EuGH kippt Safe Harbor – was Sie wissen und worauf Sie sich vorbereiten müssen

Beschreibung zum kostenlosen Online Marketing Webinar

Die Safe Harbor Prinzipien sicherten in den vergangenen Jahren den Datentransfer in die USA und zu US-amerikanischen Unternehmen trotz der unterschiedlichen Bewertungen des Datenschutzes in Europa und den USA. An den Prinzipien und der Handhabung herrscht seit Jahren Kritik durch die deutschen Datenschutzbehörden. Seit dem 06. Oktober 2015 beginnt nunmehr eine neue Zeitrechnung. An diesem Tag hat der EuGH die Safe Harbor Prinzipien ohne Übergangsfrist für unwirksam erklärt. Die Folgen betreffen nahezu jedes Unternehmen, da der Einsatz von amerikanischen Dienstleistern mit dem Transfer der Daten in die USA in Europa allgegenwärtig ist. Das führt vom Einsatz von Datentracking-Tools wie Google Analytics über die Auslagerung der Unternehmensdaten in die Cloud bis hin zu Datentransfers an konzernanhängige Gesellschaften in den USA. Die vielfältige mediale Berichterstattung hat es nicht leichter gemacht, sich in dem Informationswirrwarr zu Recht zu finden. Welchen Fragen Sie sich stellen müssen, welche Handlungsalternativen für die Datenübermittlung in die USA oder dem Einsatz von amerikanischen Dienstleistern existieren, werden wir zusammen beleuchten und Ihnen bewerten.

 

 

Video zum Webinar

Webinar kostenlos

Webinar Termin:

29.04.2016

15:00 Uhr - 16:00 Uhr

Das wirst Du nach dem Webinar erreicht haben:

  • Du kennst die Problemkonstellationen der Folgen der Safe Harbor Entscheidung in sämtlichen Bereichen des Einsatzes von Dienstleistern
  • Du bist in der Lage über Alternativen eines sicheren Datentransfers zu entscheiden
  • Du kannst eine eigenverantwortliche Risikoabwägung treffen, ob die aufgezeigten Handlungsalternativen für Dich und Dein Unternehmen sinnvoll sind oder Du eine kalkulierte Risiko-entscheidung hinsichtlich etwaiger Datenschutzverstöße in Kauf nehmen willst

Zielgruppe

  • Online Marketing Einsteiger und Fortgeschrittene
  • E-Commerce Verantwortliche und Portalbetreiber
  • Datenschutzbeauftragte

EuGH kippt Safe Harbor – was Sie wissen und worauf Sie sich vorbereiten müssen

Das Ende von Safe Harbor – wie geht es weiter?

Zusammenfassung des Webinars „EuGH kippt Safe Harbor – was Sie wissen und worauf Sie sich vorbereiten müssen“ von Carsten Schröder

Im Oktober 2015 kippte der EuGH das Safe Harbor Abkommen, das die letzten 15 Jahre über die Weitergabe von europäischen Daten an US-Unternehmen geregelt hatte. In diesem Webinar erklärt Carsten Schröder, Fachanwalt für gewerblichen Rechtsschutz, zunächst die Safe Harbor Regelung und die Unterschiede zwischen europäischen und US-amerikanischen Datenschutzgesetzen, geht dann auf die neue Datenschutz-Grundverordnung des EuGH ein und gibt abschließend Ratschläge zur rechtlichen Absicherung von zukünftigen Datentransfers in die USA.

Zum Hintergrund

Datenschutz in der EU und den USA im Vergleich

Bis vor Kurzem gab es keine europaweit einheitliche Richtlinie zum Thema Datenschutz. Das Datenschutzniveau der verschiedenen EU-Staaten war daher sehr unterschiedlich, mit Deutschland in einer Vorreiterposition. Die Politik der europäischen Staaten in diesem Feld orientierte und orientiert sich noch am Vorsorgeprinzip: Wer Daten speichern und verarbeiten will, braucht dafür eine gesetzliche Erlaubnis. In den USA dagegen herrscht die entgegengesetzte Herangehensweise: Daten können gespeichert werden, bis jemand Einspruch dagegen erhebt. Das führt dazu, dass das Datenschutzniveau in den USA weitaus niedriger als in den EU-Staaten ist.

