{"id":658726,"date":"2015-10-09T15:34:40","date_gmt":"2015-10-09T13:34:40","guid":{"rendered":"https:\/\/blog.wiwo.de\/management\/?p=658726"},"modified":"2015-10-09T15:44:36","modified_gmt":"2015-10-09T13:44:36","slug":"safe-harbor-urteil-alle-unternehmen-die-clouds-nutzen-mussen-nun-handeln-warnt-it-anwalt-jurgen-hartung","status":"publish","type":"post","link":"https:\/\/blog.wiwo.de\/management\/2015\/10\/09\/safe-harbor-urteil-alle-unternehmen-die-clouds-nutzen-mussen-nun-handeln-warnt-it-anwalt-jurgen-hartung\/","title":{"rendered":"Safe-Harbor-Urteil: Alle Unternehmen, die Clouds nutzen, m\u00fcssen nun handeln, warnt IT-Anwalt J\u00fcrgen Hartung"},"content":{"rendered":"

Fast die gesamte\u00a0Wirtschaft ist betroffen \u2013 und zwar in ungeahntem Ausma\u00df, erl\u00e4utert\u00a0J\u00fcrgen Hartung, Datenschutzexperte der Kanzlei Oppenhoff & Partner in K\u00f6ln. Wer jetzt nach dem Safe-Harbor-Urteil des EuGH nicht handelt, riskiert hohe Bu\u00dfen wegen Compliance-Verst\u00f6ssen. Globale Unternehmen, die von Konzernm\u00fcttern in den USA gef\u00fchrt werden und dorthin regelm\u00e4ssig die Daten ihrer Angestellten reporten, haben daf\u00fcr keine Rechtsgrundlage mehr. Hartung\u00a0erkl\u00e4rt, warum sich nun nicht nur 4400 Unternehmen\u00a0rasch\u00a0darum k\u00fcmmern m\u00fcssen, sondern weit mehr. <\/strong><\/p>\n

 <\/p>\n

\"J\u00fcrgen<\/a>

J\u00fcrgen Hartung von Kanzlei Oppenhoff & Partner<\/p><\/div>\n

 <\/p>\n

Cloud-Verwender brauchen jetzt einen Plan B<\/strong><\/p>\n

In den bisherigen Berichterstattung und den entsprechenden Kommentaren entsteht der Eindruck, dass nur die 4.440 Unternehmen betroffen sind, die nach Safe Harbor gelistetet sind, und dass nur diese einen Plan B brauchen. Das ist definitiv falsch.<\/p>\n

Betroffen sind all diejenigen, die f\u00fcr\u00a0ihre Daten\u00a0Clouds nutzen.\u00a0Denn: Bei jeder \u00dcbermittlung gibt es einen Absender und einen Empf\u00e4nger. Nach Safe Harbor gelistet werden nur die Empf\u00e4nger.<\/p>\n

In der EU hauptverantwortlich sind aber vor allem die Absender der Daten, also zig-tausende Unternehmen. Denn diese haften nach dem europ\u00e4ischen Datenschutzrecht daf\u00fcr, ob sie die Daten an den Empf\u00e4nger \u00fcbermitteln d\u00fcrfen oder nicht.<\/p>\n

 <\/p>\n

Europaweit Hunderttausende Microsoft- und Salesforce-Kunden betroffen<\/strong><\/p>\n

Zum Beispiel: Microsoft oder Salesforce sind zwei der gelisteten 4.400 Unternehmen, die Cloud Services mit Datenverarbeitung in den USA nach Safe Harbor anbieten. Diese haben aber in Europa vermutlich Hunderttausende von Kunden als Absender der Daten.<\/p>\n

Jeder dieser Absender muss sich jetzt fragen, ob er die Daten an Microsoft oder Salesforce \u00fcbermitteln durfte. Darin liegt vor allem die gro\u00dfe Krux.<\/p>\n

 <\/p>\n

Management in Compliance-Falle<\/strong><\/p>\n

Das Compliance-Problem f\u00fcr das Management besteht darin, dass durch den Wegfall von Safe Harbor eine der notwendigen Rechtsgrundlagen f\u00fcr die weitere \u00dcbermittlung entfallen ist.<\/p>\n

Die Folge: Die Nutzung der Dienste und weitere \u00dcbermittlung ist damit gesetzeswidrig. Man m\u00fcsste sie also unmittelbar einstellen.<\/p>\n

