Der EuGH hat heute Vormittag die Entscheidung der EU-Kommission vom 26.07.2000, wonach das Safe-Harbour-Abkommen als Erlaubsnisnorm für die Datenübermittlung in die USA anzusehen ist, für ungültig erklärt. Damit fällt auch das Safe-Harbour-Abkommen an sich. Fortan können Datenschutzbehörden innerhalb der Europäischen Union daher selbständig entscheiden, ob die Übermittlung personenbezogener Daten in die USA rechtmäßig ist oder nicht. Allein die Tatsache, dass das datenempfangene Unternehmen in den USA sich Safe-Harbour hat zertifizieren lassen, reicht nun nicht mehr aus, um eine Überprüfung der nationalen Datenschutzbehörden zu verhindern.
Warum ist das wichtig für Sie?
Ab sofort gelten für die Nutzung von US-geführten Cloud-Diensten wie Google Drive, Microsoft Skydrive, Salesforce, Amazon Webservices, Dropbox u.ä. neue Regeln. All diese Unternehmen sind Safe-Harbour zertifiziert und haben sich in der Werbung daher als „EU-datenschutzkonform“ präsentiert. Wenn Sie mit Ihrem Unternehmen daher ebenfalls Cloud-Dienste von US-Firmen nutzen, dann sollten Sie nun schnell handeln. Die Privatnutzung dieser Cloud-Dienste ist dagegen weniger problematisch, da hier regelmäßig eine Einwilligung gemäß Nutzungsbedingungen vorliegen muss, die von den jeweiligen Anwendungen vor Benutzung eingeholt werden. Auch wenn Sie mit Ihrem Unternehmen in anderer Form auf US-Server zugreifen oder den Zugriff auf ihre deutschen Server durch Mitarbeiter der US-Mutter- oder Tochtergesellschaft zulassen, dürfte dieser Zugriff bislang unter Hinweis auf Safe-Harbour zulässig gewesen sein. Dies ist nun nicht mehr der Fall.
Was ist zu tun?
Prüfen Sie schnellstmöglich, ob von Rechnern Ihres Unternehmens auf US-Server zugegriffen wird (z.B. Cloud-Services) oder Mitarbeiter von US-Dienstleistern oder US-Konzerngesellschaften auf ihre deutschen Server zugreifen können. Falls dies der Fall ist, dann sollten Sie handeln. Es gibt eine Alternative zu Safe-Harbour:
Standardvertragsklauseln
Den Abschluss von Standardvertragsklauseln. Die Firma Microsoft bietet solche Standardvertragsklauseln bereits an, ist daher auf die kommende Datenschutz-Welle gut vorbereitet. Sprechen Sie mit den US-Unternehmen, ob diese nun aufgrund der Entscheidung bereit sind, ebenfalls einen Vertrag unter Verwendung der Standardvertragsklauseln mit Ihnen abzuschließen. Dann sind Sie gut aufgestellt.
Update
Nur wenige Stunden nach Veröffentlichung des EuGH-Urteils hat Saleforce reagiert und per Anschreiben an ihre Kunden den Abschluss von Standardvertragsklauseln angeboten. Hier heißt es:
We are reaching out to you as a customer of a Salesforce service.
Today, the European Court of Justice (ECJ) determined that the EU-US Safe Harbor Framework does not provide a valid legal basis for transfers of personal data from Europe to the U.S.
At Salesforce, trust is our #1 value and nothing is more important than the success of our customers and the privacy of our customers’ data.
In light of the ECJ’s decision regarding the EU-US Safe Harbor Framework, Salesforce is immediately making available a data processing addendum that incorporates the European Commission’s standard contractual clauses, commonly referred to as “model clauses.”
The addendum ensures customers may continue to validate transfers of personal data under EU data protection laws. Customers can access the data processing addendum with the model clauses here and should promptly complete, sign and return the addendum to dataprocessingaddendum@salesforce.com.
We continue to make your success our top priority. If you have any questions, please refer to our FAQ.
Sincerely,
Maria Martinez
President, Sales and Customer Success
Salesforce
Daher:
Auch wenn der Einsatz von Standardvertragsklauseln nicht 100% sicher ist und die Datenschutzbehörden deren Verwendung möglicherweise ebenfalls für unzulässig halten, so ist dies aus meiner Sicht der einzig gangbare Weg, bis es eine neue Vereinbarung der EU-Kommission mit den USA gibt.
