- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Persönliche Daten: Schutzniveau hoch angesiedelt


EuGH-Urteil zu "Safe Harbor" ist positives Signal für Datenschutz europäischer Prägung
"Binding Corporate Rules" kein Ersatz auf angemessenem Schutzniveau

Stellungnahme der TeleTrusT-AG "Cloud Security"

(30.10.15) – Gut zwei Jahre hat es gebraucht seit den ersten Enthüllungen von Edward Snowden, jetzt hat der Europäische Gerichtshof (EuGH) eine in ihren möglichen Auswirkungen weitreichende Feststellung getroffen: Die USA bieten aus europäischer Sicht "kein angemessenes Schutzniveau für personenbezogene Daten".

1) Das EuGH-Urteil schreibt ein Stück Rechtsgeschichte. Ausgangspunkt des Verfahrens war eine an die irische Datenschutzbehörde gerichtete Beschwerde des österreichischen Bürgers Maximilian Schrems gegen die Übermittlung seiner bei Facebook gespeicherten Daten in die USA, mit der Begründung, dass im Hinblick auf die von Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der USA, insbesondere der NSA, davon auszugehen sei, dass die Daten in den USA nicht hinreichend vor Überwachungstätigkeiten der dortigen Behörden geschützt seien. Die irische Behörde wies die Beschwerde seinerzeit mit dem Hinweis zurück, durch das "Safe Harbor"-Abkommen sei ein angemessenes Schutzniveau in den USA gegeben. Dieser Begründung hat der EuGH nun die Grundlage entzogen und die sog. "Safe Harbor"-Regelung gekippt. Der EuGH kassierte das bereits vor zwölf Jahren von der EU-Kommission installierte "Safe-Harbor"-Abkommen mit den USA.

2) Die Begründung der höchstrichterlichen Instanz der Europäischen Union ist beachtlich: In Bezug auf die Beschwerde stellt das Gericht fest, dass ab sofort die (zuständige) irische Behörde sorgfältig zu prüfen habe, ob die Übermittlung von personenbezogenen Daten aus dem EU-Raum auf amerikanische Server nicht auszusetzen sei, "weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet."

Gleichzeitig greift das Gericht die Europäische Kommission an: "Die Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden […] zu beschränken." Damit stärkt dieses Urteil die Befugnisse und die Unabhängigkeit europäischer Datenschutzbehörden, da sie nun nicht (mehr) an die "Safe-Harbor"-Regelung gebunden sind.

3) Das Urteil hat für den transatlantischen Datenaustausch und insbesondere für US-Internetunternehmen sowie US-Cloud Service Provider Konsequenzen. Mindestens dürfte die Übermittlung personenbezogener Daten in die USA auf Basis der "Safe Harbor"-Regelung ab sofort als unzulässig gelten. Mit Blick auf die Begründung des EuGH könnte das Urteil aber auch Auswirkungen auf die vor allem von großen Unternehmen, insbesondere multinationalen Konzernen und Organisationen, gern genutzten "Binding Corporate Rules" haben. Die "Binding Corporate Rules" sollen ein Rahmen für verbindliche Richtlinien zum Umgang mit personenbezogenen Daten sein. Wenn ein Unternehmen seine "Binding Corporate Rules" von europäischen Datenschutzbehörden verifizieren lässt, dann dürfen auf Grundlage dieser festgelegten Richtlinien Daten in Drittstaaten, z.B. in die USA, übermittelt werden.

Der EuGH hebt jedoch kritisch hervor, dass "amerikanische Unternehmen ohne jede Einschränkung verpflichtet sind, die […] vorgesehenen Schutzregeln unangewendet zu lassen, wenn sie in Widerstreit zu Erfordernissen [der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten] stehen". Damit sind die "Binding Corporate Rules" eben nicht "Binding", wenn es um den Schutz der Daten gegenüber amerikanischen Behörden geht, sondern nicht viel mehr als ein Papiertiger.

Zudem stellt der EuGH fest, dass die in den USA möglichen Zugriffe von Behörden auf diese Daten nicht auf das in der EU geforderte "absolut Notwendige" beschränkt seien, "wenn sie generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen." Gemeint ist die anlasslose Massenspeicherung von Daten durch die NSA.

Mit anderen Worten: Wenn Daten in die USA übermittelt werden, dann unterliegen diese Daten uneingeschränkt dem Recht der USA, ganz gleich, ob es "Binding Corporate Rules" gibt oder nicht. Da das diesbezüglich geltende Recht der USA nach Ansicht des EuGH kein ausreichendes Datenschutzniveau gewährleistet, wäre nach EU-Recht damit die Übermittlung personenbezogener Daten in die USA generell unzulässig.

Wenn die "Safe-Harbor"-Regelung amerikanischen Gesetzen entgegensteht oder im Widerspruch zur nationalen Sicherheit oder zum öffentlichen Interesse steht, sind dortige Unternehmen ohne jede Einschränkung verpflichtet, die in der Regelung vorgesehenen Schutzmaßnahmen unangewendet zu lassen." Eine Regelung verletzt den "Wesensgehalt des Grundrechts auf Achtung des Privatlebens", wenn sie es Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen.

