zurück Blog
mod IT Blog Safe Harbor wird zum EU US Privacy Shield

Safe Harbor wird zum EU US Privacy Shield

Der aktuelle Stand der EU-Verhandlungen und wie die deutschen Datenschutzbehörden dazu stehen

 

In diesen Tagen ist das Safe-Harbor-Abkommen erneut in den Schlagzeilen. Denn Ende Januar lief die Frist ab, die die europäischen Datenschutzbeauftragen den Unternehmen eingeräumt hatten, um ihren Datentransfer mit den USA auf eine neue rechtliche Basis zu stellen. Doch wie geht es nun weiter?     

Ein kurzer Rückblick – EuGH kippt Safe Harbor

Im Oktober letzten Jahres gibt der Europäische Gerichtshof (EuGH) einer entsprechenden Klage statt und erklärt das Safe-Harbor-Abkommen für ungültig. Diese Vereinbarungen regelten bis dato die transatlantische Übertragung und Verarbeitung personenbezogener Daten zwischen Unternehmen. Datenschützer munierten schon länger, dass das Abkommen den amerikanischen Behörden zu viele Befugnisse einräume und es dem europäischen Datenschutzniveau in keiner Weise gerecht werde. Mit dem Urteil entzog der EuGH allen auf Safe Harbour basierenden Datentransfers nun die rechtliche Grundlage. Für Datenschützer ein großer Erfolg, für viele Unternehmen zugleich eine große Herausforderung.

Der aktuelle Stand der Verhandlungen

In einer gemeinsamen Stellungnahme räumten die europäischen Datenschutzbehörden den Unternehmen eine Frist bis Ende Januar 2016 ein, um ihre Datenkommunikation mit US-Unternehmen zu prüfen und gegebenenfalls zu überdenken. In der Zwischenzeit verhandelte die EU-Kommission mit der US-Regierung, um ein Nachfolge-Abkommen zu schaffen. Jetzt, Anfang Februar, verkündeten die Verhandlungspartner dann auch einen aus ihrer Sicht erfolgreichen Abschluss: Safe Harbor 2.0 trägt den Namen „EU US Privacy Shield“. Geplant ist, dass das US-Handelsministerium künftig Firmen überwacht, die Daten aus Europa verarbeiten. Die amerikanischen Justiz- und Sicherheitsbehörden sollen hierfür die Aufsicht übernehmen. Sowohl die EU als auch die US-Regierung wollen die Umsetzung der Vereinbarungen jährlich überprüfen und die Ergebnisse in einem Bericht veröffentlichen. Ein von der US-Regierung eingesetzter Ombudsmann werde sich künftig zudem um Beschwerden bezüglich des Datenschutzes kümmern.

Datenschützer kritisieren die neuen Regelungen und bezeichnen sie als völlig unzureichend. Viele zweifeln, dass es möglich sei, als ein in Europa ansässiges Unternehmen seine Rechte in den USA durchzusetzen. Ob das neue Abkommen die EU-Anforderungen an Datenschutz erfüllt, konnten die europäischen Datenschutzbeauftragten nach ihrer Sitzung letzte Woche noch nicht eindeutig sagen. Man prüfe noch, hieß es aus Brüssel.

Was Unternehmen konkret tun sollten

Die nächsten Wochen werden also spannend bleiben. Dennoch brauchen Unternehmen schon jetzt konkrete Handlungsempfehlungen, wollen sie sich nicht der Gefahr aussetzen, widerrechtlichen Datentransfer zu betreiben. Ich möchte Ihnen deshalb einige Ratschläge aus erster Hand weitergeben: Jörg Hagen ist Unternehmens- und Datenschutzberater und nahm Mitte Januar an einer Diskussionsrunde der Datenschutzaufsichtsbehörde Niedersachsen teil. Er rät Unternehmen dringend zu einer Bestandsaufnahme, um herauszufinden, ob und an welchen Stellen die Kommunikation von Safe Harbor betroffen ist.

