Safe Harbor gekippt: Das müssen Sie jetzt wissen | KPMG | DE
Safe Harbor

Safe Harbor gekippt: Das müssen Sie jetzt wissen

Safe Harbor gekippt

Safe Harbor gekippt: Das müssen Sie jetzt wissen

Der Österreicher Maximilian Schrems prozessierte gegen Facebook und errang vor dem Europäischen Gerichtshof einen Teilsieg.

Mark Zuckerbergs milliardenschwerer Konzern überträgt personenbezogene Daten vom europäischen Firmensitz in Irland zum Hauptsitz in die USA und wendet dabei die „Safe Harbor“-Regelung an. Diese legt die Rahmenbedingungen für die Datenübertragung fest. Dabei muss ein angemessenes Schutzniveau der Daten im Zielland herrschen. Weil die Datenschutzbestimmung der USA dieses nicht erfüllt, hatte der EuGH das Abkommen gekippt. Das Urteil überrascht Branchenkenner und KPMG-Partner Peter Heidkamp nicht, jedoch „mit welcher Klarheit das Gericht auch die Rolle der NSA darstellt.“ Zusammen mit KPMG-Expertin Barbara Scheben spricht Peter Heidkamp über die Folgen des Urteils.

Was bedeutet das Urteil für Unternehmen?

Laut der „Süddeutsche Zeitung“ ist nicht nur Facebook betroffen. Rund 5.500 US-Unternehmen speichern Daten europäischer Kunden in den Vereinigten Staaten, unter ihnen Twitter, Yahoo und Google. In den Richterspruch war eingeflossen, dass Geheimdienste wie die NSA ebenfalls auf diese Daten zugreifen können.

„Bisher konnten Unternehmen personenbezogene Daten aus EU-Ländern in die USA übertragen, wenn die empfangende Stelle sich öffentlich gegenüber der Federal Trade Commission (FTC) auf datenschutzrechtliche Prinzipien verpflichtet hatte. Durch die Entscheidung besteht diese Möglichkeit nicht mehr. Unternehmen müssen nun anders dafür sorgen, dass seitens der empfangenden Stelle in den USA ein angemessenes Datenschutzniveau besteht“, erklärt Barbara Scheben die gegenwärtige Situation: „Ansonsten ist eine Übermittlung rechtswidrig“.

Wie die „Wirtschaftswoche“ berichtet, haben bislang 4.410 Unternehmen von „Safe Harbor“ Gebrauch gemacht. Die US-Regierung zeigte sich nach dem Urteilsspruch enttäuscht und sieht die aufstrebende Digitalwirtschaft zwischen den Staaten gefährdet. Dazu Peter Heidkamp: „Wichtig für digitales Wachstum ist es, ausreichend Vertrauen zu schaffen und die Souveränität von Unternehmen und Personen zu wahren. Für eine langfristig florierende transatlantische Digitalwirtschaft brauchen wir einen fairen Wettbewerb durch international vergleichbare regulatorische Standards“.

„Neben „Safe Harbor“ existieren weitere Möglichkeiten, die Datenübertragungen nach europäischem Recht in die USA zu ermöglichen“, erklärt Scheben. Übermittlungen könnten etwa unter der Verwendung von EU-Standardvertragsklauseln erfolgen, die ein angemessenes Schutzniveau garantieren. „Internationale Konzerne könnten darüber hinaus Binding Corporate Rules einführen. Dabei handelt es sich um unternehmensweite Datenschutzregelungen, die von den zuständigen Behörden der Länder anerkannt wurden“, so Scheben.

Facebook macht vorerst weiter

Von diesen „Binding Corporate Rules“ profitiert auch Facebook: Obwohl die Datenhandhabe des US-Unternehmens Ausgang für die Klage war, darf Facebook vorerst weiter Daten in Übersee speichern, da bei Zustimmung der AGBs diese auch auf Punkt 16.1 zutrifft: „Du bist damit einverstanden, dass deine persönlichen Daten in die USA weitergeleitet und dort verarbeitet werden.“

Facebook muss allerdings damit rechnen, dass die Verfahrensweise geprüft wird. „Aktuell bleibt fraglich, inwieweit diese Optionen in Zukunft bestehen bleiben. Es ist denkbar, dass EU-Standardvertragsklauseln und Corporate Binding Rules nicht mehr dem geforderten Schutzniveau genügen“, so Scheben. Denn auch diese können den Datenzugriff von US-Behörden nicht unterbinden.

Speicherort USA attraktiv

Die USA sind als Datenspeicherort beliebt, weil vorranging US-Unternehmen Cloud-Lösungen anbieten und durch internationale Netzwerke und riesige Rechenzentren erhebliche Skaleneffekte erzielen. Peter Heidkamp: „Davon können und wollen auch deutsche Unternehmen profitieren“.Unternehmen sollten jetzt klären, auf welcher Rechtsgrundlage personenbezogene Daten in die USA übermittelt werden und welche Handlungsalternativen bestehen. Darüber hinaus kann die Einwilligungen von Nutzern eingeholt werden, in der die Reichweite der Datenverarbeitung und Risiken deklariert sind. „Allerdings untersagt es das amerikanische Recht, die Zusammenarbeit mit Geheimdiensten nach außen offenzulegen“, so Scheben.

Peter Heidkamp sieht noch einen anderen Trend, der durch „Safe Harbor“ angestoßen werden könnte: „Kurzfristig werden wir verstärkt nationale Cloud-Angebote sehen, vielleicht sogar geschickt kombiniert mit internationalen Anbietern.“

Verwandte Inhalte