4) Europäischen Firmen, die auch weiterhin ihre personenbezogenen Daten ausschließlich in Deutschland oder der europäischen Union verarbeiten, wird mit dem Urteil der Rücken gestärkt. Und auch Initiativen wie das TeleTrusT-Qualitätszeichen "IT Security made in Germany" erhalten die Bestätigung, dass der Datenschutz ein hohes Gut ist, das nicht ausgehöhlt werden darf.

5) Das EuGH-Urteil ist eine Chance auf Verbesserung der aktuellen Situation. Insgesamt gesehen bringt der EuGH neuen Schwung in die seit etwa zwei Jahren laufenden Verhandlungen um eine neue Safe-Harbor-Regelung, aber auch in den TTIP-Verhandlungen dürften Datenschutzaspekte nun eine stärkere Gewichtung erhalten, vermutlich oder hoffentlich zugunsten europäischer Standards.
(TeleTrusT: ra)

TeleTrust: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Kommentare und Meinungen

  • Pressevielfalt im Internet wird spürbar abnehmen

    Die EU hat sich auf eine neue Urheberrechtsrichtlinie geeinigt. Dazu erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder: "Für die Künstliche Intelligenz ist die Urheberrechtsreform ein Schritt nach vorne. In allen anderen Bereichen kennt die Richtlinie nur Verlierer. So hat sich die EU für Upload-Filter und gegen Meinungsfreiheit entschieden. Erst löschen und bei Beschwerde wieder hochladen - das führt das Recht auf freie Rede ad absurdum. Von der uns bekannten Meinungsfreiheit werden wir uns in einem gewissen Maß verabschieden müssen.

  • Aus Unternehmenssicht praxisfern

    Zu den aktuellen Plänen der SPD für ein "Daten für alle Gesetz" sagt eco Vorstandsvorsitzender Oliver Süme: "Eine Debatte darüber wie und unter welchen Umständen Zugang zu Daten erfolgt ist wichtig und eine Gestaltungsaufgabe für die Politik. Es bedarf dabei einer sorgfältigen Abwägung, wann Daten - auch personenbezogene - zugänglich gemacht werden sollen. Das von der SPD angeregte "Daten-für-alle"-Gesetz halte ich in diesem Zusammenhang für problematisch, weil es aus Unternehmenssicht praxisfern ist und zum Hemmschuh für die weitere Entwicklung des Digitalstandorts Deutschland werden könnte. Ein nationaler Alleingang beim Thema Daten wäre in diesem Kontext mehr als unklug."

  • Geschäftsbetrieb möglichst effektiv zu stören

    Laut Recherchen der "Welt am Sonntag" beobachteten Sicherheitsbehörden im Vergleich zum letzten Jahr einen eindeutigen Anstieg von Angriffen auf die IT-Infrastruktur von Organisationen. Die Attacken, hinter denen oftmals ausländische Geheimdienste vermutet werden, zielen neuerdings weniger darauf ab, Geld zu erpressen - vielmehr ist das Ziel, den Geschäftsbetrieb möglichst effektiv zu stören. Beispielsweise werde die Wasser- und Stromversorgung manipuliert. Laut dem Bundesamt für Sicherheit in der Informationstechnik haben die Angriffe eine neue Qualität erreicht. Auch wenn selbstverständlich nicht jeder Störfall mit einem Hack gleichzusetzen sei, wie das BSI betont, sei die Zahl der Vorfälle doch deutlich gestiegen - von 145 im Berichtszeitraum Juni 2017 bis Ende Mai 2018 auf ganze 157 Meldungen in der zweiten Hälfte des Jahres 2018. Hiervon haben 19 dieser Vorfälle den Energiesektor betroffen.

  • Implementierung regulatorischer Anforderungen

    Europäischer Rat und Europäisches Parlament haben entschieden, die Übergangsfrist für so genannte kritische Referenzwerte (Benchmarks) bis Ende 2021 zu verlängern. Hiermit wird ein zentrales Anliegen der Deutschen Kreditwirtschaft (DK) aufgegriffen. Die Entscheidung ist laut Bundesverband deutscher Banken e.V. sehr zu begrüßen, denn der ursprünglich vorgesehene Zeitrahmen war erheblich zu kurz. Die Anbieter kritischer Referenzwerte konnten die Arbeiten an der methodischen Herleitung noch nicht abschließen.

  • Banken begrüßen Brexit-Steuerbegleitgesetz

    Der Deutsche Bundestag hat das Brexit-Steuerbegleitgesetz verabschiedet. Mit dem Gesetz sollen mögliche negative Folgen eines harten Brexit vermieden werden. "Wir sind in Deutschland auf einen harten Brexit vorbereitet! Dieses klare Signal hat die Politik mit dem verabschiedeten Gesetz gesendet", erklärte Andreas Krautscheid, Hauptgeschäftsführer des Bankenverbandes. "Bundestag und Bundesregierung zeigen, dass sie bereit sind, alle geeigneten Maßnahmen zu treffen, um Nachteile für die in Deutschland ansässigen Unternehmen zu vermeiden."