Dies führt zu mehreren Problemen: Erstens speichern US-Unternehmen, die in Europa agieren, die Daten meist dennoch nach amerikanischem Recht und die EU-Behörden haben keine Sanktionsmöglichkeiten, so die Server dieser Unternehmen nicht in der EU stehen. Zweitens kooperieren viele europäische Unternehmen mit Partnern von der anderen Seite des Atlantiks und geben dabei Daten an diese weiter. Ein Datentransfer in Drittländer außerhalb der EU ist aber illegal, wenn das Drittland keine Datenschutzbestimmungen hat, die mit denen der EU konform sind. Die Liste solcher Drittländer ist kurz – Andorra, Argentinien, Kanada, Färöer, Guernsey, Island, Isle of Man, Israel, Jersey, Liechtenstein, Neuseeland, Norwegen, Schweiz, Uruguay –, die USA sind darauf nicht aufgeführt.

In der Vergangenheit haben die EU und die USA auf verschiedene Weisen versucht, diesen Konflikt zu lösen: Die EU stellt Musterverträge zur Datenübertragung zur Verfügung, die mit Partnern in Drittländern, welche ein niedrigeres Datenschutzniveau haben, abgeschlossen werden können. Durch diese verpflichten sich die fraglichen Unternehmen, europäische Daten nach europäischem Recht zu verarbeiten. Diese Standardvertragsklausel (im Folgenden SVK) stehen in drei verschiedenen Varianten auf der Homepage der Europäischen Kommission zum Download bereit (Link und Details unten). Außerdem wurde in Absprache mit den USA im Jahr 2000 von der EU das Safe Harbor Abkommen verabschiedet.

Das Safe Harbor Abkommen

Im Gegensatz zu den verpflichtenden Verträgen der EU basiert Safe Harbor auf dem Grundsatz der freiwilligen Selbstverpflichtung: Unternehmen haben die Möglichkeit, sich in eine Liste des US-Handelsministeriums einzutragen und damit zuzusichern, die Datenschutzstandards der EU einhalten zu wollen, wenn sie mit europäischen Unternehmen kooperieren. Ungefähr 5500 Unternehmen haben sich bisher eingetragen, das Safe Harbor Abkommen wurde jedoch von Datenschützern aus der EU stark kritisiert: Es gebe keine Überwachungs- und Kontrollmechanismen, keine Auskunftsrechte, keine Sanktionsmöglichkeiten bei Verletzung der gemachten Zusagen.

Darüber hinaus wuchs unter Datenschützern nach den Enthüllungen des NSA-Whistleblowers Edward Snowden das allgemeine Misstrauen gegenüber den Datenschutzgrundsätzen der USA. Schon 2013 wurde gefordert, das Safe Harbor Abkommen auszusetzen, weil bekannt wurde, dass die USA in Europa massiv spionierten und sogar die bestehenden Datenschutzgesetze in den USA unter Verweis auf die öffentliche Sicherheit in zahlreichen Einzelfällen außer Kraft gesetzt wurden. Um dieser wachsenden Kritik Rechnung zu tragen, verabschiedete der Europäische Gerichtshof (EuGH) 2015 die Datenschutz-Grundverordnung.

Die neue Regelung des EuGH

Die Datenschutz-Grundverordnung

Der EuGH beschloss, dass Safe Harbor ab dem 6.10.2015 außer Kraft gesetzt sei. Die neue Datenschutz-Grundverordnung des EuGH harmonisierte zum ersten Mal die Datenschutzrichtlinien in der gesamten EU und führte außer der Außerkraftsetzung von Safe Harbor auch das Marktortprinzip ein. Nach diesem Prinzip müssen sich Außer-EU-Firmen, die in der EU agieren, dort grundsätzlich europäischen Datenschutzgesetzen unterwerfen, auch wenn sich ihre Server nicht in der EU befinden.

