Fast die gesamte Wirtschaft ist betroffen – und zwar in ungeahntem Ausmaß, erläutert Jürgen Hartung, Datenschutzexperte der Kanzlei Oppenhoff & Partner in Köln. Wer jetzt nach dem Safe-Harbor-Urteil des EuGH nicht handelt, riskiert hohe Bußen wegen Compliance-Verstössen. Globale Unternehmen, die von Konzernmüttern in den USA geführt werden und dorthin regelmässig die Daten ihrer Angestellten reporten, haben dafür keine Rechtsgrundlage mehr. Hartung erklärt, warum sich nun nicht nur 4400 Unternehmen rasch darum kümmern müssen, sondern weit mehr.
Jürgen Hartung von Kanzlei Oppenhoff & Partner
Cloud-Verwender brauchen jetzt einen Plan B
In den bisherigen Berichterstattung und den entsprechenden Kommentaren entsteht der Eindruck, dass nur die 4.440 Unternehmen betroffen sind, die nach Safe Harbor gelistetet sind, und dass nur diese einen Plan B brauchen. Das ist definitiv falsch.
Betroffen sind all diejenigen, die für ihre Daten Clouds nutzen. Denn: Bei jeder Übermittlung gibt es einen Absender und einen Empfänger. Nach Safe Harbor gelistet werden nur die Empfänger.
In der EU hauptverantwortlich sind aber vor allem die Absender der Daten, also zig-tausende Unternehmen. Denn diese haften nach dem europäischen Datenschutzrecht dafür, ob sie die Daten an den Empfänger übermitteln dürfen oder nicht.
Europaweit Hunderttausende Microsoft- und Salesforce-Kunden betroffen
Zum Beispiel: Microsoft oder Salesforce sind zwei der gelisteten 4.400 Unternehmen, die Cloud Services mit Datenverarbeitung in den USA nach Safe Harbor anbieten. Diese haben aber in Europa vermutlich Hunderttausende von Kunden als Absender der Daten.
Jeder dieser Absender muss sich jetzt fragen, ob er die Daten an Microsoft oder Salesforce übermitteln durfte. Darin liegt vor allem die große Krux.
Management in Compliance-Falle
Das Compliance-Problem für das Management besteht darin, dass durch den Wegfall von Safe Harbor eine der notwendigen Rechtsgrundlagen für die weitere Übermittlung entfallen ist.
Die Folge: Die Nutzung der Dienste und weitere Übermittlung ist damit gesetzeswidrig. Man müsste sie also unmittelbar einstellen.
Das dürfte aus praktischen Gründen aber nicht möglich sein, weil viele der IT-Systeme (Human Ressources, E-Mail undsoweiter) lebensnotwendig sind und die Unternehmen ohne sie still stehen würden.
Risiko: Bussgeld bis 300.000 Euro je Fall
Wenn Unternehmen die Daten aber weiter übermitteln beziehungsweise die Dienste weiter nutzen, handelt das Top-Management rechtswidrig – es begeht einen Compliance Verstoß und setzt sich Bußgeldern mit bis zu 300.000 Euro aus und zwar pro Fall.
Außerdem kann die Behörde die Einstellung verlangen. Deshalb müssen diese Unternehmen jetzt konkrete Maßnahmen treffen. Beispielsweise einen EU-Standarvertrag mit dem Empfänger abschließen, verbindliche Unternehmensregelungen (Binding Corporate Rules) innerhalb des Konzerns einführen oder eine Einwilligungder Nutzer einholen. Die deutschen datenschutzbehörden haben angekündigt, hierzu bald Stellung zu nehmen.
Der Hintergrund: Max Schrems gegen Facebook
Der EuGH hatte am 6. Oktober sein Urteil im Fall Max Schrems gegen Facebook – der junge Österreicher, dem es um die Datensammelwut von Facebook ging – verkündet und ist weitgehend der Empfehlung des Generalanwaltes gefolgt. Die Auswirkungen sind gravierend.
Die Folgen treffen nicht nur Facebook oder andere Internet-Giganten, sondern vor praktisch den größten Teil der europäischen Wirtschaft. Europäische Unternehmen nutzen eine Vielzahl von Diensten, Software und sonstige Leistungen von Unternehmen aus den USA (und anderen Ländern) außerhalb der EU.
Auch innerhalb von Konzernen müssen vielfach Daten ausgetauscht werden, zum Beispiel zur Personalplanung. Für die entsprechenden Übermittlungen personenbezogener Daten gelten nach europäischem Datenschutzrecht strenge Anforderungen: Die Unternehmen müssen die Angemessenheit des Schutzes der Daten beim Empfänger zu prüfen.
