Skip to content

safe harbor, solopreneur und datenschutz

Posted in datenschutz, and internetrecht

Das Ende von Safe Harbor – und nun?

Es hat wohl so ziemlich jeder mitbekommen. Der Europäische Gerichtshof (EuGH) hat am 06. Oktober das Safe Harbor-Abkommen mit Wirkung für die Zukunft für unwirksam erklärt.
Doch was heißt das nun in der Praxis vor allem für Dich als Solopreneur. Der Reihe nach.

Was ist Safe Harbor überhaupt?

Oder besser gefragt: was ist es eigentlich gewesen, da es ja nun nicht mehr greift.
Safe Harbor ist ein Datenabkommen zwischen der Europäischen Union und den USA. Es betrifft die Verarbeitung personenbezogener Daten, welche in Deutschland übrigens durch das Bundesdatenschutzgesetz einem besonderen Schutz unterliegen. Streng genommen ist Safe-Harbor gar kein Abkommen, sondern eine Entscheidung der Europäischen Kommission aus dem Jahre 2000. Diese Entscheidung war zuvor jedoch mit den USA abgestimmt worden, so dass daraus „umgangssprachlich“ das Safe Harbor-Abkommen oder der Safe-Harbor-Pakt wurde.
Mit Safe Harbor sollte es Unternehmen ermöglicht werden, personenbezogene Daten aus einem Land der EU in die USA zu übermitteln. Und zwar in Übereinstimmung mit dem europäischen Datenschutzrecht. Die US-Unternehmen konnten sich auf Basis des Abkommens verpflichten, sich den EU-Datenschutzstandards zu unterwerfen und erhielten eine sogenannte Safe Harbor-Zertifizierung. Mit dieser entsprachen sie dann- zumindest auf dem Papier- dem europäischen (Daten)Schutzniveau.

Was war der Hintergrund für das Safe Harbor-Abkommen?

Das Europäische Datenschutzrecht untersagt, dass personenbezogenen Daten aus EU-Mitgliedstaaten in Staaten übertragen werden, welche nicht dem europäischen Datenschutzstandard entsprechen. Dazu zählten (und zählen auch immer noch) die USA. Damit nun der Datenverkehr zwischen der EU und den USA nicht zum Erliegen kam, schuf man das Abkommen.

Was sagt das Urteil des EuGH zu Safe Harbor?

Zu der Entscheidung des EuGH ist es durch einen sogenannten Vorlagebeschluss eines irischen Gerichtes gekommen. Dieses hatte über eine Klage eines Mannes gegen die irische Datenschutzbehörde zu entscheiden. Dieser hatte bei der Behörde Beschwerde eingereicht und geltend gemacht, dass die USA das erforderliche Datenschutzniveau nicht erfülle und damit die Datenübermittlung auszusetzen sei. Konkret ging es um die Übermittlung von Daten durch Facebook in die USA.
Der EuGH hatte über die Frage, ob die nationalen Datenschutzbehörden die Datenübermittlung aussetzen dürften, wenn ein Drittland nicht das erforderliche Schutzniveau erfüllen, zu entscheiden. Im Rahmen dieser Entscheidung befasste sich der EuGH auch mit dem Safe Harbor-Abkommen und dessen Wirksamkeit. Das Gericht entschied daher Folgendes:

1. Die nationalen Datenschutzbehörden dürfen prüfen, ob die Datenübermittlung auszusetzen ist. Daran sind die Behörden auch nicht durch das Safe-Harbor-Abkommen gehindert. Denn die EU-Kommission habe nicht die Kompetenz, die Befugnisse der nationalen Behörden zu beschränken oder zu beseitigen. Über die Gültigkeit des Abkommens habe allein der Europäische Gerichtshof zu entscheiden.

Diese tat er dann auch sogleich und kam zu dem zweiten Teil seiner Entscheidung.

