zurück Blog
mod IT Blog Safe Harbor wird zum EU US Privacy Shield

Safe Harbor wird zum EU US Privacy Shield

Der aktuelle Stand der EU-Verhandlungen und wie die deutschen Datenschutzbehörden dazu stehen

 

In diesen Tagen ist das Safe-Harbor-Abkommen erneut in den Schlagzeilen. Denn Ende Januar lief die Frist ab, die die europäischen Datenschutzbeauftragen den Unternehmen eingeräumt hatten, um ihren Datentransfer mit den USA auf eine neue rechtliche Basis zu stellen. Doch wie geht es nun weiter?     

Ein kurzer Rückblick – EuGH kippt Safe Harbor

Im Oktober letzten Jahres gibt der Europäische Gerichtshof (EuGH) einer entsprechenden Klage statt und erklärt das Safe-Harbor-Abkommen für ungültig. Diese Vereinbarungen regelten bis dato die transatlantische Übertragung und Verarbeitung personenbezogener Daten zwischen Unternehmen. Datenschützer munierten schon länger, dass das Abkommen den amerikanischen Behörden zu viele Befugnisse einräume und es dem europäischen Datenschutzniveau in keiner Weise gerecht werde. Mit dem Urteil entzog der EuGH allen auf Safe Harbour basierenden Datentransfers nun die rechtliche Grundlage. Für Datenschützer ein großer Erfolg, für viele Unternehmen zugleich eine große Herausforderung.

Der aktuelle Stand der Verhandlungen

In einer gemeinsamen Stellungnahme räumten die europäischen Datenschutzbehörden den Unternehmen eine Frist bis Ende Januar 2016 ein, um ihre Datenkommunikation mit US-Unternehmen zu prüfen und gegebenenfalls zu überdenken. In der Zwischenzeit verhandelte die EU-Kommission mit der US-Regierung, um ein Nachfolge-Abkommen zu schaffen. Jetzt, Anfang Februar, verkündeten die Verhandlungspartner dann auch einen aus ihrer Sicht erfolgreichen Abschluss: Safe Harbor 2.0 trägt den Namen „EU US Privacy Shield“. Geplant ist, dass das US-Handelsministerium künftig Firmen überwacht, die Daten aus Europa verarbeiten. Die amerikanischen Justiz- und Sicherheitsbehörden sollen hierfür die Aufsicht übernehmen. Sowohl die EU als auch die US-Regierung wollen die Umsetzung der Vereinbarungen jährlich überprüfen und die Ergebnisse in einem Bericht veröffentlichen. Ein von der US-Regierung eingesetzter Ombudsmann werde sich künftig zudem um Beschwerden bezüglich des Datenschutzes kümmern.

Datenschützer kritisieren die neuen Regelungen und bezeichnen sie als völlig unzureichend. Viele zweifeln, dass es möglich sei, als ein in Europa ansässiges Unternehmen seine Rechte in den USA durchzusetzen. Ob das neue Abkommen die EU-Anforderungen an Datenschutz erfüllt, konnten die europäischen Datenschutzbeauftragten nach ihrer Sitzung letzte Woche noch nicht eindeutig sagen. Man prüfe noch, hieß es aus Brüssel.

Was Unternehmen konkret tun sollten

Die nächsten Wochen werden also spannend bleiben. Dennoch brauchen Unternehmen schon jetzt konkrete Handlungsempfehlungen, wollen sie sich nicht der Gefahr aussetzen, widerrechtlichen Datentransfer zu betreiben. Ich möchte Ihnen deshalb einige Ratschläge aus erster Hand weitergeben: Jörg Hagen ist Unternehmens- und Datenschutzberater und nahm Mitte Januar an einer Diskussionsrunde der Datenschutzaufsichtsbehörde Niedersachsen teil. Er rät Unternehmen dringend zu einer Bestandsaufnahme, um herauszufinden, ob und an welchen Stellen die Kommunikation von Safe Harbor betroffen ist.

