- Anzeigen -

Persönliche Daten: Schutzniveau hoch angesiedelt


EuGH-Urteil zu "Safe Harbor" ist positives Signal für Datenschutz europäischer Prägung
"Binding Corporate Rules" kein Ersatz auf angemessenem Schutzniveau

Stellungnahme der TeleTrusT-AG "Cloud Security"

(30.10.15) – Gut zwei Jahre hat es gebraucht seit den ersten Enthüllungen von Edward Snowden, jetzt hat der Europäische Gerichtshof (EuGH) eine in ihren möglichen Auswirkungen weitreichende Feststellung getroffen: Die USA bieten aus europäischer Sicht "kein angemessenes Schutzniveau für personenbezogene Daten".

1) Das EuGH-Urteil schreibt ein Stück Rechtsgeschichte. Ausgangspunkt des Verfahrens war eine an die irische Datenschutzbehörde gerichtete Beschwerde des österreichischen Bürgers Maximilian Schrems gegen die Übermittlung seiner bei Facebook gespeicherten Daten in die USA, mit der Begründung, dass im Hinblick auf die von Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der USA, insbesondere der NSA, davon auszugehen sei, dass die Daten in den USA nicht hinreichend vor Überwachungstätigkeiten der dortigen Behörden geschützt seien. Die irische Behörde wies die Beschwerde seinerzeit mit dem Hinweis zurück, durch das "Safe Harbor"-Abkommen sei ein angemessenes Schutzniveau in den USA gegeben. Dieser Begründung hat der EuGH nun die Grundlage entzogen und die sog. "Safe Harbor"-Regelung gekippt. Der EuGH kassierte das bereits vor zwölf Jahren von der EU-Kommission installierte "Safe-Harbor"-Abkommen mit den USA.

2) Die Begründung der höchstrichterlichen Instanz der Europäischen Union ist beachtlich: In Bezug auf die Beschwerde stellt das Gericht fest, dass ab sofort die (zuständige) irische Behörde sorgfältig zu prüfen habe, ob die Übermittlung von personenbezogenen Daten aus dem EU-Raum auf amerikanische Server nicht auszusetzen sei, "weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet."

Gleichzeitig greift das Gericht die Europäische Kommission an: "Die Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden […] zu beschränken." Damit stärkt dieses Urteil die Befugnisse und die Unabhängigkeit europäischer Datenschutzbehörden, da sie nun nicht (mehr) an die "Safe-Harbor"-Regelung gebunden sind.

3) Das Urteil hat für den transatlantischen Datenaustausch und insbesondere für US-Internetunternehmen sowie US-Cloud Service Provider Konsequenzen. Mindestens dürfte die Übermittlung personenbezogener Daten in die USA auf Basis der "Safe Harbor"-Regelung ab sofort als unzulässig gelten. Mit Blick auf die Begründung des EuGH könnte das Urteil aber auch Auswirkungen auf die vor allem von großen Unternehmen, insbesondere multinationalen Konzernen und Organisationen, gern genutzten "Binding Corporate Rules" haben. Die "Binding Corporate Rules" sollen ein Rahmen für verbindliche Richtlinien zum Umgang mit personenbezogenen Daten sein. Wenn ein Unternehmen seine "Binding Corporate Rules" von europäischen Datenschutzbehörden verifizieren lässt, dann dürfen auf Grundlage dieser festgelegten Richtlinien Daten in Drittstaaten, z.B. in die USA, übermittelt werden.

Der EuGH hebt jedoch kritisch hervor, dass "amerikanische Unternehmen ohne jede Einschränkung verpflichtet sind, die […] vorgesehenen Schutzregeln unangewendet zu lassen, wenn sie in Widerstreit zu Erfordernissen [der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten] stehen". Damit sind die "Binding Corporate Rules" eben nicht "Binding", wenn es um den Schutz der Daten gegenüber amerikanischen Behörden geht, sondern nicht viel mehr als ein Papiertiger.

Zudem stellt der EuGH fest, dass die in den USA möglichen Zugriffe von Behörden auf diese Daten nicht auf das in der EU geforderte "absolut Notwendige" beschränkt seien, "wenn sie generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen." Gemeint ist die anlasslose Massenspeicherung von Daten durch die NSA.

Mit anderen Worten: Wenn Daten in die USA übermittelt werden, dann unterliegen diese Daten uneingeschränkt dem Recht der USA, ganz gleich, ob es "Binding Corporate Rules" gibt oder nicht. Da das diesbezüglich geltende Recht der USA nach Ansicht des EuGH kein ausreichendes Datenschutzniveau gewährleistet, wäre nach EU-Recht damit die Übermittlung personenbezogener Daten in die USA generell unzulässig.

Wenn die "Safe-Harbor"-Regelung amerikanischen Gesetzen entgegensteht oder im Widerspruch zur nationalen Sicherheit oder zum öffentlichen Interesse steht, sind dortige Unternehmen ohne jede Einschränkung verpflichtet, die in der Regelung vorgesehenen Schutzmaßnahmen unangewendet zu lassen." Eine Regelung verletzt den "Wesensgehalt des Grundrechts auf Achtung des Privatlebens", wenn sie es Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen.

