„Pivacy-shield“ statt „safe harbour“ für transatlantischen Datenverkehr?

 

Im Oktober 2015 hat der Europäische Gerichtshof (EuGH) das sogenannte „Safe Harbour-Abkommen“ zur transatlantischen Datenspeicherung zwischen der EU und den USA für nichtig erklärt; damals wurden erhebliche Schwierigkeiten für europäische Unternehmen befürchtet, die Datenspeicher in Übersee nutzen. Andererseits nahmen Speicher- und Mailprovider mit Sitz in der EU weiteren Aufschwung. Was ist nun aus der Aufregung geworden?
Hintergrund des „Safe-Harbour-Abkommens“ ist die Europäische Datenschutzrichtlinie, die es Unternehmen nur unter strengen Auflagen erlaubt, Daten ihrer Kunden an Dritte, speziell ins Ausland, weiterzugeben. Solche Dritte sind auch – und vor allem – EDV-Provider, also Cloudspeicher und Mailserver. Jedes Unternehmen, das seine Kundendaten in der Cloud speichert oder auch nur sichert, unterliegt daher der Richtlinie, die unter anderem eine Einwilligung der Kunden verlangt, aber auch hohe Anforderungen an die Sicherung der Daten gegen Weitergabe oder den Zugriff etwa staatlicher Stellen stellt. Das „Safe-Harbour-Abkommen“ war nun eine Art Rahmenvertrag, der die Einhaltung der europäischen Anforderungen für Server in den USA pauschal sicherstellen sollte – allerdings nicht ausreichend, wie der EuGH befand: Das von der Datenschutzrichtlinie geforderte „Schutzniveau“ für Daten sei in den USA nicht gegeben, weil dort staatliche Stellen in weitem, nach europäischen Maßstäben grundrechtswidrigem Umfang Zugriff auf private Server haben oder erzwingen können.
Seit dem Urteil des EuGH bewegen sich Unternehmen, die Datenspeicher mit Standort in den USA nutzen, auf rechtlich dünnem Eis; strenggenommen spricht viel dafür, dass die Übermittlung der Daten nach Amerika illegal ist, auch wenn die zuständigen Datenschutzbehörden dazu keine einheitliche Meinung haben. Die EU-Kommission hat mit den USA bereits den Entwurf eines Nachfolgeabkommens mit dem wohlklingenden Titel „US-EU-privacy-shield“ erarbeitet. Experten, unter anderem die offizielle „Artikel 29 Datenschutzgruppe“ der EU, sehen dieses jedoch kritisch. Es bleibt abzuwarten, ob und wie eine rechtssichere Lösung gefunden werden kann. Bis dahin sind Unternehmen, die ihren Datenspeicher nicht nach Europa verlagern, gut beraten, sich rechtlich abzusichern.

Undefined

Kontakt

Malmendier Hellriegel
Partnerschaft von Rechtsanwälten
mit beschränkter Berufshaftung
Kurfürstendamm 213
10719 Berlin

Telefon: +49 30 59 00 30 4 - 0
Telefax: +49 30 59 00 30 4 - 48

E-Mail: office@malmendier-partners.com