Außerdem führt die neue Grundverordnung das Recht auf Vergessenwerden ein, das von einem EU-Bürger vor dem EuGH gegen Google eingeklagt worden war. Nach diesem Prinzip müssen Suchmaschinen auf Anfrage der betroffenen Person Treffer zu ihrem Namen löschen.

Auch wurde das Recht auf informationelle Selbstbestimmung dadurch gestärkt, dass das Prinzip der informierten Zustimmung formalisiert wurde. Daten dürfen nach der Grundverordnung nur noch nach Information und Einwilligung der fraglichen Person gespeichert, genutzt und verarbeitet werden. Diese Einwilligung kann des Weiteren jederzeit widerrufen werden. Wenn von Unternehmen gegen diese Gesetze verstoßen wird, wird ein Bußgeld von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes des Unternehmens fällig – es greift die jeweils teurere Option. Diese Grundverordnung muss bis zum ersten Halbjahr 2018 von allen EU-Staaten umgesetzt werden.

Europäische Reaktionen

Die Reaktionen auf dieses Urteil fielen teilweise kritisch aus, da es vielen Datenschützern nicht weit genug ging. Schröder zitiert einige deutsche Datenschutzbehörden, die Bedenken äußerten, weil eine Datenübermittlung in die USA nach dem neuen Gesetz immer noch möglich ist. Unter Verweis auf den Spionage-Skandal von 2013 und – bereits seit dem In-Kraft-Treten des Patriot Act in den USA bestehende – Bedenken bezüglich der allgemeinen Sicherheit von Daten in den Vereinigten Staaten wurde die Frage aufgeworfen, ob ein Datentransfer in die USA nicht allgemein verboten werden sollte.

Dabei wurden auch die oben bereits angesprochenen SVK als nicht geeignet kritisiert, die Sicherheit von europäischen Daten zu garantieren. Schließlich können Unternehmen noch so glaubhaft versichern, die ihnen anvertrauten Daten nicht zu missbrauchen – wenn der US-Geheimdienst die Unternehmen ausspioniert, geraten die Daten dennoch in die Hände von Institutionen, denen der Urheber der Daten keine Berechtigung gegeben hat.

Schröder betont allerdings, dass ausschließlich der EuGH das Recht habe, SVK ihre Kraft abzusprechen. Die Stellungnahmen der Datenschutzbehörden seien deshalb lediglich als Kommentare und Empfehlungen aufzufassen. Die EU-Kommission plane derweil momentan nicht, die SVK als nicht mehr rechtlich bindend zu betrachten.

Reaktionen aus den USA

Auch die USA reagierten auf das EuGH-Urteil: Es wurde noch einmal auf die Möglichkeit von SVK verwiesen, das Angebot, europäische Daten fortan auf europäischen Servern zu speichern, kam zur Sprache und im Februar 2016 wurde das EU-US privacy shield beschlossen. Dieses ist Safe Harbor allerdings in seiner Konzeption sehr ähnlich: es basiert weiterhin auf dem Prinzip der freiwilligen Selbstverpflichtung und obwohl eine Einsicht in die Daten nur möglich sein soll, wenn die nationale Sicherheit gefährdet ist, kommentiert Schröder, dass ebendiese Rechtfertigung in den USA sehr oft gebraucht werde und eine derartige Einschränkung daher keine wirkliche Sicherheit biete.

Das EU-US privacy shield bietet wie auch Safe Harbor keine verbindlichen Zusagen, keine konkreten gerichtlich durchsetzbaren Vorgaben, keine unabhängige Aufsichtsbehörde und keine effektive Rechtsschutzmöglichkeit. Des Weiteren macht das Übereinkommen keine Aussagen über die Zweckbindung der Datenerhebung und den Ausgleich zwischen dieser und den dadurch eingeschränkten Rechten. Die Durchführung soll durch eine Kooperation zwischen der EU und den USA überwacht werden, allerdings ist nicht klar, wie dies geschehen soll. Laut Schröder bietet daher das EU-US privacy shield ebenso wenig rechtlichen Schutz wie vorher Safe Harbor.

Zusätzlich wurde von Präsident Obama ebenfalls im Februar 2016 der Judicial Redress Act unterschrieben, nach dem Europäer vor US-Gerichten klagen können, wenn ihre Datenschutzrechte von US-Unternehmen verletzt wurden.

