Safe Harbor gilt nicht mehr: Konsequenzen für deutsche Unternehmen

Unternehmen, die bisher das Safe-Harbor-Abkommen zwischen EU und USA als Rechtsgrundlage für die Übertragung personenbezogener Daten in US-Clouds genutzt haben, müssen umgehend prüfen, ob ihre Datenübermittlung auf eine neue rechtliche Basis gestellt werden kann. Andernfalls liegt ein Verstoß gegen das Datenschutzrecht vor.

Der sichere Hafen ist (erst einmal) am Ende. Eine der wesentlichen Rechtsgrundlagen für die Übermittlung personenbezogener Daten in die USA und damit für die Nutzung entsprechender Cloud-Services in den USA ist durch ein Urteil des Europäischen Gerichtshofes (EuGH) aufgehoben.

Wie der Europäische Gerichtshof (EuGH) meldete, erklärt er „die Entscheidung der Kommission, in der festgestellt wird, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig“. Das Safe-Harbor-Abkommen ist damit Vergangenheit, im Gegensatz dazu ist die vielfältige Nutzung von Cloud-Diensten aus den USA für viele deutsche Firmen Unternehmensalltag. Es stellt sich die Frage, wie die deutschen Nutzer von US-Clouds nun reagieren müssen.

Datenschutz (Bild: Shutterstock)

Deutsche Aufsichtsbehörden zweifeln seit langem an Safe-Harbor

Auch wenn die Aufregung bei Cloud-Nutzern nun groß ist und sich die Meldungen zum Ende des Safe-Harbor-Abkommens fast überschlagen: Aus Sicht der deutschen Aufsichtsbehörden war das Safe-Harbor-Abkommen schon seit Jahren keine verlässliche Grundlage für die Datenübermittlung in die USA. Nachdem nun das EuGH festgestellt hat, dass die EU-Kommission das Prüfrecht der nationalen Datenschutzbehörden nicht beschränken kann, die Entscheidungen der deutschen Aufsichtsbehörden also zum Tragen kommen, ist es mehr als empfehlenswert, die entsprechende Entschließung der Aufsichtsbehörden mit den eigenen Cloud-Vereinbarungen abzugleichen.

Die Datenschutzanforderungen, die auch bei Datenübermittlung in ein Land außerhalb des EU/EWR-Raumes zu beachten sind, sind eindeutig: Die Zweckbindung der Daten ist grundsätzlich sicherzustellen. Staatliche Zugriffsmöglichkeiten müssen auf ein angemessenes und grundrechtskonformes Maß begrenzt bleiben. Den Betroffenen ist ein effektiver Anspruch auf Auskunft und auf Berichtigung bzw. Löschung falscher bzw. unzulässig gespeicherter Daten zu gewähren. Bei Verstößen bedarf es eines effektiven Rechtsschutzes. Formelle und sprachliche Barrieren dürfen nicht dazu führen, dass die Betroffenen ihre Rechte nicht wahrnehmen können.

Die Suche nach neuen Wegen beginnt

Jeder Betrieb, der Dienstleister wie etwa Cloud-Anbieter aus den USA nutzt, der einen Mutter- oder Tochterkonzern mit Sitz in den USA hat oder dort Leistungen anbietet, muss prüfen, ob diese Datentransfers auch zukünftig zulässig sind, so der Landesdatenschutzbeauftragte von Rheinland-Pfalz. Denn ein Großteil der Unternehmen habe sich dabei auf die Safe-Harbor-Entscheidung der EU-Kommission verlassen und stehe jetzt vor der schwierigen Frage, ob und wie er weiterhin mit Partnerbetrieben in den USA zusammenarbeiten kann. Man müsse nach neuen Wegen suchen. Dazu könne auch zählen, dass Unternehmen zukünftig verstärkt auf europäische Dienstleister zurückgreifen und Datenübermittlungen in die USA einschränken müssen.

Rechtliche Alternativen müssen geprüft werden

Vertreter der EU-Kommission haben bereits signalisiert, dass man nun umgehend ein neues Abkommen anstrebe. Ob ein neues Safe-Harbor-Abkommen unter Beachtung des aktuellen EuGH-Urteils gelingt, bezweifeln allerdings verschiedene Rechtsexperten. „Die in der Urteilsbegründung angesprochenen Grundrechte sind nicht verhandelbar. Wenn sich also in den USA nichts Grundsätzliches ändert, dürfte es für die EU-Kommission schwierig bis unmöglich werden, eine neue, rechtssichere Safe-Harbor-Regelung oder sogar ein entsprechendes Abkommen mit den USA auszuhandeln“, so zum Beispiel der Chefjustiziar des japanischen IT-Sicherheitsanbieters Trend Micro in Europa.

Nach Bundesdatenschutzgesetz (§ 4b BDSG) ist die Übermittlung personenbezogener Daten ins Ausland sowie an über- oder zwischenstaatliche Stellen verboten, wenn der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn bei den Stellen im Ausland ein angemessenes Datenschutzniveau nicht gewährleistet ist. In der Begründung des EuGH-Urteils wird aber genau dieses Datenschutzniveau in den USA als unzureichend erklärt.

Safe-Harbor war nicht die einzige Grundlage

Die meisten Unternehmen in Deutschland dürften die Datenübermittlung in die USA auf Basis des Safe-Harbor-Abkommens vorgenommen haben, denn die rechtlichen Alternativen sind durchaus anspruchsvoll. In der Orientierungshilfe Cloud Computing haben die deutschen Aufsichtsbehörden ausgeführt, dass bei unzureichendem Datenschutzniveau durch den Cloud-Anwender als verantwortliche Stelle ausreichende Garantien zum Schutz des allgemeinen Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorgewiesen werden müssen. Die Garantien können sich aus Standardvertragsklauseln oder aus Binding Corporate Rules (BCR) ergeben. Diese rechtlichen Werkzeuge werden aber gerade kleine und mittelständische Unternehmen überfordern.

Ein weiterer, kritischer Punkt: Ob Binding Corporate Rules oder die Standard-Vertragsklauseln der EU-Kommission für ein ausreichendes Datenschutzniveau bei Datenübermittlung in die USA sorgen können, wird von verschiedenen Juristen angezweifelt. Schließlich bestehe die Verpflichtung der US-Unternehmen, US-Behörden Zugriff einzuräumen, auch bei solchen Vertragswerken. Da die rechtlichen Alternativen zum Safe-Harbor-Abkommen womöglich auch die nun anstehende Prüfung durch nationale Datenschutzbehörden nicht standhalten, sollten neben den rechtlichen Bemühungen auch die technisch-organisatorischen Maßnahmen bei den deutschen Unternehmen als Cloud-Nutzer nicht fehlen. Dazu zählen Maßnahmen wie eine Verschlüsselung der Cloud-Daten, die unabhängig von dem Cloud-Anbieter erfolgt und von diesem auch nicht umgangen werden kann.

Parallel zu den Maßnahmen der nationalen Aufsichtsbehörden nach dem Ende des Safe-Harbor-Abkommens sollten deutsche Unternehmen ihre Cloud-Daten also technisch und organisatorisch schützen und die aktuelle rechtliche Situation ihrer Datenübermittlung in die USA genau hinterfragen. Wichtig ist es dabei, die weiteren Empfehlungen der Datenschutzbehörden innerhalb der EU zu beachten und die Verhandlungen zwischen EU und USA im Auge zu behalten.