Mit Safe-Harbor-Urteil in unsicheres Fahrwasser

Ein englisches Sprichwort sagt:" Ein Schiff ist im Hafen sicher, doch dafür wurde es nicht gebaut". Daten erstellen und auf heimischer Festplatte sichern, vielleicht noch mit einem Backup auf externer Festplatte - auch das ist sicher. Doch sind schon Privatpersonen damit nicht mehr zufrieden und nutzen Clouds. Unternehmen tun dies in großem Umfang. Und sie taten es bis vor kurzem auf Basis des Safe-Harbor-Abkommens. Damit ist es nun vorbei.

Safe Harbor bezeichnet eine Entscheidung der Europäischen Kommission auf dem Gebiet des Datenschutzrechts aus dem Jahr 2000. Diese ermöglichte es Unternehmen personenbezogene Daten, in Übereinstimmung mit der europäischen Datenschutzrichtlinie, aus einem Land der EU in die USA zu übermitteln. Am 06. Oktober 2015 wurde dieses, mit den USA abgestimmte Abkommen, vom Europäischen Gerichtshof (EuGH) gekippt und für ungültig erklärt.

Diese Entscheidung betrifft nicht nur Facebook & Co., sondern hat neben seinen weitreichenden Konsequenzen für internationale Internet-Konzerne auch für den deutschen Mittelstand Auswirkungen. Damit ist neben den etwa 5000 Unternehmen, die sich für eine Datenübermittlung nach Safe Harbor registriert haben, praktisch jede Firma gemeint, die die Datenverarbeitung an einen Anbieter auslagert, der mit Servern im außereuropäischen Ausland arbeitet.

Die Frage, die sich nun stellt ist: Wie gelangen deutsche Nutzer wieder zu Rechtssicherheit?

Sofern die gesetzlichen Voraussetzungen beachtet werden, sind Datenübermittlungen in die USA weiterhin möglich. Wenn deutsche Unternehmen also auf dieser Art Cloud-Lösungen nicht verzichten wollen, geht das nicht mehr unisono, sondern nur, wenn sie mit den US-Unternehmen sogenannte EU-Standardvertragsklauseln vereinbaren. Und so bieten einige große Provider diese Standardvertragsklauseln auch von sich aus an, um zunächst rechtliche Sicherheit für den Umgang mit personenbezogenen Daten zu bieten. Aktuell ist allerdings noch nicht abschließend geklärt, ob diese Standardvertragsklauseln in Zukunft von den Datenschutzbehörden noch akzeptiert werden. Und so gibt es augenblicklich zwar kaum eine andere Lösung, doch steht diese auf wackligen Beinen.

Beim Thema Datenschutz nahmen in jüngerer Vergangenheit die Bußgeldverfahren zu. Die Entscheidung des EuGH könnte dieser Tendenz weiteren Schub verleihen. Beispielsweise besteht für Unternehmen, die gegen das Datenschutzrecht verstoßen, nach der neueren Rechtsprechung das Risiko, hierfür von Wettbewerbern kostenpflichtig abgemahnt zu werden. Da die Datenschutzbehörden auch die Standardvertragsklauseln infrage stellen könnten, heißt es wachsam bleiben.

Das Urteil hat also in einen unheilvollen Kreislauf gemündet. Wie groß der technische oder wirtschaftspolitische Schaden ist, mag man heute noch nicht beurteilen können. Nur eins ist momentan klar: Jede Cloud-Anwendung außerhalb des EU-Wirtschaftsraums bietet Platz für Spekulationen und ist insofern unzuverlässig. Man kann nur hoffen, dass die Datenschutzbehörden sich selbst in die Pflicht nehmen, den Unternehmen einen gangbaren Weg aufzuzeigen. Immerhin haben sie die Standardvertragsklauseln 15 Jahre lang akzeptiert.

Dass die Klage eines österreichischen Studenten gegen Facebook dauerhaft solch inakzeptable Konsequenzen eines rechtsfreien Raumes hinterlässt, mag man sich jedenfalls nicht vorstellen wollen.


Zurück