Wie ist mit der neuen Situation umzugehen?

Abschließend geht Schröder darauf ein, was deutsche – und allgemein europäische – Unternehmen nun tun können, um die von ihnen erhobenen Daten zu schützen und auf legale Weise zu speichern und zu verarbeiten.

Umstieg auf europäische Dienstleister

Als „banalste Lösung“ erwähnt die Schröder die Möglichkeit, fortan auf europäische Dienstleister umzusteigen. Allerdings sei dies nicht für jeden eine angemessene Lösung, da viele Unternehmen wichtige Partner in den USA haben.

Umstieg auf Server in Europa

Als zweite Möglichkeit ist die Verlagerung auf US-Dienstleister mit Servern in Europa zu nennen. Allerdings wurde zum Zeitpunkt des Vortrags vor einem Gericht in New York ein Rechtsstreit zwischen der US-Regierung und Microsoft ausgefochten, der sich auf die Zukunft dieser Option auswirken würde: Die Regierung der Vereinigten Staaten versuchte, Microsoft zur Herausgabe von E-Mails und privaten Informationen zu zwingen, die auf einem Server in Europa gespeichert sind. Nur wenn Microsoft diesen Prozess gewinne, so Schröder, könne die Verwendung europäischer Server rechtliche Sicherheit bieten. Microsoft gewann den Prozess wenige Monate nach Schröders Vortrag tatsächlich, allerdings ging die US-Regierung in Berufung. Wer zu dieser Möglichkeit greifen möchte, sollte die weiteren Entwicklungen in diesem Fall also genau beobachten.

Verschlüsselung

Drittens nennt Schröder die Möglichkeit, zu übermittelnde Daten zu verschlüsseln, damit US-Geheimdienste sie nicht abfangen können. Er hält diese Option aber für wenig zielführend und nur für angebracht, wenn Daten ausschließlich gesammelt und abgelegt, nicht aber verarbeitet oder in Echtzeit ausgetauscht werden sollen.

Informierte Einwilligung

Das in der Grundsatzverordnung formalisierte Prinzip der informierten Einwilligung hält Schröder ebenfalls für problematisch. Erstens kann diese Einwilligung jederzeit widerrufen werden, was dann bedeuten würde, dass die Daten sofort aussortiert werden müssten. Zweitens muss der Nutzer unter diesem Grundsatz im Voraus gründlich darüber informiert werden, an wen die Daten gehen, warum sie an diese dritten Parteien übermittelt werden und wer letztendlich Zugriff auf sie haben wird. Dies ist notwendig, da eine Pauschaleinwilligung in Deutschland nicht rechtlich gültig ist. Wenn die Nutzer aber wüssten, wie die Situation ihrer in die USA übertragenen Daten wirklich aussieht, würden, so Schröder, die meisten von ihnen ihre Einwilligung nicht geben.

Des Weiteren gibt es in den USA, wie oben bereits erwähnt, das Prinzip der Zweckbindung nicht, weshalb nicht genau gesagt werden kann, wer Zugriff erhält und warum. Dies ist insbesondere der Fall, weil die Geheimdienste unter dem Vorwand der Terrorabwehr alle Daten sammeln, auf die sie Zugriff erhalten können. Wenn daher ein Nutzer vor Gericht ziehen sollte, um die Weitergabe seiner Daten unter einer Pauschaleinwilligung zu unterbinden, würde er höchstwahrscheinlich gewinnen und die Pauschaleinwilligung des fraglichen Unternehmens würde gekippt werden.

Schröders Empfehlung: Standardvertragsklauseln (SVK)

Als letzte und seiner Ansicht nach beste Lösung spricht Schröder die Möglichkeit an, weiterhin SVK zu nutzen. Zwar seien viele Datenschützer dagegen, dennoch seien sie rechtlich wirksam. Allerdings seien von US-Partnern angebotene Verträge zum Thema immer genau zu lesen, da sie inhaltlich mit den EU-Vorlagen übereinstimmen müssten und ansonsten ungültig würden. Die Datenschutzbehörden haben das Recht, diese Verträge darauf zu überprüfen, ob sie mit EU-Recht konform sind. Es sei daher empfehlenswert, die Vorlagen auf der Website der Europäischen Kommission genau zu studieren und alle von ihnen abweichenden Verträge genau zu überprüfen.

