• Menü ›

Aktuelles

14.10.2015

EuGH: Übermittlung personenbezogener Daten in die USA rechtswidrig.

Um auch dieser Gesetzeslage gerecht zu werden, hat IQ Solutions Ihr Leistungsspektrum im Bereich „Cloud“, sowie „Rechenzentrum“ mit passenden Lösungen in und über deutsche Rechenzentren weiter entwickelt.

EuGH: Übermittlung personenbezogener Daten in die USA rechtswidrig. Um auch dieser Gesetzeslage gerecht zu werden, hat IQ Solutions Ihr Leistungsspektrum im Bereich „Cloud“, sowie „Rechenzentrum“ mit passenden Lösungen in und über deutsche Rechenzentren weiter entwickelt. Weitere Details können über unsere Webseiten www.85700000.de oder www.dbc-gruppe.de aufgerufen werden. Sehr gerne sind wir auch persönlich für Sie erreichbar.

Safe-Harbor-Urteil des EuGH

Der EuGH hat in einem Urteil vom 06.10.2015 (RS C-362/14 – Maximilian Schrems/Data Protection Commisioner) die sog. „Safe-Harbor-Entscheidung“ der EU-Kommission aus dem Jahr 2000 für ungültig erklärt; das Urteil entfaltet sofort Wirkung. In dem zugrundeliegenden Verfahren ging es um die Praxis der Datenspeicherung von Facebook. Das Unternehmen speicherte Daten europäischer Nutzer auch in den USA.

Das Urteil hat zur Folge, dass personenbezogene Daten auf der Basis von Safe Harbor nicht mehr in die USA übermittelt und dort gespeichert werden dürfen. Auf Seiten eines an dem Safe-Harbor-Programm teilnehmenden US-amerikanischen Unternehmens ist ein angemessenes Datenschutzniveau im Sinne deutschen und europäischen Datenschutzrechts hiernach nicht mehr gewährleistet. Insbesondere können Datenschutzbehörden nun prüfen, ob bei Datenübermittlungen von Unternehmen in die USA die Anforderungen des Unionsrechts an den Schutz dieser Daten eingehalten werden. Die hierzu ohnehin „strenge“ Sichtweise der deutschen Aufsichtsbehörden für den Datenschutz ist seit Jahren bekannt; es ist daher davon auszugehen, dass die Datenspeicherung in den USA von den deutschen Datenschutzbehörden als unzulässig angesehen werden wird. Das gleiche dürfte gelten, sofern ein Zugriff auf in der EU gespeicherte Daten aus den USA möglich ist.

Dies ist insbesondere von Bedeutung für diejenigen Unternehmen, die im Rahmen des IT-Outsourcing die Leistungen US-amerikanischer Anbieter in Anspruch nehmen oder kommerzielle Cloud-Dienste US-amerikanischer Unternehmen nutzen.

Safe Harbor – Fazit und Handlungsempfehlungen

Das Safe-Harbor-Urteil des EuGH ist für alle Unternehmen von wesentlicher Bedeutung, die (auch) US-amerikanische IT-Ressourcen nutzen. Betroffen sind hierbei sowohl dezidierte Outsourcing-Lösungen als auch zum Beispiel die Nutzung von Cloud-Speichern (auch zur Datenübermittlung im Mobilfunkbereich) oder von cloud-basierten CRM-Systemen. Abhängig von der Ausgestaltung der vertraglichen Beziehungen mit dem jeweiligen Dienstleister und von den konkreten Orten der Datenspeicherung und -verarbeitung, können Datenweitergaben an diese Destinationen nunmehr unzulässig sein. In diesem Fall besteht für ein Unternehmen konkreter Handlungsbedarf, insbesondere im Hinblick auf mögliche interne und externe Compliance-Anforderungen.

Unternehmen sollten dementsprechend zunächst kurzfristig analysieren, welche Daten und welche Leistungen eines US-Anbieters bislang auf Basis von Safe Harbor überhaupt erbracht wurden. Gegebenenfalls ist nach rechtlicher Analyse der vertraglichen Vereinbarungen eine diesbezügliche Klärung mit dem jeweiligen Anbieter anzustreben. Sodann ist rechtlich zu prüfen, ob die Daten eventuell auf Basis anderer Rechtsinstrumente rechtssicher an diesen Anbieter übermittelt bzw. von diesem verarbeitet werden können. Hierbei sind zugleich die laufenden Entwicklungen, insbesondere von Seiten der EU-Kommission und der Aufsichtsbehörden, im Auge zu behalten und rechtlich zu bewerten.

Sofern nicht nur eigene Daten, sondern auch Daten von Kunden oder Mandanten auf Basis von Safe Harbor verarbeitet werden, ist den Unternehmen zusätzlich auch eine klare Kommunikation gegenüber den betroffenen Kunden oder Mandanten zu empfehlen.

Auf Basis der Ergebnisse dieser Analysen sind schließlich Lösungen für eine datenschutzrechtliche Compliance zu entwickeln und die Entscheidungen für die Anbieter- und Standortwahl zu treffen.

Für EU-Unternehmen ist das Safe-Harbor-Urteil Anlass, ihre Datenverarbeitung zu analysieren und die Auslagerung an US-amerikanische Anbieter auf den Prüfstein zu stellen. Abhängig von den konkreten Umständen der Datenverarbeitung kann eine Migration der Datenverarbeitung und die verstärkte Nutzung von IT-Dienstleistern sowie von Cloud-Ressourcen in der EU eine Lösung sein, um eine datenschutzrechtliche Compliance wiederherzustellen.

Quellen: u.a. www.spiegel.de, netzpolitik.org