Nach dem Safe-Harbor Urteil

Datum: 07.10.2015

Dem “sicheren Hafen” hat der EuGH erst einmal das Wasser abgedreht. Die zurzeit einzige Alternative ist es, einen deutschen Provider mit Rechenzentren im Inland zu wählen.

Als “Kampf David gegen Goliath” titulierten zahlreiche Medien das Geschehen rund um Max Schrems, der sich mit amerikanischen Unternehmen, ganz vorne weg Facebook, anlegte … und letztlich das Safe-Harbor-Abkommen zu Fall brachte.

Was steckt hinter dem Safe-Harbor-Abkommen? Innerhalb der EU und ganz besonders innerhalb Deutschlands gilt ein besonderer Schutz für personenbezogene Daten. Darunter fallen gemäß Bundesdatenschutzgesetz alle Daten und Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Der Umgang mit diesen Daten ist dem Gesetz nach nur unter einer engen Zweckgebundenheit zulässig.

Der Generalanwalt des EuGH argumentierte, dass durch die gängige Praxis von Behörden und Geheimdiensten in den USA die Datenschutzstandards der EU unterlaufen würden und damit kein ausreichender Schutz der personenbezogenen Daten gewährleistet ist, sobald diese Daten in den USA gespeichert würden. 

Der EuGH folgte im Wesentlichen dieser Auffassung, erklärte kurzerhand das Safe-Harbor-Abkommen für ungültig, und klassifizierte damit die USA datenschutzrechtlich als “unsicheren Drittstaat”.

Die Folge: Personenbezogene Daten dürfen in „diesen unsicheren Drittstaat“ nicht mehr ohne Weiteres übermittelt werden.

Gleichzeitig stellte der EuGH heraus, dass es nicht damit getan ist einen Ersatz für Safe-Harbor zu finden. Denn die Argumentationsgrundlage fußt nicht etwa auf dem Abkommen selber sondern stützt sich vielmehr auf die Rechtslage und Praxis amerikanischer Geheimdienste, die spätestens seit Bekanntwerden der Snowden-Affäre in aller Munde ist.

Doch was folgt daraus für Unternehmen in Deutschland? Die allermeisten Unternehmen sehen sich in Zugzwang. Theoretisch ist zwar der Rückgriff auf Standardvertragsklauseln der EU bzw. die “Binding Corporate Rules” denkbar, diese ändern aber nichts an der gelebten Praxis der Geheimdienste. Damit werden also keineswegs die rechtlichen Anforderungen des EuGH eingehalten.

Während es herkömmliche Hosting-Provider für z.B. dedizierte Root-Server in großer Zahl auch hierzulande gibt, ist die Überwiegende Zahl der Cloud- und IaaS-Provider auf dem amerikanischen Markt beheimatet. Das wundert nicht wirklich, ist der US-Markt doch mit Abstand der größte und am weitesten entwickelte Markt für Cloud- und IaaS-Dienstleistungen.
Dennoch haben einige wenige Cloud- und IaaS-Provider rechtzeitig erkannt, wie wichtig die Compliance ist und daher ihr Angebot auf die strengen Datenschutzrichtlinien der EU und insbesondere Deutschlands ausgerichtet. Unternehmen, die sich nun intensiv mit Fragen der Compliance auseinandersetzen und überlegen wie sie sich rechtskonform aufstellen können, sind daher gut beraten, diese Anbieter einmal genauer zu betrachten.

 

Siehe auch:

heise.de
dejure.org

Zurück zur Übersicht
×

Newsletter

Melde dich bei unserem Newletter an, um über die neuesten Tutorials informiert zu bleiben, als erstes von Feature-Releases zu erfahren, und vieles mehr!