Der Vertrag muss in Schriftform unterschrieben werden. Auch muss darauf geachtet werden, ob der US-Partner Subunternehmer hat, an die die Daten weitergegeben werden könnten. Diese müssen aufgelistet und jährlich aktualisiert werden.

Die Vertragsvorlagen sind unter dem folgenden Link zu finden:

http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm

Es ist darauf zu achten, dass es drei verschiedene Vorlagen für verschiedene Verhältnisse zwischen dem EU- und dem US-Unternehmen gibt. Schröder kommentiert diesen Sachverhalt allerdings nicht weiter, weshalb der Inhalt der oben verlinkten Website genau studiert werden sollte.

Abschließend rät Schröder dazu, weitere Entwicklungen im Feld des Datenschutzrechts im Auge zu behalten. Da Datenschützer fortlaufend – teils gerechtfertigte – Bedenken gegen SVK äußern, sind zukünftige Gesetzesänderungen zum Thema nicht auszuschließen.

EuGH kippt Safe Harbor – was Sie wissen und worauf Sie sich vorbereiten müssen

Das Ende von Safe Harbor – wie geht es weiter?

Zusammenfassung des Webinars „EuGH kippt Safe Harbor – was Sie wissen und worauf Sie sich vorbereiten müssen“ von Carsten Schröder

Im Oktober 2015 kippte der EuGH das Safe Harbor Abkommen, das die letzten 15 Jahre über die Weitergabe von europäischen Daten an US-Unternehmen geregelt hatte. In diesem Webinar erklärt Carsten Schröder, Fachanwalt für gewerblichen Rechtsschutz, zunächst die Safe Harbor Regelung und die Unterschiede zwischen europäischen und US-amerikanischen Datenschutzgesetzen, geht dann auf die neue Datenschutz-Grundverordnung des EuGH ein und gibt abschließend Ratschläge zur rechtlichen Absicherung von zukünftigen Datentransfers in die USA.

Zum Hintergrund

Datenschutz in der EU und den USA im Vergleich

Bis vor Kurzem gab es keine europaweit einheitliche Richtlinie zum Thema Datenschutz. Das Datenschutzniveau der verschiedenen EU-Staaten war daher sehr unterschiedlich, mit Deutschland in einer Vorreiterposition. Die Politik der europäischen Staaten in diesem Feld orientierte und orientiert sich noch am Vorsorgeprinzip: Wer Daten speichern und verarbeiten will, braucht dafür eine gesetzliche Erlaubnis. In den USA dagegen herrscht die entgegengesetzte Herangehensweise: Daten können gespeichert werden, bis jemand Einspruch dagegen erhebt. Das führt dazu, dass das Datenschutzniveau in den USA weitaus niedriger als in den EU-Staaten ist.

Dies führt zu mehreren Problemen: Erstens speichern US-Unternehmen, die in Europa agieren, die Daten meist dennoch nach amerikanischem Recht und die EU-Behörden haben keine Sanktionsmöglichkeiten, so die Server dieser Unternehmen nicht in der EU stehen. Zweitens kooperieren viele europäische Unternehmen mit Partnern von der anderen Seite des Atlantiks und geben dabei Daten an diese weiter. Ein Datentransfer in Drittländer außerhalb der EU ist aber illegal, wenn das Drittland keine Datenschutzbestimmungen hat, die mit denen der EU konform sind. Die Liste solcher Drittländer ist kurz – Andorra, Argentinien, Kanada, Färöer, Guernsey, Island, Isle of Man, Israel, Jersey, Liechtenstein, Neuseeland, Norwegen, Schweiz, Uruguay –, die USA sind darauf nicht aufgeführt.

