Drei Netzwerkstecker in den Farben gelb, rot und schwarz vor amerikanischer Flagge

Alternativen zu Safe-Harbor waren bislang die 'informierte Einwilligung' oder der EU-Standardvertrag. - Bild: Fotolia Ralf Kalytta

| von Evelyn de Andrade Mahlik

Wer sich bislang auf das Safe-Harbor Abkommen gestützt hat, darf auf dieser Grundlage keine personenbezogenen Daten mehr in die USA exportieren. Doch auch alternative Rechtsinstrumente sind nicht mehr uneingeschränkt anwendbar. "Es herrscht eine große Rechtsunsicherheit", sagt Rechtsanwalt Thomas Steinle. Die unterschiedliche Positionierung der Datenschutzaufsichtsbehörden verstärkt die Unsicherheit.

Alternativen zu Safe-Harbor waren bislang die 'informierte Einwilligung' oder der EU-Standardvertrag. Doch unter den Aufsichtsbehörden ist nun ein Streit entbrannt, was davon noch rechtsgültig ist. "Der Kritikpunkt des europäischen Gerichtshofs war ja, dass die Geheimdienste in den USA weitgehend Zugriff auf die Daten der EU-Bürger haben und den betroffenen Personen kein effektiver Rechtsschutz zusteht, sich gegen solche Zugriffe zu wehren", so Steinle, Inhaber der Kanzlei IT-Recht und Datenschutz. Entsprechend sehen manche Aufsichtsbehörden auch diese Alternativen als nicht zulässig.

Steinle teilt diesen Blickpunkt: "Seien wir mal ehrlich, wenn die Geheimdienste wollen, werden sie auf meine Daten zugreifen, auch wenn ich einen EU-Standardvertrag abschließe."

EU-Kommission arbeitet an Safe-Harbor 2.0

Grafische Darstellung der Cloud28+ inform einer quer aufgeschnittenen Wolke. Auf der unteren Hälte steht eine Gruppe Menschen
Cloud28+ ist ein auf den europäischen Markt zugeschnittenes Angebot von IT-Dienstleistungen. - Bild: Cloud28+

Amazon, Microsoft und Hewlett Packard Enterprise (HPE) haben bereits reagiert und Rechenzentren in Europa eingerichtet. "Der Schutz von Daten ist in der Cloud generell ein komplexes Thema", sagt Patrik Edlund, Pressesprecher von HPE. Der Konzern bietet diverse Cloud- und Hosting-Dienstleistungen an, beispielsweise für MES oder SAP.

Anwender-Firmen nutzten oft eine Mischung aus unterschiedlichen Cloud-Diensten unterschiedlicher Anbieter, die in unterschiedlichen Ländern ihren Hauptsitz und ihre Rechenzentren haben. Dabei unterliegen sowohl Anbieter als auch Nutzer einer Fülle von unterschiedlichen Regularien.

Angesichts dieser Hemmnisse bleibe man bei HPE erst einmal gelassen. Man überprüfe die Situation von Fall zu Fall, dabei könne es durchaus sein, dass gehandelt werden müsse. Doch in der Regel würden Datentransfers auf der Basis von EU-Standardvertragsklauseln und Binding Corporate Rules abgewickelt.

"Das größte Problem haben Unternehmen, die in den USA produzieren. Sie müssen auf Server zugreifen können, die in der Nähe stehen. Für produzierende Unternehmen sind die Latenzzeiten eines transatlantischen Datenverkehrs zu lang", berichtet Edlund und verweist auf Cloud28+.

Dahinter verbirgt sich ein auf den europäischen Markt zugeschnittenes Angebot von IT-Dienstleistungen. "Cloud28+ ist eine gemeinsame Initiative von Service-Providern, Softwarehäusern, Entwicklern und öffentlichen Einrichtungen. Sie verfolgt das Ziel, durch einen zentralen EU-Marktplatz für Cloud-Dienste die Hürden des fragmentierten europäischen Marktes zu überwinden", so Edlund.

Und die EU-Kommission arbeitet mit Hochdruck an einer neuen Vereinbarung, also einem Safe-Harbor 2.0, das einen Schutz vor dem Zugriff der Geheimdienste gewährleisten soll. "Ob es soweit kommt, steht in den Sternen", meint jedoch RA Steinle.

IT-Rechtsanwalt Thomas Steinle zur Rechtslage

Abbildung von Thomas Steinle im weißen Hemd mit Brille, dunkle Haare
Thomas Steinle, Fachanwalt für Informationstechnologierecht, Kanzlei für IT-Recht & Datenschutz: "Das Problem lässt sich nicht lösen, solange US-Behörden weitgehenden Zugriff auf personenbezogene Daten von EU-Bürgern in den USA nehmen."

Wer ist betroffen? Alle Firmen, die personenbezogene Daten in die USA exportieren, oder den Zugriff auf Daten erlauben:

Firmen die,

  • amerikanische Dienstleister für beispielweise die Fernwartung in Anspruch nehmen, wenn hierbei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
  • Dienste wie Dropbox, Microsoft- Dienste, amerikanische Online-Tools, wie Mailgimp, salesforce usw. in Anspruch nehmen, sofern diese die personenbezogenen Daten in den USA verarbeiten.
  • Global organisierte Unternehmen, die Niederlassungen in den USA betreiben oder Tochterfirmen von amerikanischen sind.
  • den Zugriff eines amerikanischen Unternehmens auf nicht personenbezogene Daten erlauben, wenn diese auf einem PC liegen. Denn von dort aus kann in der Regel auf personenbezogene Daten wie etwa Mails, Namen, Adressen... zugegriffen werden.

Global vernetzte Unternehmen sollten bei einem geplanten Datenexport in ein Nicht-EU oder Nicht-EWR-Land wissen:

  • Transferiere ich für den Datenschutz relevante Daten (Namen, Anschrift, IP-Adressen, Telefonnummer, E-Mailadressen, usw.)?
  • Ist ein Datenexport zwingend notwendig?
  • Wo liegt der Sitz des Geschäftspartners, der Niederlassung, beziehungsweise des Servers? Die EU-Kommission hat eine Übersicht sicherer Drittstaaten außerhalb der EU erstellt, die ein mit der EU vergleichbares Datenschutzniveau einhalten (dazu gehören zurzeit Schweiz, Kanada, Argentinien, Andorra, Färöer, Guernsey, Israel, Isle of Man, Jersey, Australien, Neuseeland und Uruguay). Ein Datenexport in diese sog. sicheren Drittstaaten ist datenschutzrechtlich unkritisch.
  • Liegt ein gesetzlich geregelter Ausnahmefall gemäß § 4c BDSG vor, welcher einen Datenexport ausnahmsweise zulässig macht, zum Beispiel die erforderliche Datenübermittlung zur Erfüllung eines Vertrages mit dem Betroffenen oder etwa für die Wahrung lebenswichtiger Interessen des Betroffenen?
  • Bei der Entscheidung für den EU-Standardvertrag sollte man sich genau überlegen, worauf man sich einlässt. Denn der Vertrag enthält beispielsweise Haftungsregelungen und Überwachungspflichten. Ferner gibt es verschiedene Varianten der EU-Standardvertragsklauseln und in bestimmten Fällen halten die deutschen Aufsichtsbehörden Modifikationen dieser Verträge für erforderlich.