Der EuGH hat heute Vormittag die Entscheidung der EU-Kommission vom 26.07.2000, wonach das Safe-Harbour-Abkommen als Erlaubsnisnorm für die Datenübermittlung in die USA anzusehen ist, für ungültig erklärt. Damit fällt auch das Safe-Harbour-Abkommen an sich. Fortan können Datenschutzbehörden innerhalb der Europäischen Union daher selbständig entscheiden, ob die Übermittlung personenbezogener Daten in die USA rechtmäßig ist oder nicht.
Allein die Tatsache, dass das datenempfangene Unternehmen in den USA sich Safe-Harbour hat zertifizieren lassen, reicht nun nicht mehr aus, um eine Überprüfung der nationalen Datenschutzbehörden zu verhindern.
Warum ist das wichtig für Sie?
Ab sofort gelten für die Nutzung von US-geführten Cloud-Diensten wie Google Drive, Microsoft Skydrive, Salesforce, Amazon Webservices, Dropbox u.ä. neue Regeln. All diese Unternehmen sind Safe-Harbour zertifiziert und haben sich in der Werbung daher als “EU-datenschutzkonform” präsentiert.
Wenn Sie mit Ihrem Unternehmen daher ebenfalls Cloud-Dienste von US-Firmen nutzen, dann sollten Sie nun schnell handeln.
Die Privatnutzung dieser Cloud-Dienste ist dagegen weniger problematisch, da hier regelmäßig eine Einwilligung gemäß Nutzungsbedingungen vorliegen muss, die von den jeweiligen Anwendungen vor Benutzung eingeholt werden. Auch wenn Sie mit Ihrem Unternehmen in anderer Form auf US-Server zugreifen oder den Zugriff auf ihre deutschen Server durch Mitarbeiter der US-Mutter- oder Tochtergesellschaft zulassen, dürfte dieser Zugriff bislang unter Hinweis auf Safe-Harbour zulässig gewesen sein. Dies ist nun nicht mehr der Fall.
Was ist zu tun?
Prüfen Sie schnellstmöglich, ob von Rechnern Ihres Unternehmens auf US-Server zugegriffen wird (z.B. Cloud-Services) oder Mitarbeiter von US-Dienstleistern oder US-Konzerngesellschaften auf ihre deutschen Server zugreifen können. Falls dies der Fall ist, dann sollten Sie handeln. Es gibt eine Alternative zu Safe-Harbour: Den Abschluss von Standardvertragsklauseln.
Die Firma Microsoft bietet solche Standardvertragsklauseln bereits an, ist daher auf die kommende Datenschutz-Welle gut vorbereitet. Sprechen Sie mit den US-Unternehmen, ob diese nun aufgrund der Entscheidung bereit sind, ebenfalls einen Vertrag unter Verwendung der Standardvertragsklauseln mit Ihnen abzuschließen. Dann sind Sie gut aufgestellt.