gilt wieder Punkt 1 “Umschauen schadet nicht” 🙂