2. Das Safe Harbor-Abkommen läuft ins Leere. Denn die amerikanischen Unternehmen, welche sich ihm unterworfen haben, seien verpflichtet jederzeit Daten an die US-amerikanischen Sicherheitsbehörden herauszugeben und wären damit gezwungen, entgegen Safe Harbor zu handeln. Zumal in den USA keine Regelungen existierten, mit denen derartige Eingriffe begrenzt würden oder die Rechtschutz gegen derartige Maßnahmen eröffneten. Diese jedoch ist wesentlich für das Grundrecht auf Achtung des Privatlebens und des wirksamen gerichtlichen Rechtschutzes. Das Safe Harbor-Abkommen ist daher nach Ansicht des EuGH ungültig.

 

Was heißt das nun in der Praxis?

In der Praxis bedeutet das Urteil schlicht und einfach: die Übermittlung von personenbezogenen Daten in die USA rein auf Basis des Safe Harbor-Abkommens ist unzulässig und damit rechtswidrig.
Aber Hand auf’s Herz: hast Du jemals ernsthaft geprüft, ob Verträge oder AGB von in den USA ansässigen Unternehmen EU-datenrechtskonform sind oder ob das Unternehmen Safe Harbor-zertifiziert ist? Ich erlaube mir die Behauptung: das haben wohl die wenigstens von uns getan. Das heißt, dass die meisten auch schon vor dem Urteil möglicherweise rechtswidrig gehandelt haben. Das macht es nicht besser, richtig.
Hinzu kommt, dass natürlich auch nicht jedes Unternehmen in den USA Safe Harbor-zertifiziert war. Es waren rund 500 und das waren vor allem die Großen wie Facebook, Google, HewlettPackard, Amazon.
Bleibt die Hoffnung, dass man auf Unternehmen „zugegriffen“ hat, die mit ihren Kunden EU-Standardverträge – die Anforderungen ergeben sich aus der Datenschutzrichtlinie – geschlossen haben. Selbst dann ist man nicht auf der sicheren Seite, da derzeit nicht klar ist, ob diese Verträge weiterhin datenschutzkonform sind und damit weiterhin verwendet werden können. Die EU-Kommission hält die Verwendung derartiger Verträge derzeit wohl für zulässig und bestehende Verträge damit wohl auch für wirksam.
Es bleibt zu hoffen, dass eine zeitnahe Neuverhandlung eines Abkommens zur Datenübermittlung zwischen des USA und der EU erfolgt.

Was kannst Du sonst noch tun?

Um etwas mehr rechtliche Sicherheit zu erhalten, auch wenn noch nicht klar ist, was das EuGH-Urteil nun letztlich in der Praxis nach sich zieht, kannst Du zum Beispiel

  • auf EU-Unternehmen, statt auf US-Anbieter zurückgreifen, wobei es an sich wesentlicher ist, dass die entsprechenden Server in der EU stehen
  • auf US-amerikanische Anbieter zurückgreifen, welche ADV-Verträge (ADV = Auftragsdatenverarbeitung) anbieten und die Daten in der EU verarbeiten wie es z.B. meines Wissens Microsoft anbietet/ tut
  • wenn Dritte Daten Deiner Kunden oder Nutzer in Deinem Auftrag verarbeiten nach entsprechenden ADV-Verträgen fragen
  • Deine Kunden/ Nutzer um ihre Einwilligung bitten
  • eine eigene Datenschutzerklärung abgeben, die über Deine Datenverarbeitung Auskunft gibt
  • insgesamt überprüfen (lassen), ob Du Dich die (deutschen) Datenschutzvorgaben erfüllst.

Was die Vorgaben nach Bundesdatenschutzgesetz sind und wie man diese umsetzt dazu werde ich in der nächsten Zeit immer mal wieder einen Beitrag veröffentlichen. Insbesondere zu der Frage, was eigentlich personenbezogene Daten und Auftragsdatenverarbeitung sind, wen man worauf hinweisen oder einwilligen lassen muss.

 

Urteil des EuGH im Volltext: http://curia.europa.eu/juris/document/document.jsftext=&docid=169195&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1

Pressemitteilung des EuGH zum Urteil:
http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117de.pdf

Safe Harbor-Abkommen vom 26.06.2000
http://eur-lex.europa.eu/legal-content/de/TXT/?uri=CELEX:32000D0520

Be First to Comment

interagiere

%d Bloggern gefällt das: