Nach dem aktuellen Urteil des EuGH ist das Safe Harbor Abkommen nicht mehr geeignet, ein angemessenes Datenschutzniveau in den USA herzustellen. Datenübermittlungen in die USA, die sich auf die Gültigkeit von Safe Harbor stützen, sind damit formal rechtswidrig – und das ohne Übergangsfrist. Unternehmen müssen sich daher jetzt Gedanken machen, wie mit der aktuellen Situation umgegangen und zeitnah Rechtskonformität hergestellt werden kann. Nachfolgend möchten wir – bewusst kurz – eine kleine Checkliste vorstellen, was wie zu tun ist und in welcher Reihenfolge Alternativen zur Verfügung stehen:
Verlagerung der Daten auf europäische Server/Dienstleister?
Die wirksamste Alternative wäre eine Verlagerung der Datenverarbeitung auf europäische Dienstleister bzw. solche, die zumindest eine Verarbeitung auf europäischen Servern anbieten (hierzu gehört u.a. übrigens auch Microsoft mit seinen Cloud-Produkten). Allerdings ist uns bewusst, dass das nur in ganz wenigen Fällen kurzfristig möglich ist. Auch bleibt hierbei noch immer die Entscheidung im Berufungsverfahren abzuwarten, welches Microsoft gegen die US-Regierung wegen des Zugriffs auf Inhalte auf deren Servern in Irland führt. Hier soll es verschiedenen Quellen zufolge bald eine Entscheidung geben.
Möglichkeiten der Verschlüsselung prüfen
Die „Angemessenheit“ des Datenschutzniveaus in einem Drittland hängt nicht zwingend nur von „äußeren“ Faktoren wie der dortigen Rechtsordnung ab – auch der Umstand, dass Daten auf den Auslands-Servern verschlüsselt gespeichert werden (und der Dienstleister keinen Zugriff auf den Schlüssel hat), kann ein angemessenes Datenschutzniveau sicherstellen. Allerdings ist diese Alternative technisch (und damit im Zweifel auch finanziell) aufwändig und längst nicht für alle Verarbeitungsalternativen umsetzbar. Für reine Speicherdienste wäre das noch verhältnismäßig einfach umsetzbar – für Systeme hingegen, mit denen in Echtzeit auf ausländischen Servern gearbeitet wird, ist dies kaum machbar.
Abschluss von EU-Standard-Vertragsklauseln
Momentan bleibt aus unserer Sicht kaum eine andere Wahl als die Empfehlung zum Abschluss von EU-Standard-Vertragsklauseln. Diese sind zum jetzigen Zeitpunkt formaljuristisch noch wirksam – dies hat gerade am vergangenen Freitag die Art.29-Gruppe (der Zusammenschluss der EU-Datenschutzbeauftragten) noch einmal festgestellt („During this period, EU-data protection authorities consider that Standard Contractual Clauses and Binding Corporate Rules can still be used.“).
Allerdings lässt sich die Kernkritik des EuGH-Urteils ohne weiteres natürlich auch auf dieses Instrument übertragen, so dass sich nicht sagen lässt, wie lange diese Alternative eine wirksame bleibt.
Welche Varianten es von diesem Regelungsinstrument gibt, wann welche anzuwenden ist und was im Weiteren hierbei beachtet werden muss, haben wir hier ausführlich erläutert. Einige der „großen“ Cloud-Provider bieten ihren (Unternehmens-)Kunden den Abschluss der EU-Standard-Vertragsklauseln bereits seit einiger Zeit an, darüber hinaus wollen viele aufgrund des Urteils dies zügig nachholen.
Wir beobachten, wie sich deutsche und europäische Aufsichtsbehörden in den nächsten Wochen positionieren. Bisher gibt es leider noch keine einheitliche Aussage zu dem Thema, im Gegenteil: Die Bandbreite der aktuellen Aussagen der Aufsichtsbehörden hierzu ist momentan noch unerfreulich hoch. Auf europäischer Ebene hat die Artikel 29-Gruppe in ihrer ersten Stellungnahme vom vergangenen Freitag angekündigt, bis Ende Januar 2016 zu einer „belastbaren gemeinsamen Position“ zu kommen. Im gleichen Zug haben die europäischen Datenschützer aber auch die EU-Kommission, die EU-Regierungen und die US-Regierung unmissverständlich aufgefordert, eine rechtssichere Lösung zu schaffen. Sollte also Ende Januar keine neue Lösung existieren, behalten sich die Aufsichtsbehörden vor, „alle notwendigen und angemessenen Maßnahmen“ zu ergreifen. Auch vor diesem Hintergrund sollten bereits jetzt die o.g. vorrangigen Alternativen geprüft werden (u.a. Verlagerung der Datenverarbeitung, Verschlüsselung).