In der Vergangenheit haben die EU und die USA auf verschiedene Weisen versucht, diesen Konflikt zu lösen: Die EU stellt Musterverträge zur Datenübertragung zur Verfügung, die mit Partnern in Drittländern, welche ein niedrigeres Datenschutzniveau haben, abgeschlossen werden können. Durch diese verpflichten sich die fraglichen Unternehmen, europäische Daten nach europäischem Recht zu verarbeiten. Diese Standardvertragsklausel (im Folgenden SVK) stehen in drei verschiedenen Varianten auf der Homepage der Europäischen Kommission zum Download bereit (Link und Details unten). Außerdem wurde in Absprache mit den USA im Jahr 2000 von der EU das Safe Harbor Abkommen verabschiedet.

Das Safe Harbor Abkommen

Im Gegensatz zu den verpflichtenden Verträgen der EU basiert Safe Harbor auf dem Grundsatz der freiwilligen Selbstverpflichtung: Unternehmen haben die Möglichkeit, sich in eine Liste des US-Handelsministeriums einzutragen und damit zuzusichern, die Datenschutzstandards der EU einhalten zu wollen, wenn sie mit europäischen Unternehmen kooperieren. Ungefähr 5500 Unternehmen haben sich bisher eingetragen, das Safe Harbor Abkommen wurde jedoch von Datenschützern aus der EU stark kritisiert: Es gebe keine Überwachungs- und Kontrollmechanismen, keine Auskunftsrechte, keine Sanktionsmöglichkeiten bei Verletzung der gemachten Zusagen.

Darüber hinaus wuchs unter Datenschützern nach den Enthüllungen des NSA-Whistleblowers Edward Snowden das allgemeine Misstrauen gegenüber den Datenschutzgrundsätzen der USA. Schon 2013 wurde gefordert, das Safe Harbor Abkommen auszusetzen, weil bekannt wurde, dass die USA in Europa massiv spionierten und sogar die bestehenden Datenschutzgesetze in den USA unter Verweis auf die öffentliche Sicherheit in zahlreichen Einzelfällen außer Kraft gesetzt wurden. Um dieser wachsenden Kritik Rechnung zu tragen, verabschiedete der Europäische Gerichtshof (EuGH) 2015 die Datenschutz-Grundverordnung.

Die neue Regelung des EuGH

Die Datenschutz-Grundverordnung

Der EuGH beschloss, dass Safe Harbor ab dem 6.10.2015 außer Kraft gesetzt sei. Die neue Datenschutz-Grundverordnung des EuGH harmonisierte zum ersten Mal die Datenschutzrichtlinien in der gesamten EU und führte außer der Außerkraftsetzung von Safe Harbor auch das Marktortprinzip ein. Nach diesem Prinzip müssen sich Außer-EU-Firmen, die in der EU agieren, dort grundsätzlich europäischen Datenschutzgesetzen unterwerfen, auch wenn sich ihre Server nicht in der EU befinden.

Außerdem führt die neue Grundverordnung das Recht auf Vergessenwerden ein, das von einem EU-Bürger vor dem EuGH gegen Google eingeklagt worden war. Nach diesem Prinzip müssen Suchmaschinen auf Anfrage der betroffenen Person Treffer zu ihrem Namen löschen.

Auch wurde das Recht auf informationelle Selbstbestimmung dadurch gestärkt, dass das Prinzip der informierten Zustimmung formalisiert wurde. Daten dürfen nach der Grundverordnung nur noch nach Information und Einwilligung der fraglichen Person gespeichert, genutzt und verarbeitet werden. Diese Einwilligung kann des Weiteren jederzeit widerrufen werden. Wenn von Unternehmen gegen diese Gesetze verstoßen wird, wird ein Bußgeld von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes des Unternehmens fällig – es greift die jeweils teurere Option. Diese Grundverordnung muss bis zum ersten Halbjahr 2018 von allen EU-Staaten umgesetzt werden.

Europäische Reaktionen

Die Reaktionen auf dieses Urteil fielen teilweise kritisch aus, da es vielen Datenschützern nicht weit genug ging. Schröder zitiert einige deutsche Datenschutzbehörden, die Bedenken äußerten, weil eine Datenübermittlung in die USA nach dem neuen Gesetz immer noch möglich ist. Unter Verweis auf den Spionage-Skandal von 2013 und – bereits seit dem In-Kraft-Treten des Patriot Act in den USA bestehende – Bedenken bezüglich der allgemeinen Sicherheit von Daten in den Vereinigten Staaten wurde die Frage aufgeworfen, ob ein Datentransfer in die USA nicht allgemein verboten werden sollte.

