{"id":660197,"date":"2016-02-05T11:47:44","date_gmt":"2016-02-05T10:47:44","guid":{"rendered":"https:\/\/blog.wiwo.de\/management\/?p=660197"},"modified":"2016-02-05T13:02:09","modified_gmt":"2016-02-05T12:02:09","slug":"safe-harbor-die-datenschutzbehoerden-machen-ernst-und-schlagen-zu-gastbeitrag-arnd-boeken","status":"publish","type":"post","link":"https:\/\/blog.wiwo.de\/management\/2016\/02\/05\/safe-harbor-die-datenschutzbehoerden-machen-ernst-und-schlagen-zu-gastbeitrag-arnd-boeken\/","title":{"rendered":"Safe Harbor: Die Datenschutzbeh\u00f6rden machen Ernst und schlagen zu – Gastbeitrag Arnd B\u00f6ken"},"content":{"rendered":"

Wer kein Bussgeld von 300.000 Euro riskieren will, sollte z\u00fcgig alle Datentransfers in seinem Unternehmen checken und sich f\u00fcrs erste wappnen mit Standardvertragsklauseln –\u00a0Gastbeitrag von Arnd B\u00f6ken, Rechtsanwalt in der Kanzlei\u00a0Graf von Westphalen<\/strong><\/p>\n

\u00a0\"B\u00f6ken.Arnd.westphalen\"<\/strong><\/p>\n

 <\/p>\n

Safe Harbor: Die Schonfrist f\u00fcr die Unternehmen ist abgelaufen<\/strong><\/p>\n

Im Oktober 2015 hat der Europ\u00e4ische Gerichtshof den Datentransfer in die USA in gro\u00dfen Teil f\u00fcr rechtswidrig erkl\u00e4rt. Unternehmen hatten bis Ende Januar 2016 Zeit, neue Grundlagen f\u00fcr rechtm\u00e4\u00dfigen Datenexport zu schaffen. Diese Schonfrist ist nun abgelaufen. Die neue Vereinbarung zwischen der EU-Kommission und den USA von Februar 2016 n\u00fctzt Unternehmen jedoch nichts. Deutsche Unternehmen m\u00fcssen dringend handeln, um Rechtsnachteile und Bu\u00dfgelder zu vermeiden. Demgegen\u00fcber ist der Staat sehr nachl\u00e4ssig, wenn es darum geht, seine eigene IT zu sch\u00fctzen.<\/p>\n

\u00a0<\/strong><\/p>\n

Datentransfer in die USA<\/strong><\/p>\n

Die USA und Deutschland sind wichtige Handelspartner. US-Unternehmen haben Tochtergesellschaften in Deutschland, genauso wie deutsche Konzerne Niederlassungen in den USA haben. Das setzt voraus, dass zwischen den deutschen und den US-Niederlassungen Daten – etwa aus den Personalabteilungen – \u00fcbermittelt werden. Der Datenschutz ist in Europa und in den USA sehr unterschiedlich geregelt.<\/p>\n

 <\/p>\n

Striktes Prinzip: Erst einmal ist die Datenverarbeitung in Europa verboten<\/strong><\/p>\n

Europa hat ein striktes Konzept: Es gilt das Verbotsprinzip. Jede Datenverarbeitung ist erst einmal verboten, es sei denn, der Betroffene stimmt ausdr\u00fccklich zu oder es gibt eine gesetzliche Erlaubnis. Das Recht in den USA folgt einem anderen Ansatz, hier gibt es spezielle Datenschutzgesetze f\u00fcr einzelne Sektoren.<\/p>\n

Um diese Unterschiede zu \u00fcberbr\u00fccken, haben EU und USA sich im Jahr 2000 auf das Safe Harbor-Programm geeinigt. US-Unternehmen, die an dem Programm teilnehmen und sich beim Handelsministerium registrieren lie\u00dfen, durften Daten aus Europa empfangen.<\/p>\n

\u00a0<\/strong><\/p>\n

Daten\u00fcbermittlung illegal durch EuGH nach Snowden-Enth\u00fcllungen<\/strong><\/p>\n

Seit den Snowden-Enth\u00fcllungen im Jahr 2013 ist bekannt, dass amerikanische Geheimdienste umfangreichen Zugriff auf personenbezogene Daten von Ausl\u00e4ndern, auch Ausl\u00e4ndern aus der EU haben. Dieser Zugriff geht soweit, dass der Europ\u00e4ische Gerichtshof am 6.\u00a0 Oktober\u00a0 2015 das Safe Harbor-Programm f\u00fcr rechtswidrig erkl\u00e4rte. Datentransfer in die USA kann somit nicht mehr auf Safe Harbor gest\u00fctzt werden.<\/p>\n

