Recht

Safe Harbor und dessen Nachfolger

Seit den Geheimdienstenthüllungen durch Edward Snowden steht der Umgang mit personenbezogenen Daten jenseits des Atlantiks stärker denn je im Fokus. Die losgetretenen Diskussionen gipfelten schließlich in einer Entscheidung des Europäischen Gerichtshofs, der das Safe-Harbor-Abkommen zum Datentransfer über den Atlantik kippte. Wie es dazu kam und was die Folgen sind, beleuchten wir in diesem Beitrag.
EU und USA verhandeln derzeit über den Nachfolger von Safe Harbor.
Die Europäische Union hat 1995 eine Datenschutzrichtlinie beschlossen, die jedes Mitgliedsland in nationales Recht umsetzen musste. Unter anderem ist darin geregelt, dass die Übertragung von personenbezogenen Daten aus der EU in ein Land außerhalb der EU nur dann möglich ist, wenn entweder in diesem Land ein ähnliches Datenschutzniveau wie in der EU besteht und die EU dies anerkannt hat oder andere Rechtfertigungsgründe vorliegen.

In den Folgejahren verhandelten die USA und die EU darüber, ob die USA über das gleiche Datenschutzniveau wie Europa verfügen, was damals eindeutig nicht der Fall war. Da sowohl die USA als auch die EU ein Interesse daran hatten, den gegenseitigen Handel nicht durch eine Verhinderung von Datentransfers zu blockieren, kam die Idee einer Vereinbarung auf. Diese besagte, dass eine Übertragung personenbezogener Daten aus der EU in die USA im Rahmen der EU Datenschutzrichtlinie erfolgen kann, wenn das Unternehmen, an das die personenbezogenen Daten übertragen werden, sich an bestimmte Regeln zum Schutz eben dieser Daten hält. Diese Regeln wurden dann als Prinzipien in den sogenannten Safe-Harbor- Dokumenten niedergeschrieben und werden durch FAQs ergänzt.

Entscheidung des Europäischen Gerichtshofes
Es war schließlich die Klage von Maximilian Schrems vor dem Europäischen Gerichtshof, die die Safe-Harbor-Entscheidung nach Jahren der Kritik kippte. Der Österreicher wollte seinen Facebook- Account löschen und hat dabei von Facebook Auskunft darüber verlangt, welche Daten das soziale Netzwerk über ihn gespeichert hat. Er erhielt auch tatsächlich die Antwort in Form eines sehr umfangreichen Dokuments. Nun begannen die Veröffentlichungen Edward Snowdens und der Aufschrei war groß, auch im Hinblick auf Safe Harbor.

Weil nun das bekannter wurde, was in Fachkreisen längst vermutet wurde, dass nämlich die Geheimdienste und Behörden der "Five- Eyes"-Staaten (USA, Großbritannien, Kanada, Australien und Neuseeland) Daten sammeln und auswerten, ohne auf Safe Harbor Rücksicht zu nehmen. Maximilian Schrems erhob daraufhin bei der zuständigen Datenschutzbehörde in Irland Beschwerde darüber, dass Facebook seine Daten auf Grundlage von Safe Harbor in die USA übertragen hatte und behauptete, dass in den USA kein angemessenes Datenschutzniveau bestehen würde. Damit konstatierte er auch, dass die EU-Entscheidung zu Safe Harbor nicht richtig und zu überprüfen sei.

Die irische Datenschutzbehörde sah sich an die EU-Entscheidung gebunden und beschied Herrn Schrems abschlägig, woraufhin dieser Klage beim zuständigen irischen Gericht erhob. Das wiederum sah sich gezwungen, die Angelegenheit dem Europäischen Gerichtshof (EuGH) vorzulegen. Dieser entschied mit Urteil vom 6. Oktober 2015, dass die Safe-Harbor- Entscheidung der EU ungültig sei.

Die Konsequenzen
Nach dieser richtungsweisenden Entscheidung stellten sich Fragen darüber, wie Unternehmen nun Daten zwischen den beiden Kontinenten austauschen können, wenn Safe Harbor nicht mehr als Rechtsgrundlage herangezogen werden kann. Es gibt neben Safe Harbor jedoch weitere Möglichkeiten, eine Rechtsgrundlage für eine Datenübertragung in die USA (oder andere Länder) zu schaffen. Vorrangig werden momentan zwei unterschiedliche Methoden genutzt, die eine sind die sogenannten "EU Model Clauses" sowie "Binding Corporate Rules".

EU Model Clauses sind Vertragsbedingungen, die die EU-Kommission vorgibt, die nicht verändert werden dürfen und bei deren Einhaltung davon ausgegangen wird, dass beim Empfänger ein angemessenes Datenschutzniveau besteht. Diese Vertragsbedingungen werden vielfach genutzt und der Umgang mit ihnen ist wohlbekannt. Möchte ein Unternehmen Änderungen daran vornehmen, muss es diese von den Datenschutzbehörden genehmigen lassen – was angesichts des damit verbundenen Aufwandes in der Regel unterlassen wird. Eine der bekannten Ausnahmen davon ist Microsoft, das einige Veränderungen durch den Genehmigungsprozess gebracht hat.