Dabei wurden auch die oben bereits angesprochenen SVK als nicht geeignet kritisiert, die Sicherheit von europäischen Daten zu garantieren. Schließlich können Unternehmen noch so glaubhaft versichern, die ihnen anvertrauten Daten nicht zu missbrauchen – wenn der US-Geheimdienst die Unternehmen ausspioniert, geraten die Daten dennoch in die Hände von Institutionen, denen der Urheber der Daten keine Berechtigung gegeben hat.

Schröder betont allerdings, dass ausschließlich der EuGH das Recht habe, SVK ihre Kraft abzusprechen. Die Stellungnahmen der Datenschutzbehörden seien deshalb lediglich als Kommentare und Empfehlungen aufzufassen. Die EU-Kommission plane derweil momentan nicht, die SVK als nicht mehr rechtlich bindend zu betrachten.

Reaktionen aus den USA

Auch die USA reagierten auf das EuGH-Urteil: Es wurde noch einmal auf die Möglichkeit von SVK verwiesen, das Angebot, europäische Daten fortan auf europäischen Servern zu speichern, kam zur Sprache und im Februar 2016 wurde das EU-US privacy shield beschlossen. Dieses ist Safe Harbor allerdings in seiner Konzeption sehr ähnlich: es basiert weiterhin auf dem Prinzip der freiwilligen Selbstverpflichtung und obwohl eine Einsicht in die Daten nur möglich sein soll, wenn die nationale Sicherheit gefährdet ist, kommentiert Schröder, dass ebendiese Rechtfertigung in den USA sehr oft gebraucht werde und eine derartige Einschränkung daher keine wirkliche Sicherheit biete.

Das EU-US privacy shield bietet wie auch Safe Harbor keine verbindlichen Zusagen, keine konkreten gerichtlich durchsetzbaren Vorgaben, keine unabhängige Aufsichtsbehörde und keine effektive Rechtsschutzmöglichkeit. Des Weiteren macht das Übereinkommen keine Aussagen über die Zweckbindung der Datenerhebung und den Ausgleich zwischen dieser und den dadurch eingeschränkten Rechten. Die Durchführung soll durch eine Kooperation zwischen der EU und den USA überwacht werden, allerdings ist nicht klar, wie dies geschehen soll. Laut Schröder bietet daher das EU-US privacy shield ebenso wenig rechtlichen Schutz wie vorher Safe Harbor.

Zusätzlich wurde von Präsident Obama ebenfalls im Februar 2016 der Judicial Redress Act unterschrieben, nach dem Europäer vor US-Gerichten klagen können, wenn ihre Datenschutzrechte von US-Unternehmen verletzt wurden.

Wie ist mit der neuen Situation umzugehen?

Abschließend geht Schröder darauf ein, was deutsche – und allgemein europäische – Unternehmen nun tun können, um die von ihnen erhobenen Daten zu schützen und auf legale Weise zu speichern und zu verarbeiten.

Umstieg auf europäische Dienstleister

Als „banalste Lösung“ erwähnt die Schröder die Möglichkeit, fortan auf europäische Dienstleister umzusteigen. Allerdings sei dies nicht für jeden eine angemessene Lösung, da viele Unternehmen wichtige Partner in den USA haben.

Umstieg auf Server in Europa

Als zweite Möglichkeit ist die Verlagerung auf US-Dienstleister mit Servern in Europa zu nennen. Allerdings wurde zum Zeitpunkt des Vortrags vor einem Gericht in New York ein Rechtsstreit zwischen der US-Regierung und Microsoft ausgefochten, der sich auf die Zukunft dieser Option auswirken würde: Die Regierung der Vereinigten Staaten versuchte, Microsoft zur Herausgabe von E-Mails und privaten Informationen zu zwingen, die auf einem Server in Europa gespeichert sind. Nur wenn Microsoft diesen Prozess gewinne, so Schröder, könne die Verwendung europäischer Server rechtliche Sicherheit bieten. Microsoft gewann den Prozess wenige Monate nach Schröders Vortrag tatsächlich, allerdings ging die US-Regierung in Berufung. Wer zu dieser Möglichkeit greifen möchte, sollte die weiteren Entwicklungen in diesem Fall also genau beobachten.