Das d\u00fcrfte aus praktischen Gr\u00fcnden aber nicht m\u00f6glich sein, weil viele der IT-Systeme (Human Ressources, E-Mail undsoweiter) lebensnotwendig sind und die Unternehmen ohne sie still stehen w\u00fcrden.<\/p>\n

 <\/p>\n

Risiko: Bussgeld bis 300.000 Euro je Fall<\/strong><\/p>\n

Wenn Unternehmen die Daten aber weiter \u00fcbermitteln beziehungsweise die Dienste weiter nutzen, handelt das Top-Management rechtswidrig – es begeht einen Compliance Versto\u00df und setzt sich Bu\u00dfgeldern mit bis zu 300.000 Euro\u00a0aus und zwar pro Fall.<\/p>\n

Au\u00dferdem kann die Beh\u00f6rde die Einstellung verlangen. Deshalb\u00a0m\u00fcssen diese Unternehmen jetzt konkrete Ma\u00dfnahmen treffen. Beispielsweise einen EU-Standarvertrag mit dem Empf\u00e4nger abschlie\u00dfen, verbindliche Unternehmensregelungen (Binding Corporate Rules) innerhalb des Konzerns einf\u00fchren oder eine Einwilligungder Nutzer einholen. Die deutschen datenschutzbeh\u00f6rden haben angek\u00fcndigt, hierzu bald Stellung zu nehmen.<\/p>\n

 <\/p>\n

 <\/p>\n

Der Hintergrund: Max Schrems gegen Facebook<\/strong><\/p>\n

Der EuGH hatte am 6. Oktober sein Urteil im Fall\u00a0Max Schrems gegen Facebook – der junge \u00d6sterreicher, dem es um die Datensammelwut von Facebook ging – verk\u00fcndet und ist weitgehend der Empfehlung des\u00a0Generalanwaltes gefolgt. Die Auswirkungen sind gravierend.<\/p>\n

Die Folgen treffen\u00a0nicht nur Facebook oder andere Internet-Giganten, sondern vor praktisch den\u00a0gr\u00f6\u00dften Teil der europ\u00e4ischen Wirtschaft. Europ\u00e4ische Unternehmen nutzen eine\u00a0Vielzahl von Diensten, Software und sonstige Leistungen von Unternehmen aus den\u00a0USA (und anderen L\u00e4ndern) au\u00dferhalb der EU.<\/p>\n

Auch innerhalb von Konzernen m\u00fcssen\u00a0vielfach Daten ausgetauscht werden, zum Beispiel zur Personalplanung. F\u00fcr die entsprechenden\u00a0\u00dcbermittlungen personenbezogener Daten gelten nach europ\u00e4ischem\u00a0Datenschutzrecht strenge Anforderungen: Die Unternehmen m\u00fcssen die Angemessenheit des Schutzes\u00a0der Daten beim Empf\u00e4nger zu pr\u00fcfen.<\/p>\n

L\u00f6sungen bieten\u00a0unter anderem verschiedene\u00a0EU-Kommissionsentscheidungen. Eine davon war das Safe-Harbor-Abkommen, das im\u00a0Verh\u00e4ltnis zu den USA Anwendung fand: An solche US-Unternehmen, die in den USA\u00a0nach diesem Abkommen gelistet waren, durften die Daten gegeben werden. Mit\u00a0anderen Kommissions-Entscheidungen wurden bestimmte L\u00e4nder (zum Beispiel Argentinien oder die\u00a0Schweiz) als sicher anerkannt oder verschiedene Standardvertr\u00e4ge\u00a0genehmigt.<\/p>\n

 <\/p>\n

Es droht ein Flickerteppich: Eine Beh\u00f6rde erlaubt, was die andere verbietet<\/strong><\/p>\n

Der EuGH hat jetzt entscheiden, dass nationale\u00a0Aufsichtsbeh\u00f6rden unabh\u00e4ngig die Angemessenheit des Schutzes, einschlie\u00dflich der\u00a0eigentlich rechtsverbindlichen EU-Kommissionsentscheidungen pr\u00fcfen d\u00fcrfen. Dies\u00a0kann zu einen Flickenteppich unterschiedlicher Auffassungen und\u00a0Ma\u00dfnahmen der Beh\u00f6rden in Europa f\u00fchren: Zum Beispiel l\u00e4sst eine Beh\u00f6rde die Daten\u00fcbermittlung weiter zu, eine andere verbietet sie.<\/p>\n