 <\/p>\n

Bisher war\u00b4s unkompliziert<\/strong><\/p>\n

Das Urteil hat f\u00fcr Unternehmen schwerwiegende Konsequenzen. Gerade mittelst\u00e4ndische Unternehmensgruppen haben h\u00e4ufig auf Safe Harbor gesetzt, um Daten in die USA zu exportieren. Daf\u00fcr reichte es, dass das US-Unternehmen am Safe Harbor-Programm teilnahm und beim Handelsministerium registriert war. F\u00fcr deutsche Unternehmen war der Export sehr unb\u00fcrokratisch.<\/p>\n

 <\/p>\n

Kunden- und Arbeitnehmerdatentransfer nun illegal<\/strong><\/p>\n

Das geht seit Oktober 2015 nicht mehr. Daten\u00fcbertragungen, die auf Safe Harbor gest\u00fctzt werden, sind nun illegal. Das betrifft Arbeitnehmerdaten, die eine deutsche Gesellschaft an die US-Mutter \u00fcbermittelt, genauso wie Kundendaten, die ein deutsches Unternehmen an seine US-Niederlassung senden will, und auch sonst alle Daten, die sich auf Personen beziehen. Das betrifft auch die Nutzung von Clouds von US-Anbietern. Die Cloud-Nutzung kann ebenfalls nicht mehr auf Safe Harbor gest\u00fctzt werden.<\/p>\n

\u00a0<\/strong><\/p>\n

Eilfall: Alternativen schaffen etwa durch Standardvetragsklauseln<\/strong><\/p>\n

Deutsche Unternehmen m\u00fcssen jetzt dringend Alternativen schaffen. Der beste Weg ist es jetzt, sogenannte Standardvertragsklauseln zu vereinbaren. Darin verpflichtet sich das US-Unternehmen, wichtige europ\u00e4ische Datenschutzprinzipien einzuhalten. Wenn ein solcher Vertrag geschlossen wird, gilt das US-Unternehmen als sicherer Empf\u00e4nger. Daten k\u00f6nnen dahin genauso \u00fcbermittelt werden wie an ein Unternehmen mit Sitz in der EU.<\/p>\n

Auch die europ\u00e4ischen Datenschutzbeh\u00f6rden haben erkannt, dass das Urteil des Europ\u00e4ischen Gerichtshof am 6.\u00a0Oktober\u00a0 2015 f\u00fcr die Unternehmen eine \u00dcberraschung war\u00a0und haben ihnen deshalb\u00a0eine Schonfrist einger\u00e4umt. Die ist vor wenigen Tagen –\u00a0am 31. Januar \u00a02016 – abgelaufen. Kurz vor Ablauf der Schonfrist haben sich die EU-Kommission und die US-Regierung auf ein neues Abkommen zum Privacy Shield verst\u00e4ndigt, das europ\u00e4ischen Unternehmen besseren Schutz in den USA gew\u00e4hren soll.<\/p>\n

 <\/p>\n

Unternehmen riskieren Bu\u00dfgelder bis 300.000 Euro – und deutsche Beh\u00f6rden pr\u00fcfen auch<\/strong><\/p>\n

Die europ\u00e4ischen Datenschutzbeauftragten haben sich am 2. und 3.\u00a0Februar\u00a0getroffen, um \u00fcber k\u00fcnftige Ma\u00dfnahmen zu beschlie\u00dfen. Dabei haben sie anerkannt, dass die USA Schritte zum besseren Datenschutz unternommen haben. Diese Schritte wollen sie bis Ende Februar 2016 \u00fcberpr\u00fcfen. Allerdings \u00e4ndert dies nichts daran, dass Daten\u00fcbermittlungen erst einmal illegal sind.\u00a0Die Frist bis Ende Februar 2016 dient dazu, das neue Abkommen zu \u00fcberpr\u00fcfen. Safe Harbor ist keine Basis mehr f\u00fcr Daten-\u00dcbermittlungen und darauf haben die europ\u00e4ischen Datenschutzbeauftragten in der Presseerkl\u00e4rung vom 3. Februar\u00a0noch einmal ausdr\u00fccklich hingewiesen.<\/p>\n

Jedes Unternehmen, das weiterhin Safe Harbor anwendet, muss daher mit Bu\u00dfgeldern rechnen. Diese Bu\u00dfgelder k\u00f6nnen bis zu 300.000 Euro betragen. Es ist sicher, dass die deutschen Datenschutzbeh\u00f6rden jetzt\u00a0mit der \u00dcberpr\u00fcfung beginnen und auch Bu\u00dfgelder verh\u00e4ngen, wenn sie hierbei illegalen Datentransfer feststellen.<\/p>\n

\u00a0<\/strong><\/p>\n

Schnelles Handeln erforderlich: Standardvertragsklauseln anwenden, gesamten Datentransfer checken<\/strong><\/p>\n