4) Europäischen Firmen, die auch weiterhin ihre personenbezogenen Daten ausschließlich in Deutschland oder der europäischen Union verarbeiten, wird mit dem Urteil der Rücken gestärkt. Und auch Initiativen wie das TeleTrusT-Qualitätszeichen "IT Security made in Germany" erhalten die Bestätigung, dass der Datenschutz ein hohes Gut ist, das nicht ausgehöhlt werden darf.

5) Das EuGH-Urteil ist eine Chance auf Verbesserung der aktuellen Situation. Insgesamt gesehen bringt der EuGH neuen Schwung in die seit etwa zwei Jahren laufenden Verhandlungen um eine neue Safe-Harbor-Regelung, aber auch in den TTIP-Verhandlungen dürften Datenschutzaspekte nun eine stärkere Gewichtung erhalten, vermutlich oder hoffentlich zugunsten europäischer Standards.
(TeleTrusT: ra)

TeleTrust: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Diskriminierung eines aktiven Verbandes

    Angesichts der Expertenanhörung zum Gesetzentwurf der Bundesregierung zur Einführung einer "Musterfeststellungsklage" fordert die Antikorruptionsorganisation Transparency International Deutschland e.V. die Bundesregierung und den Bundestag auf, die in letzter Minute in den Gesetzentwurf aufgenommene Einschränkung der Klagebefugnis zurückzunehmen. Die unschwer als "Lex DUH" zu kennzeichnende Einschränkung der Klagebefugnis soll einen Umweltverband, der seit Jahren mit Sachverstand sowie Mut für Transparenz und Verbraucherschutz arbeitet, bei zukünftigen Klageverfahren ausschalten.

  • EU-Kommission legt Konzept für SBBS

    Die Europäische Kommission hat ein Konzept für die Verbriefung von Staatsanleihen vorgestellt. Damit sollen jene Risiken im europäischen Bankensektor reduziert werden, die durch eine zu enge Verbindung von Staaten und Banken entstehen. "Grundsätzlich ist das Bemühen der EU-Kommission, die enge Bindung zwischen Banken und den jeweils nationalen Staatsfinanzen aufzubrechen richtig", sagte Christian Ossig, Hauptgeschäftsführer des Bankenverbandes. Dieser sogenannte Banken-Staaten-Nexus sei eines der zahlreichen Hindernisse für einen echten Finanzbinnenmarkt in Europa. "Eine wichtige Funktion der Finanzmärkte - die effiziente Risikostreuung - ist dadurch auch innerhalb der Währungsunion stark beeinträchtigt", so Ossig.

  • Privatsphäre und Datenschutz

    Im Licht des jüngsten, weitreichenden Skandals um Facebook und Cambridge Analytica betrachtet, rücken Datenschutz und Datensicherheit wieder ein mal in den Fokus der breiten Öffentlichkeit. Auch die nun wirksame EU-Datenschutz-Grundverordnung, wirft zum Teil mehr Fragen auf als sie Antworten gibt. Warum ist es also so ungeheuer wichtig seine persönlichen Daten und Informationen zu schützen? Dazu ein Kommentar von Petra Lauterbach, Cylance: "Die meisten Unternehmen betrachten den Datenschutz primär unter dem Blickwinkel von Compliance-Anforderungen und der Risikominderung nach rechtlichen Gesichtspunkten. Darunter sind einige ausgefeilte Ansätze, die vor allem das Risiko eines potenziellen Rufschadens und die möglichen Folgen berücksichtigen."

  • Auslegung zu Ungunsten der Wirtschaft?

    Seit dem 25. Mai 2018 muss die EU-Datenschutz-Grundverordnung (DSGVO) umgesetzt werden. Der Bundesverband IT-Mittelstand e.V. (BITMi) fokussiert langfristige Vorteile der Verordnung für Privatsphäre, digitale Datenmodelle und vor allem Harmonisierung der EU im Zeitalter der Globalisierung. "Auf Dauer werden die Vorteile überwiegen. Einheitliche Regelungen lösen EU-weit einen Flickenteppich an Datenschutzgesetzen ab. Setzt sich allerdings eine einseitige Auslegung zu Ungunsten der Wirtschaft durch, kann dies die Wettbewerbsfähigkeit innereuropäischer Digitalunternehmen und schließlich auch den Wohlstand empfindlich beeinträchtigen. Dennoch sind BigData- und KI-Geschäftsmodelle mit anonymisierten Daten nach unserer Rechtsauffassung einwilligungsfrei möglich", fasst Dr. Oliver Grün, Präsident des BITMi und auch des Europa IT-Mittelstandsverbandes European DIGITAL SME Alliance a.i.s.b.l., die Auswirkungen zusammen.

  • Umgang mit illegalen Online-Inhalten

    Der Streit über ein neues EU-Urheberrecht dauert in Brüssel bereits seit Jahren an. Anfang März dieses Jahres stellte die EU-Kommission ihre sogenannten "Empfehlungen für wirksame Maßnahmen im Umgang mit illegalen Online-Inhalten" vor, also unter anderem mit urheberrechtlich geschützten Inhalten. Online-Plattformen und Speicherdienste werden dazu aufgefordert, sobald wie möglich Maßnahmen umzusetzen, um die Sperrung von illegalen Inhalten auf den jeweiligen Plattformen zu ermöglichen. Gefordert wird unter anderem, die Entdeckung und Entfernung solcher Inhalte durch die Implementierung eines Upload-Filters zu automatisieren.