Die deutschen Datenschutzbeh\u00f6rden haben bereits im Juli 2013 in einer
\nPresseerkl\u00e4rung deutlich gemacht, was deutschen Unternehmen droht: Die
\nDaten\u00fcbermittlungen aufgrund Safe Harbor sollen verboten werden. Der EuGH hat
\naber, anders als in der Empfehlung des Generalanwaltes, klar gestellt, dass die
\nDatenschutzbeh\u00f6rden, die EU-Kommissionsentscheidungen nicht eigenst\u00e4ndig
\naussetzen oder f\u00fcr nichtig erkl\u00e4ren k\u00f6nnen: sie m\u00fcssen dies gerichtlich kl\u00e4ren
\nlassen. Die nationalen Gerichte m\u00fcssen dies dem EuGH vorlegen, der allein
\n\u00fcber die Wirksamkeit entscheidet. Dies f\u00fchrt zumindest f\u00fcr eine gewisse Zeit zum
\nBestandsschutz beim Vertrauen auf\u00a0EU-Kommissionsentscheidungen.<\/p>\n

Allerdings ist der EuGH dem anderen\u00a0Vorschlag des Generalanwalts gefolgt und hat \u00fcber die Vorlagefrage hinaus das\u00a0derzeitige Safe Harbor Abkommen direkt f\u00fcr nichtig erkl\u00e4rt. Und bei diesem Teil\u00a0der Entscheidung sind die Folgen drastisch: S\u00e4mtliche Daten\u00fcbermittlungen\u00a0europ\u00e4ischer Unternehmen in die USA, die allein auf Basis des Safe- Harbor-Abkommens vorgenommen wurden, k\u00f6nnen mit sofortiger Wirkung unzul\u00e4ssig sein –\u00a0falls Unternehmen ein angemessenes Datenschutz-Niveau nicht anders belegen k\u00f6nnen.<\/p>\n

Das Risiko: Datenschutzbeh\u00f6rden k\u00f6nnten jetzt Bu\u00dfgelder verh\u00e4ngen und die \u00dcbermittlung der\u00a0Daten und somit die Nutzung entsprechender Dienste untersagen. Dies k\u00f6nnte gro\u00dfe\u00a0Teile der Datenverarbeitung der deutschen Wirtschaft stilllegen. Daher m\u00fcssen\u00a0Unternehmen schnellstm\u00f6glich pr\u00fcfen, ob sie betroffen sind und gegebenenfalls<\/p>\n

Alternativen umsetzen<\/strong><\/p>\n

Es bieten sich derzeit beispielsweise noch die sogenannten\u00a0EU-Standardvertr\u00e4ge an, die mit den Empf\u00e4ngern der Daten in den USA\u00a0abgeschlossen werden k\u00f6nnen. Allerdings beruhen diese ebenfalls auf\u00a0EU-Kommissionsentscheidungen mit \u00e4hnlichen Schwachstellen.<\/p>\n

Auch hier stellt sich\u00a0deshalb zumindest f\u00fcr die Zukunft die Frage, wie nationale Aufsichtsbeh\u00f6rden und\u00a0dann irgendwann der EuGH die Wirksamkeit einsch\u00e4tzen werden. Beim Safe-Harbor-Abkommen, das die EU Kommission derzeit mit den USA ohnehin neu verhandelt,\u00a0darf man gespannt sein, ob es wie Ph\u00f6nix neu aus der Asche des heute vom EuGH\u00a0gelegten Feuers aufersteht.<\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Fast die gesamte\u00a0Wirtschaft ist betroffen \u2013 und zwar in ungeahntem Ausma\u00df, erl\u00e4utert\u00a0J\u00fcrgen Hartung, Datenschutzexperte der Kanzlei Oppenhoff & Partner in K\u00f6ln. Wer jetzt nach dem Safe-Harbor-Urteil des EuGH nicht handelt, riskiert hohe Bu\u00dfen wegen Compliance-Verst\u00f6ssen. Globale Unternehmen, die von Konzernm\u00fcttern … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":19,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[204,1560,2091,252,5077,5075,357,428,562,5074,731,5078,771,3982,5076,5079],"class_list":["post-658726","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-bussgeld","tag-cloud","tag-compliance","tag-datenschutz","tag-eu-standardvertrage","tag-eugh-urteil","tag-facebook","tag-gastbeitrag","tag-it","tag-jurgen-hartung","tag-manager","tag-max-schrems","tag-microsoft","tag-oppenhoff-partner","tag-safe-harbor-abkommen","tag-salesforce"],"_links":{"self":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/658726","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/users\/19"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/comments?post=658726"}],"version-history":[{"count":0,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/658726\/revisions"}],"wp:attachment":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/media?parent=658726"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/categories?post=658726"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/tags?post=658726"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}