F\u00fcr Unternehmen sind im Moment zwei Dinge wichtig. Wenn sie Daten in die USA exportieren wollen, so m\u00fcssen sie sogenannte Standardvertragsklauseln mit dem Empf\u00e4nger schlie\u00dfen. Dabei halten sich das deutsche und das US-Unternehmen an das Vertragsmuster der EU-Kommission. Man muss hierbei sorgf\u00e4ltig vorgehen, um die individuellen Verh\u00e4ltnisse genau zu erfassen.<\/p>\n

Au\u00dferdem muss man wissen, dass es in Zukunft zu mehr \u00dcberpr\u00fcfungen kommen wird. Die Datenschutzbeh\u00f6rden werden internationalen Datentransfer jetzt st\u00e4rker unter die Lupe nehmen. Das bedeutet f\u00fcr Unternehmen, dass sie jetzt ihren gesamten Datentransfer umfassend \u00fcberpr\u00fcfen m\u00fcssen.<\/p>\n

 <\/p>\n

Kundendatenbanken und US-Clouds im Visier<\/strong><\/p>\n

Es kommt in der Praxis immer wieder vor, dass bestimmte gesetzliche Voraussetzungen nicht erf\u00fcllt worden sind, um Arbeitnehmerdaten in die USA zu transferieren, zum Beispiel eine Vereinbarung mit dem Betriebsrat. Auch bei Kundendatenbanken wird manchmal nicht sorgf\u00e4ltig gearbeitet und es werden Daten \u00fcbermittelt, die besser bei der Tochtergesellschaft in Deutschland geblieben w\u00e4ren. Auch Unternehmen, die Clouds von US-Anbieter nutzen, m\u00fcssen jetzt handeln.<\/p>\n

\u00a0<\/strong><\/p>\n

Unternehmen unter Hochdruck – der\u00a0Staat aber in eigener Sache l\u00e4ssig<\/strong><\/p>\n

Datenschutzbeh\u00f6rden konfrontieren Unternehmen nach einer ganz kurzen \u00dcbergangsfrist mit strengen Anforderungen, die sie jetzt unter Hochdruck in der Praxis umsetzen m\u00fcssen, um Bu\u00dfgelder zu vermeiden. Dieser Umsetzungsdruck f\u00fchrt zu einer Belastung der deutschen Wirtschaft und des internationalen Handels, die die Beh\u00f6rden besser h\u00e4tten vermeiden sollen. Es w\u00e4re sinnvoller gewesen, l\u00e4ngere \u00dcbergangsfristen einzur\u00e4umen, damit Unternehmen sich auf die neue Praxis einstellen k\u00f6nnen.<\/p>\n

Bemerkenswert finde ich: Wenn es um seine eigene IT geht, ist der Staat nicht so streng. Dabei besteht hier viel mehr Grund f\u00fcr einen Schutz, da Beh\u00f6rden viel sensiblere Daten verarbeiten als Unternehmen und daher viel h\u00e4ufiger das Opfer von Geheimdiensten sind.<\/p>\n

Der deutsche Staat ist rechtlich verpflichtet, daf\u00fcr zu sorgen, dass ihn ausl\u00e4ndische IT-Dienstleister nicht ausspionieren und die Daten an Geheimdienste weitergeben. Hier sind Beh\u00f6rden aber nachl\u00e4ssig. Um sich zu sch\u00fctzen, verlangen sie von ihren IT-Dienstleistern lediglich eine blo\u00dfe Eigenerkl\u00e4rung. \u00dcberpr\u00fcfen tun sie die aber nicht.<\/p>\n","protected":false},"excerpt":{"rendered":"

Wer kein Bussgeld von 300.000 Euro riskieren will, sollte z\u00fcgig alle Datentransfers in seinem Unternehmen checken und sich f\u00fcrs erste wappnen mit Standardvertragsklauseln –\u00a0Gastbeitrag von Arnd B\u00f6ken, Rechtsanwalt in der Kanzlei\u00a0Graf von Westphalen \u00a0   Safe Harbor: Die Schonfrist f\u00fcr … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":19,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[5415,5412,1560,5414,1771,5418,476,5416,5413,5419,5417,1105],"class_list":["post-660197","post","type-post","status-publish","format-standard","hentry","category-allgemein","tag-arbeitnehmerdaten","tag-arnd-boeker","tag-cloud","tag-datentransfer","tag-eugh","tag-geldbusse","tag-graf-von-westphalen","tag-kundendaten","tag-safe-harbot","tag-snowden-enthuellungen","tag-standardvertragsklauseln","tag-usa"],"_links":{"self":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/660197","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/users\/19"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/comments?post=660197"}],"version-history":[{"count":0,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/posts\/660197\/revisions"}],"wp:attachment":[{"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/media?parent=660197"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/categories?post=660197"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.wiwo.de\/management\/wp-json\/wp\/v2\/tags?post=660197"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}