Jörg Hagen empfiehlt, diese Bestandaufnahme durchaus detailreich zu gestalten: Gibt es Datentransfers in die USA? Innerhalb welcher Prozesse findet dieser statt? Werden personenbezogene Daten übertragen? Und wenn ja, handelt es sich um Kundendaten? Wäre es prinzipiell möglich, das Einverständnis der Kunden einzuholen? Gibt es Zusatzvereinbarungen mit den amerikanischen Geschäftspartnern, auf deren Basis die Daten ausgetauscht werden? Dies können beispielsweise die EU-Standardvertragsklauseln oder spezifisch ausgehandelte Corporate Binding Rules (CBR) sein. Wichtig ist schließlich die Beurteilung der Lage auf der Grundlage dieser Bestandsaufnahme und die Beantwortung der Frage, ob von Safe Harbor betroffene Datentransfers eingestellt oder auf einen neue rechtliche Grundlage gestellt werden können oder sogar müssen.

Momentan, so Jörg Hagen, sei zwar Safe Harbor außer Kraft, die EU-Standardvertragsklauseln sind jedoch weiterhin rechtlich bindend. Dies könne sich zwar künftig ändern, so recht seien die weiteren Entwicklungen aber noch nicht absehbar. Wichtig außerdem: Wer bereits CBRs mit einem Geschäftspartner ausgehandelt hat – hierfür müssen die Aufsichtsbehörden einbezogen worden sein –, kann zunächst weiter auf dieser Basis arbeiten. Neue CBRs genehmigen die Behörden jedoch derzeit aufgrund der unsicheren Rechtslage nicht. Als schnelle Alternative taugen CBRs aber ohnehin nicht, denn oft dauern die Verhandlungen diesbezüglich mehrere Monate.

Wie die Datenaufsichtsbehörden mit der Situation in den nächsten Wochen umgehen werden, ist noch nicht klar. Unternehmen sollten jedoch auf mögliche Nachfragen vorbereitet sein und ihre Datenkommunikation mit den USA genau prüfen und, wenn nötig, nach technischen Lösungen, wie zum Beispiel der Verschlüsselung der Daten, suchen oder auf die EU-Standardvertragsklauseln ausweichen.

 

Offizielle Informationen:

Pressemeldung des Gerichtshofs der Europäischen Union zum Safe-Harbor-Urteil (vom 6. Oktober 2015, deutsch): http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117de.pdf

Positionspapier der deutschen Datenschutzkonferenz, in der die Übergangsfrist bis 31. Januar empfohlen wird (vom 26. Oktober 2015, deutsch): https://www.datenschutz.hessen.de/ft-europa.htm#entry4521

Guidelines der EU-Kommission für Unternehmen über die Möglichkeiten des transatlantischen Datentransfers (vom 6. November 2015, englisch): http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/files/eu-us_data_flows_communication_final.pdf

Stellungnahme der EU-Kommission zum derzeitigen Verhandlungsstand zum „EU US Privacy Shield“ (vom 2. Februar 2016, englisch): http://europa.eu/rapid/press-release_IP-16-216_en.htm

 

Bildnachweis: European Commission

Wenn Ihnen dieser Artikel gefällt, sagen Sie es weiter!
1 Star2 Stars3 Stars4 Stars5 Stars (2 votes, average: 5,00 out of 5)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

mod IT Blog On Premise war gestern – das neue Arbeiten in der Cloud

On Premise war gestern – das neue Arbeiten in der Cloud

Office 365 stellt Technik und Mitarbeiter auf die Probe. Lohnt sich der Aufwand? Seit gut fünf Jahren bietet Microsoft seinen bestehenden und potentiellen Kunden die Office-Lösungen als Cloud-Variante an. Die Vorteile eines Umstiegs auf Office […]

mehr
Ein Schwachstellenscan ist mehr als nur ein Scan mehr
In den Unternehmen ist Blackberry wieder eine Macht mehr
Windows 10: Wie Sie die Datenschutz-Einstellungen ändern können mehr
Wann hatten Sie Ihre letzte Datenpanne? mehr

AKTUELLE ARTIKEL

06.02.2018 – 16 Unternehmen in Göttingen und Northeim top – aber Personalnot droht mehr
01.12.2017 – Arbeitgeber des Mittelstands 2018 mehr
21.12.2017 – FOCUS BUSINESS bewertet die besten Arbeitgeber im Mittelstand: mod IT Services auf Platz 2 in Niedersachsen mehr
mod wünscht fröhliche Weihnachten mehr