Safe Harbor-Urteil: Rote Karte für Datenschutz in USA

Der EuGH hat das so genannte “Safe-Habor-Abkommen” zwischen der EU und den USA für nichtig erklärt. Die Vereinbarung geht auf eine Entscheidung der Europäischen Kommission aus dem Jahr 2000 zurück und legt fest, dass personenbezogene Daten von Bürgern der EU in die USA übertragen werden dürfen, weil der Datenschutz dort ausreichend sichergestellt ist. Der EuGH hat nun aber anders entschieden und erklärt damit die USA zu einem in Bezug auf das Datenschutzniveau nicht mehr sicheren Drittland: Angesichts der Zugriffsmöglichkeiten der US-Behörden seien personenbezogene Daten im Sinne von “Safe Harbor” nicht mehr in ausreichendem Maß geschützt.

Nun schlagen vor allem juristische Diskussionen Wellen und es gilt Fragen zu klären wie: welche Konsequenzen hat dieses Urteil und welche rechtmäßigen Alternativen gibt es für den Transfer personenbezogener Daten zwischen der EU und den USA. Derweil drängen die USA darauf, schnellstmöglich eine Nachfolgevereinbarung zu “Safe Harbor” zu schließen. All diese Maßnahmen greifen aber nicht von jetzt auf gleich, so dass zunächst vor allem eines entsteht: Unsicherheit, vor allem für US-Internetkonzerne, aber auch für kleinere deutsche bzw. europäische Firmen, die auf US-Dienste zurückgreifen.

Um dieser Unsicherheit entgegenzuwirken: Für alle, die ihre Unternehmensanwendungen innerhalb Deutschlands und der EU nutzen, besteht kein Handlungsbedarf. Etwas anders sieht es aus, wenn Unternehmen für ihr Business US-Dienste nutzen, wie z.B. Facebook (hier etwa Gruppen für einen geschlossenen Austausch), Linkedin, Googles Apps für Kommunikation und Zusammenarbeit, aber auch Microsofts Cloud-Dienst Office 365. Je nach Art und Inhalt der Kommunikation mit anderen Personen über solche Systeme können personenbezogene Daten anfallen, auf die die US-Unternehmen und US-Behörden Zugriff haben. Nach dem Wegfall von Safe Harbor gibt es für diese Datenübermittlung nun keine Rechtsgrundlage und keine Rechtssicherheit mehr. Streng genommen handelt es sich bis auf Weiteres um einen Verstoß gegen geltendes Datenschutzrecht.

Das Urteil des EuGH hat durchaus das Potenzial für weitreichende Folgen und Veränderungen, die momentan noch nicht absehbar sind. Wir verfolgen das Thema für Sie weiter und werden berichten.

Bild:
Auf der Grundlage von: Wikimedia Commons. By Buonasera (Rechteinhaber und eigenes Foto) (CC BY-SA 3.0).

Legal, SaaS