Lösungen bieten unter anderem verschiedene EU-Kommissionsentscheidungen. Eine davon war das Safe-Harbor-Abkommen, das im Verhältnis zu den USA Anwendung fand: An solche US-Unternehmen, die in den USA nach diesem Abkommen gelistet waren, durften die Daten gegeben werden. Mit anderen Kommissions-Entscheidungen wurden bestimmte Länder (zum Beispiel Argentinien oder die Schweiz) als sicher anerkannt oder verschiedene Standardverträge genehmigt.
Es droht ein Flickerteppich: Eine Behörde erlaubt, was die andere verbietet
Der EuGH hat jetzt entscheiden, dass nationale Aufsichtsbehörden unabhängig die Angemessenheit des Schutzes, einschließlich der eigentlich rechtsverbindlichen EU-Kommissionsentscheidungen prüfen dürfen. Dies kann zu einen Flickenteppich unterschiedlicher Auffassungen und Maßnahmen der Behörden in Europa führen: Zum Beispiel lässt eine Behörde die Datenübermittlung weiter zu, eine andere verbietet sie.
Die deutschen Datenschutzbehörden haben bereits im Juli 2013 in einer
Presseerklärung deutlich gemacht, was deutschen Unternehmen droht: Die
Datenübermittlungen aufgrund Safe Harbor sollen verboten werden. Der EuGH hat
aber, anders als in der Empfehlung des Generalanwaltes, klar gestellt, dass die
Datenschutzbehörden, die EU-Kommissionsentscheidungen nicht eigenständig
aussetzen oder für nichtig erklären können: sie müssen dies gerichtlich klären
lassen. Die nationalen Gerichte müssen dies dem EuGH vorlegen, der allein
über die Wirksamkeit entscheidet. Dies führt zumindest für eine gewisse Zeit zum
Bestandsschutz beim Vertrauen auf EU-Kommissionsentscheidungen.
Allerdings ist der EuGH dem anderen Vorschlag des Generalanwalts gefolgt und hat über die Vorlagefrage hinaus das derzeitige Safe Harbor Abkommen direkt für nichtig erklärt. Und bei diesem Teil der Entscheidung sind die Folgen drastisch: Sämtliche Datenübermittlungen europäischer Unternehmen in die USA, die allein auf Basis des Safe- Harbor-Abkommens vorgenommen wurden, können mit sofortiger Wirkung unzulässig sein – falls Unternehmen ein angemessenes Datenschutz-Niveau nicht anders belegen können.
Das Risiko: Datenschutzbehörden könnten jetzt Bußgelder verhängen und die Übermittlung der Daten und somit die Nutzung entsprechender Dienste untersagen. Dies könnte große Teile der Datenverarbeitung der deutschen Wirtschaft stilllegen. Daher müssen Unternehmen schnellstmöglich prüfen, ob sie betroffen sind und gegebenenfalls
Alternativen umsetzen
Es bieten sich derzeit beispielsweise noch die sogenannten EU-Standardverträge an, die mit den Empfängern der Daten in den USA abgeschlossen werden können. Allerdings beruhen diese ebenfalls auf EU-Kommissionsentscheidungen mit ähnlichen Schwachstellen.
Auch hier stellt sich deshalb zumindest für die Zukunft die Frage, wie nationale Aufsichtsbehörden und dann irgendwann der EuGH die Wirksamkeit einschätzen werden. Beim Safe-Harbor-Abkommen, das die EU Kommission derzeit mit den USA ohnehin neu verhandelt, darf man gespannt sein, ob es wie Phönix neu aus der Asche des heute vom EuGH gelegten Feuers aufersteht.
Safe-Harbor ist ungültig: Was bedeutet das fürs Cloud Computing? Diskutieren Sie hier mit:
https://ibmexperts.computerwoche.de/community/t/safe-harbor-ungueltig-was-bedeutet-das-fuers-cloud-computing,1392
Hallo,
Laut https://www.cojama-hosting.com/blog/safe-harbor-abkommen-durch-eugh-gekippt-was-jetzt/ sind „Kunden […] von jetzt an in der Pflicht, bei ihren Dienstleistern zu prüfen, ob die personenbezogenen Daten rechtskonform in die USA transferiert werden.“ Sollte es nicht eigentlich so sein, dass man sich darüber keinen Kopf machen muss und das alles von entsprechenden Behörden kontrolliert wird?
Viele Grüße
Holger