Verschlüsselung

Drittens nennt Schröder die Möglichkeit, zu übermittelnde Daten zu verschlüsseln, damit US-Geheimdienste sie nicht abfangen können. Er hält diese Option aber für wenig zielführend und nur für angebracht, wenn Daten ausschließlich gesammelt und abgelegt, nicht aber verarbeitet oder in Echtzeit ausgetauscht werden sollen.

Informierte Einwilligung

Das in der Grundsatzverordnung formalisierte Prinzip der informierten Einwilligung hält Schröder ebenfalls für problematisch. Erstens kann diese Einwilligung jederzeit widerrufen werden, was dann bedeuten würde, dass die Daten sofort aussortiert werden müssten. Zweitens muss der Nutzer unter diesem Grundsatz im Voraus gründlich darüber informiert werden, an wen die Daten gehen, warum sie an diese dritten Parteien übermittelt werden und wer letztendlich Zugriff auf sie haben wird. Dies ist notwendig, da eine Pauschaleinwilligung in Deutschland nicht rechtlich gültig ist. Wenn die Nutzer aber wüssten, wie die Situation ihrer in die USA übertragenen Daten wirklich aussieht, würden, so Schröder, die meisten von ihnen ihre Einwilligung nicht geben.

Des Weiteren gibt es in den USA, wie oben bereits erwähnt, das Prinzip der Zweckbindung nicht, weshalb nicht genau gesagt werden kann, wer Zugriff erhält und warum. Dies ist insbesondere der Fall, weil die Geheimdienste unter dem Vorwand der Terrorabwehr alle Daten sammeln, auf die sie Zugriff erhalten können. Wenn daher ein Nutzer vor Gericht ziehen sollte, um die Weitergabe seiner Daten unter einer Pauschaleinwilligung zu unterbinden, würde er höchstwahrscheinlich gewinnen und die Pauschaleinwilligung des fraglichen Unternehmens würde gekippt werden.

Schröders Empfehlung: Standardvertragsklauseln (SVK)

Als letzte und seiner Ansicht nach beste Lösung spricht Schröder die Möglichkeit an, weiterhin SVK zu nutzen. Zwar seien viele Datenschützer dagegen, dennoch seien sie rechtlich wirksam. Allerdings seien von US-Partnern angebotene Verträge zum Thema immer genau zu lesen, da sie inhaltlich mit den EU-Vorlagen übereinstimmen müssten und ansonsten ungültig würden. Die Datenschutzbehörden haben das Recht, diese Verträge darauf zu überprüfen, ob sie mit EU-Recht konform sind. Es sei daher empfehlenswert, die Vorlagen auf der Website der Europäischen Kommission genau zu studieren und alle von ihnen abweichenden Verträge genau zu überprüfen.

Der Vertrag muss in Schriftform unterschrieben werden. Auch muss darauf geachtet werden, ob der US-Partner Subunternehmer hat, an die die Daten weitergegeben werden könnten. Diese müssen aufgelistet und jährlich aktualisiert werden.

Die Vertragsvorlagen sind unter dem folgenden Link zu finden:

http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm

Es ist darauf zu achten, dass es drei verschiedene Vorlagen für verschiedene Verhältnisse zwischen dem EU- und dem US-Unternehmen gibt. Schröder kommentiert diesen Sachverhalt allerdings nicht weiter, weshalb der Inhalt der oben verlinkten Website genau studiert werden sollte.

Abschließend rät Schröder dazu, weitere Entwicklungen im Feld des Datenschutzrechts im Auge zu behalten. Da Datenschützer fortlaufend – teils gerechtfertigte – Bedenken gegen SVK äußern, sind zukünftige Gesetzesänderungen zum Thema nicht auszuschließen.