Seit knapp fünf Monaten heißt es: Safe Harbor adé. Leider haben immer noch viele von der Entscheidung des Europäischen Gerichtshofs betroffene Unternehmen ihre Regelungen für den internationalen Datentransfer nicht an die neue Rechtslage angepasst. Die Schonfrist der Datenschutzaufsichtsbehörden ist aber nun endgültig vorbei: Erste Bußgeldverfahren wurden gegen mehrere Unternehmen in Hamburg eingeleitet – es drohen Bußgelder bis 300.000 Euro. Bis zur tragfähigen Umsetzung des Nachfolgeabkommens EU-US Privacy Shield sind EU-Standardverträge derzeit die beste datenschutzkonforme Alternative – allerdings gibt es auch hier Bedenken. EuroCloud Deutschland rät Unternehmen, spätestens jetzt zu handeln, um ernste Konsequenzen zu vermeiden und hat die wichtigsten Informationen für Cloud-Anbieter und -Kunden zusammengefasst.
Für viel Aufsehen sorgte die Entscheidung des Gerichtshofs der Europäischen Union (EuGH), der mit Urteil vom 06.10.2015 Safe-Harbor-Vereinbarungen für unwirksam erklärte. Seit diesem Tag, ohne Übergangsfrist, ist es europäischen Unternehmen nicht mehr gestattet, auf Safe-Harbor-Basis personenbezogene Daten in die USA zu transferieren, sie dort zu speichern oder zu verarbeiten.
Unternehmen, die Daten auf der Grundlage des Safe-Harbor-Abkommens übermittelt hatten, mussten nach der EuGH-Entscheidung schnellstens reagieren. Denn bei einer unzulässigen Datenübertragung in Drittstaaten drohten Bußgelder und sogar die Untersagung der Datenverarbeitung. Außerdem konnte Nichtstun zu Haftungsfallen führen, wenn etwa Dienstleister ihre Kunden nicht rechtzeitig angemessen informierten. „Trotz all dieser Gefahren haben viele Unternehmen nach wie vor nicht reagiert. Dabei gibt es rechtskonforme Alternativen – insbesondere EU-Standard-Verträge“, sagt Rechtsanwalt Dr. Jens Eckhardt, Vorstand des EuroCloud Deutschland_eco e. V.
EU-Standardvertrag beste Alternative, aber nicht optimal
Ein EU-Standardvertrag zwischen dem datenübermittelnden und dem -empfangenden Unternehmen schafft ein datenschutzrechtlich angemessenes Schutzniveau bei dem Datenempfänger. Die Vertragsklauseln sind relativ schnell und einfach implementierbar. Die Inhalte sind, wie der Name schon sagt, standardisiert: Die Unternehmen müssen keine aufwändige Prüfung vornehmen, sondern sind darauf beschränkt, die Freifelder mit sachlichen Beschreibungen der Zusammenarbeit auszufüllen.
Doch die Datenschutzbehörden halten weiterhin jeglichen Transfer von personenbezogenen Daten in die USA – auch auf Basis von EU-Standardverträgen – für rechtlich problematisch und behalten sich vor, Einzelfälle zu prüfen. „Gerade für Cloud Services ist der EU-Standardvertrag ist in der Praxis aufgrund des individuellen Abschlusses und der Gefahr von Kollisionen mit vertraglichen Regelungen keine optimale Lösung; nichts tun ist aber gleichwohl keine Option“, so Eckhardt.
Seit 2. Februar 2016 haben sich die EU-Kommission und die USA als Nachfolgeregelung zum Safe-Harbor-Abkommen auf das so genannte EU-US Privacy Shield verständigt. Es ist jedoch noch nicht in Kraft und damit noch keine tragfähige Rechtsgrundlage für den Datentransfer. „Alle Beteiligten sollten sich bemühen, dass mit dem Nachfolgeabkommen EU-US Privacy Shield schnell eine tragfähige Rechtsgrundlage geschaffen wird, die den in der Safe-Harbor-Entscheidung genannten Anforderungen des EuGH entspricht“, fordert Eckhardt.
Was Cloud-Anbieter und -Kunden jetzt beachten sollten, wer betroffen ist und welche Möglichkeiten bestehen, hat EuroCloud in einem Beitrag zusammengefasst: .
Hilfreich ist zudem das Trusted Cloud Datenschutzprofil (TCDP), das als Prüfstandard für die Datenschutz-Zertifizierung von Cloud-Diensten zum Einsatz kommt und datenschutzrechtliche Anforderungen auf der Seite des Cloud-Anbieters beschreibt. Das TCDP wurde unter Beteiligung von EuroCloud vom Kompetenzzentrum Trusted Cloud im Auftrag des Bundesministeriums für Wirtschaft und Energie entwickelt. Es steht hier zum kostenfreien Download bereit:
Grundlegende Informationen zum Datenschutz bei Cloud Services gibt es außerdem im “Leitfaden – Datenschutz und Cloud Computing”, der unter Leitung von Dr. Jens Eckhardt erstellt wurde.