12-10-2015 Gedruckt am 25-06-2017 aus www.monitor.co.at/index.cfm/storyid/16562

Datenschutz-Tsunami

EuGH schickt Safe Harbor in die Wüste

Die Politik hat's (wieder mal) nicht auf die Reihe gebracht, jetzt beendet der EuGH die juristische Wehrlosigkeit der EU-Bürger gegenüber Facebook, Google und Co. Die Aufkündigung des Safe Harbor-Abkommens hat aber auch enorme Auswirkungen auf die so genannte Cloud. Europäische Anbieter wittern bereits Morgenluft.

Amerikanische Häfen sind für Europas Daten doch nicht so sicher, findet der EuGH. Foto: Gabi Schoenemann / pixelio.de

Das Urteil kam wie ein Paukenschlag und hat das Potenzial, die globale Datenwirtschaft nachhaltig zu verändern. Der Europäische Gerichtshof akzeptiert den Datentransfer von Europa in die USA nicht mehr einfach s ohne weiteres, zumindest nicht, solange der Datenschutz in den USA nicht gewährleistet ist.
 
Das "Safe Harbor-Abkommen" aus dem Jahr 2000 hatte zum Inhalt, dass die Daten von EU-Bürgern dort einfach für sicher erklärt wurden. Und damit (angeblich) im Einklang mit dem Europäischen Datenschutzrichtlinien sind. Edward Snowdens Enthüllungen von 2013 haben aber inzwischen gezeigt, dass europäische Daten in den USA auch den US-Geheimdiensten zur Verfügung stehen. Das Fazit des Gerichts: Ein Hafen ist nicht schon deshalb sicher, weil er als sicher definiert wird. Systematische Mängel beim Datenschutz der EU-Bürger in den USA werden jetzt nicht mehr einfach so hingenommen.
 
Als wesentlichen Grund für seine Entscheidung führt das Gericht aus, dass Regelungen des Safe Harbor-Abkommens zwar für amerikanische Unternehmen gelten, die sich ihr unterwerfen, nicht aber für die Behörden der Vereinigten Staaten. Für diese hätten die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten stets Vorrang. Mit der Folge, dass die amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die Safe Harbour-Regeln in solchen Fällen außer Acht zu lassen und entsprechenden behördlichen Auskunftsersuchen nachzukommen.
 
„In der bisherigen Form stand dieses Abkommen im krassen Widerspruch zum europäischen Verständnis eines angemessenen Datenschutzlevels. Die Entscheidung des Europäischen Gerichtshofes ist ein elementarer Schritt in Richtung globaler Rahmenbedingungen, die der in einer sich digitalisierenden Wirtschaft stetig zunehmenden Relevanz von Daten gerecht werden. Wir benötigen zudem auch eine für alle Beteiligten bindende Garantie, dass rechtmäßig und auf Grundlage staatlicher Abkommen erlangte Daten nicht herausgeben werden“, meint etwa Thomas Duhr, Vizepräsident des deutschen Bundesverbands Digitale Wirtschaft.

Cloud-Kunden haben jetzt ein Problem...

Problematisch könnte das Urteil jetzt für jene Unternehmen werden, die im Rahmen des IT-Outsourcing die Leistungen US-amerikanischer Anbieter in Anspruch nehmen oder kommerzielle Cloud-Dienste US-amerikanischer Unternehmen nutzen. Datenschutzbehörden können nun nämlich prüfen, ob bei Datenübermittlungen von Unternehmen in die USA die Anforderungen des Unionsrechts an den Schutz dieser Daten eingehalten werden. Hier ist davon auszugehen, dass die Datenspeicherung in den USA von den europäischen Datenschutzbehörden als unzulässig angesehen werden wird. Das gleiche dürfte gelten, sofern ein Zugriff auf in der EU gespeicherte Daten aus den USA möglich ist.
 
Kein Wunder also, dass bei Europas Cloud-Anbieter Feierlaune herrscht. Das Aus für Safe Harbor wird allgemein als Riesenchance gesehen, um mit europäischen Cloud-Angeboten endlich gegenüber der übermächtigen amerikanischen Konkurrenz punkten zu können. Theoretisch könnten US-Anbieter zwar nach wie vor auf die Standardvertragsklauseln der EU oder Binding Corporate Rules verweisen, das wird ihnen jedoch nicht viel bringen, da gegen diese dieselben Bedenken wie gegen Safe Harbor bestehen. Darüber hinaus könnten sie die ausdrückliche Einwilligung aller Beteiligten zur Übertragung ihrer Daten einholen. Doch auch das wird wegen der Vielzahl der Betroffenen kaum realisierbar sein. Die momentan einzige und rechtlich wirklich sichere Lösung ist es, auf einen europäischen Cloud-Anbieter zu setzen, dessen Unternehmenszentrale und Rechenzentren sich in Europa (vorzugsweise in Österreich oder Deutschland) befinden.