Safe Harbour:
Heute gab es auf EU-Ebene einen Paukenschlag.
Was ist passiert?
Der Generalanwalt beim Europäischen Gerichtshof hielt heute sein Plädoyer mit Schlussantrag zum Thema Safe Harbour. Ein irländischer Bürger hatte sich bei der irischen Datenschutzbehörde über die Übermittlung seiner Daten auf Facebook-Server in den USA beschwert. Die Behörde wies die Beschwerde zurück, da die EU-Kommission ja mit dem „Safe-Harbour-Abkommen“ die Datenübermittlung legitimiert hatte, denn Facebook ist dem Safe Harbour Abkommen beigetreten. In den vergangenen Jahren war das Safe Harbour Abkommen stets als Legitmation für die Nutzung von US-Diensten wie Google, Microsoft Office 365, Dropbox, Facebook, WhatsApp, Amazon Webservices oder Salesforce durch EU-Unternehmen angeführt worden. In dem Schlussantrag stellt der Generalanwalt nun erstmals fest, dass nicht nur das Safe Harbour Abkommen unwirksam sei, sondern die irische Datenschutzbehörde auch die Datenübermittlung von Irland in die USA trotz Safe-Harbour-Zertifizierung des US-Empfangsunternehmens verbieten könne. Das bedeutet zwar nicht, dass der EuGH diesem Antrag nachkommen wird.
Warum ist das wichtig für Sie?
Sollte der EuGH allerdings dem Antrag doch nachkommen, dann droht ein wirklicher Paukenschlag für alle Unternehmen in der EU, die Cloud-Dienste von US-Unternehmen nutzen. So könnte dann beispielsweise die Hamburger Datenschutzbehörde mangels gültigem Safe Harbour hiesigen Unternehmen zukünftig untersagen, Cloud-Dienste von Google, Microsoft, Amazon, Salesforce u.ä. zu nutzen. Da es inzwischen schon Unternehmen gibt, die etwa vollständig auf Google Apps, Office365 oder Salesforce umgestiegen sind, dürften die Auswirkungen erheblich sein.
Was ist zu tun?
Es handelt sich zunächst nur um einen Schlussantrag. Sollte das Gericht diesem Antrag nachkommen, dann wäre das Safe Harbour Abkommen ungültig und die USA nicht mehr länger ein Staat mit „angemessenem Datenschutzniveau“, § 4b II BDSG. Die Übermittlung personenbezogener Daten auf US-Server wäre dann rechtswidrig, soweit mit dem betreffenden US-Unternehmen nicht direkt ein Vertrag unter Anwendung von Standardvertragsklauseln geschlossen wurde. Es ist daher aus heutiger Sicht sinnvoll anzudenken, ob nicht zusätzlich zum bestehenden Vertrag mit dem betreffenden US-Unternehmen eine Vertragsergänzung unter Verwendung der EU-Standardvertragsklauseln vereinbart wird. Sollte der EuGH das Safe Harbour Abkommen dann für ungültig erklären, haben Sie mit dieser Variante trotzdem alles richtig gemacht und vermeiden ein Bußgeld der Datenschutzbehörde, wie gerade letzte Woche geschildert. Microsoft bietet übrigens solche Standardvertragsklauseln bereits an.