Jörg Hagen empfiehlt, diese Bestandaufnahme durchaus detailreich zu gestalten: Gibt es Datentransfers in die USA? Innerhalb welcher Prozesse findet dieser statt? Werden personenbezogene Daten übertragen? Und wenn ja, handelt es sich um Kundendaten? Wäre es prinzipiell möglich, das Einverständnis der Kunden einzuholen? Gibt es Zusatzvereinbarungen mit den amerikanischen Geschäftspartnern, auf deren Basis die Daten ausgetauscht werden? Dies können beispielsweise die EU-Standardvertragsklauseln oder spezifisch ausgehandelte Corporate Binding Rules (CBR) sein. Wichtig ist schließlich die Beurteilung der Lage auf der Grundlage dieser Bestandsaufnahme und die Beantwortung der Frage, ob von Safe Harbor betroffene Datentransfers eingestellt oder auf einen neue rechtliche Grundlage gestellt werden können oder sogar müssen.

Momentan, so Jörg Hagen, sei zwar Safe Harbor außer Kraft, die EU-Standardvertragsklauseln sind jedoch weiterhin rechtlich bindend. Dies könne sich zwar künftig ändern, so recht seien die weiteren Entwicklungen aber noch nicht absehbar. Wichtig außerdem: Wer bereits CBRs mit einem Geschäftspartner ausgehandelt hat – hierfür müssen die Aufsichtsbehörden einbezogen worden sein –, kann zunächst weiter auf dieser Basis arbeiten. Neue CBRs genehmigen die Behörden jedoch derzeit aufgrund der unsicheren Rechtslage nicht. Als schnelle Alternative taugen CBRs aber ohnehin nicht, denn oft dauern die Verhandlungen diesbezüglich mehrere Monate.

Wie die Datenaufsichtsbehörden mit der Situation in den nächsten Wochen umgehen werden, ist noch nicht klar. Unternehmen sollten jedoch auf mögliche Nachfragen vorbereitet sein und ihre Datenkommunikation mit den USA genau prüfen und, wenn nötig, nach technischen Lösungen, wie zum Beispiel der Verschlüsselung der Daten, suchen oder auf die EU-Standardvertragsklauseln ausweichen.

 

Offizielle Informationen:

Pressemeldung des Gerichtshofs der Europäischen Union zum Safe-Harbor-Urteil (vom 6. Oktober 2015, deutsch): http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117de.pdf

Positionspapier der deutschen Datenschutzkonferenz, in der die Übergangsfrist bis 31. Januar empfohlen wird (vom 26. Oktober 2015, deutsch): https://www.datenschutz.hessen.de/ft-europa.htm#entry4521

Guidelines der EU-Kommission für Unternehmen über die Möglichkeiten des transatlantischen Datentransfers (vom 6. November 2015, englisch): http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/files/eu-us_data_flows_communication_final.pdf

Stellungnahme der EU-Kommission zum derzeitigen Verhandlungsstand zum „EU US Privacy Shield“ (vom 2. Februar 2016, englisch): http://europa.eu/rapid/press-release_IP-16-216_en.htm

 

Bildnachweis: European Commission

1 Star2 Stars3 Stars4 Stars5 Stars (2 votes, average: 5,00 out of 5)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

Wann hatten Sie Ihre letzte Datenpanne? mehr
Penetrationstests: Professionelle Angriffsszenarien im Workshop selbst durchführen mehr
So gestalten Sie die Rollout-Logistik erfolgreich mehr
Penetrationstest vs. Schwachstellenscan: Wann Sie die richtige Wahl treffen mehr

AKTUELLE ARTIKEL

IT-ServiceDesk Agent

IT-ServiceDesk Agent m/w

Wir suchen ab sofort und unbefristet für unseren Standort in Einbeck einen IT-ServiceDesk Agent m/w. Ihr Schwerpunkt: IT Service / IT Administration First- und Second-Level-Support   Ihr Job: Im Single Point of Contact 1st- und […]

mehr
Ein Schwachstellenscan ist mehr als nur ein Scan mehr
IT-Sicherheitsgesetz: Vage Verordnung oder konkrete Anweisung? mehr
Penetration Tester m/w mehr
On Premise war gestern – das neue Arbeiten in der Cloud mehr