Safe Harbor verletzt Grundrechte
Doch letzten Oktober hat der Europäische Gerichtshof (EuGH) den sicheren Hafen geschleift. Die Richter entschieden, die anlasslose Massenüberwachung von Europäern durch amerikanische Geheimdienste verletze das Grundrecht auf Achtung des Privatlebens. Überdies sei ein wirksamer Rechtsschutz in den USA nicht gegeben, da EU-Bürgern dort kein Verfahren zur Berichtigung oder Löschung ihrer Daten zur Verfügung stünde. Daher erklärten sie das Safe-Harbor-Abkommen für ungültig. Unternehmen, die die transatlantische Datenübertragung auf Safe Harbor stützten, waren in der Folge der Rechtsgrundlage für ihr Handeln beraubt.
Auch KMU betroffen
Sie fühlen sich nicht betroffen, schließlich war Ihr Unternehmen nie Safe-Harbor-zertifiziert? Ganz so einfach liegt die Sache leider nicht! Immer mehr mittelständische Unternehmen nutzen Cloud-Lösungen. Dazu gehören E-Commerce-Plattformen genauso wie cloudbasierte CRM- oder ERP-Programme oder Marketing-Tools. Sofern der Anbieter Ihre Daten in den Vereinigten Staaten verarbeitet, sind Sie potenziell betroffen.
Bisher profitierte der Safe-Harbor-basierte Datentransfer in die USA von einer Gnadenfrist der europäischen Datenschützer. Seit Ende Januar ist diese abgelaufen. Die meisten amerikanischen Cloud-Anbieter, die sich bisher auf eine Safe-Harbor-Zertifizierung verließen, weichen momentan auf die von der EU-Kommission bereitgestellten Standardvertragsklauseln aus. Diese bieten die Möglichkeit, den vom europäischen Recht geforderten Datenschutzstandard gegenüber dem Kunden auf vertraglicher Basis zu garantieren. Da sich die amerikanischen Geheimdienste von den Standardvertragsklauseln allerdings kaum beeindrucken lassen, ist es mehr als fraglich, ob diese vor dem EuGH bestand haben werden.
Neues Abkommen mit den USA
Die EU-Kommission steht darum unter Hochdruck, mit den USA ein Ersatzabkommen für Safe Harbor auszuhandeln. Am 2. Februar präsentierte die zuständige Justiz-Kommissarin Věra Jourová erste Details. Die neue Vereinbarung erhält den sinnigen Namen "Privacy Shield". Unionsbürger sollen besseren Rechtsschutz erhalten. Das US-Außenministerium richtet ferner einen Ombudsmann ein, an den sich Europäer bei Datenschutzproblemen wenden können. Eine zentrale Rolle spielt die in Aussicht gestellte schriftliche Zusage des amerikanischen Geheimdienstdirektors, künftig auf die Massenüberwachung von EU-Angehörigen zu verzichten. Ein gemeinsames Gremium europäischer und amerikanischer Behörden soll die Einhaltung der Vereinbarungen jährlich prüfen.
Kritik an Privacy Shield
Noch ist vieles unklar, doch in Datenschutzkreisen regt sich erste Kritik. Die notwendigen Änderungen für einen besseren Rechtsschutz europäischer Bürger haben den US-Kongress noch nicht passiert. Der Gesetzentwurf gewährt EU-Angehörigen außerdem einen schlechteren Zugang zur Justiz als Amerikanern. Abgesehen von einem Anspruch auf Auskunft und Berichtigung oder Löschung ihrer Daten soll ihnen kein Recht zustehen, die Datenverarbeitung selbst auf ihre Rechtmäßigkeit prüfen zu lassen. Welche US-Behörden mit welcher Begründung auf die Daten zugreifen dürfen, scheint noch offen zu sein. Dass der EuGH der Erklärung des amerikanischen Geheimdienstdirektors Glauben schenken wird, darf im Übrigen bezweifelt werden.
Jetzt handeln
Der Datentransfer über den Atlantik bleibt rechtlichen Stürmen ausgesetzt. Ob Privacy Shield dereinst besseren Schutz bietet als Safe Harbor, wird sich weisen. Unterdessen sollten Sie – sofern Sie es nicht schon getan haben – die Verträge mit Ihren Cloud-Anbietern überprüfen und gegebenenfalls anpassen. Auch der Wechsel zu europäischen Anbietern oder solchen, die Ihre Daten auf europäischen Servern speichern, ist einen Gedanken wert.