Binding Corporate Rules und Binding Processor Rules sind Regelwerke, die sich ein Unternehmen (BCR für nachfragende Unternehmen, BPR für Anbieter) gibt und die ein aufwendiges Genehmigungsverfahren bei den Datenschutzbehörden bedeuten. Alleine schon die Abfassung der Regelwerke ist nicht einfach und bedarf vielfacher Abstimmung mit den Behörden. Das sich daran anschließende Genehmigungsverfahren ist ebenfalls aufwendig und dürfte sich im Bereich von zwei bis drei Jahren bewegen.

Nachfolger: EU-US-Privacy Shield
Am 2. Februar hat die EU die Absicht erklärt, ein sogenanntes "EU-US Privacy Shield" in Form eines Briefaustausches zu vereinbaren. Zwischen der EU und den USA will sie damit der Datenübertragung von personenbezogenen Daten aus der EU in die USA, soweit sie bisher auf Safe Harbor gestützt wurde, eine neue Rechtsgrundlage geben – dann wohl mit einer Adäquanzentscheidung der EU-Kommission gekoppelt. Die Adäquanzentscheidung würde besagen, dass das Datenschutzniveau in den USA als ebenso hoch wie in der EU angesehen wird.

Gegenstand des Briefwechsels zuvor soll sein, dass die USA sich verpflichten die Unternehmen, die in den USA aufgrund eines solchen Briefwechsels personenbezogene Daten empfangen, stärker zu kontrollieren und enger mit den Datenschutzbehörden in der EU zusammenzuarbeiten. Im Weiteren sollen die Zugriffsrechte der staatlichen Behörden in den USA begrenzt werden und ein Ombudsmann eingesetzt werden. Betroffene Bürger der EU sollen ähnliche Auskünfte über die Verwendung ihrer personenbezogenen Daten erhalten wie auch in den Mitgliedsstaaten der EU.

Anfang Februar war das alles aber reine Absichtserklärung und ist kein konkreter Text zu Ende verhandelt worden. Wie die Datenschutzbehörden sich zu dem Thema stellen, war zum Redaktionsschluss dieser Ausgabe noch unbekannt. Absehbar ist, dass massive Kritik aufkommen wird. Ein Briefwechsel wird vielen als rechtlich nicht bindend genug erscheinen. Der Ombudsmann scheint mit wenig bis gar keiner Macht ausgestattet zu sein.

Die Rechtslage hinsichtlich des Zugriffs auf Daten durch Behörden in den USA soll nicht geändert werden, sondern es soll lediglich eine Interpretation davon im Briefwechsel festgehalten werden. Nicht angesprochen wurde bisher auch, ob die Unternehmen, die sich bisher dem Safe Harbor Regime unterwerfen, automatisch auch dem neuen Regime unterworfen werden. Ob die Lösung also Bestand haben wird oder nicht, lässt sich derzeit noch nicht sagen.

Fazit
Die Entscheidung des EuGH hat wieder einmal gezeigt, dass sich der Weg zu Gericht lohnen kann und dass die obersten Gerichte durchaus folgenschwere Entscheidungen treffen. Inwieweit der "US-EU-Privacy Shield" die personenbezogenen Daten in den USA zukünftig wirklich schützt, war zum Redaktionsschluss dieser Ausgabe noch nicht absehbar.

Rechtsanwalt Alexander Eichler (alexander@ eichler.com) arbeitet seit mehr als 17 Jahren als IT-Anwalt unter anderem in den Bereichen Cloud Computing, Outsourcing, Datenschutz, internationaler Datentransfer, Softwarelizenzierung sowie Projektverträgen.
1.03.2016/Alexander Eichler/dr

Nachrichten

Besser kommunizieren [8.07.2020]

Ein übersichtlicheres Präsenz-Management, weitere Funktionen für den Chat, vereinfachte Anbindung von CRM- und ERP-Lösungen, komfortablere Konfiguration und höhere Skalierbarkeit für SIP Softphones – das verspricht Version 7 von ProCall Enterprise. [mehr]

Hoher Durchsatz in dichten Umgebungen [7.07.2020]

Zyxel hat sein Portfolio um neue WiFi-6-Access-Points für kleine und mittelständische Unternehmen erweitert. Die Geräte bieten laut Hersteller einen bis zu sechsmal höheren Durchsatz als 11ac-Access-Points in Umgebungen mit hoher Dichte. [mehr]

Tipps & Tools

Download der Woche: Krisp [8.07.2020]

Vor allem bei Video- oder Audiokonferenzen ist eine leise Umgebung sehr wichtig. Mit dem kostenlosen Tool "Krisp" können Sie Hintergrundgeräusche, die gerade im Home Office recht häufig entstehen, per Knopfdruck reduzieren. Die Software unterstützt derzeit über 800 Apps, unter anderem Zoom, Microsoft Teams und Skype. [mehr]

Sicherheitslücke in Remote-Desktop-Gateway [7.07.2020]

Sicherheitsforscher von Check Point haben eine riskante Schwachstelle in der Open-Source-Software Apache Guacamole aufgedeckt. Ein Cyberkrimineller könne das Gateway ausnutzen, um ein Firmennetzwerk zu infiltrieren und sogar komplett zu übernehmen. Viele Organisationen verwenden Apache Guacamole, da Mitarbeiter lediglich den Webbrowser benötigen, um sich einzuwählen. [mehr]