Safe Harbor Urteil: Was ändert sich für Unternehmen

Am 06.10.2015 hat der Europäische Gerichtshof das sogenannte Safe Harbor Urteil gefällt und die gleichnamige Vereinbarung zwischen der EU und den USA außer Kraft gesetzt. Nach einem Monat wird langsam klar, was das für Unternehmen bedeutet – und nach der ersten Euphorie wird klar, dass nicht alles automatisch besser wird.

Verfasser: Berk Kutsal
Datum: 24. November 2015
Lesedauer: 3 Minuten

Was ist Safe Harbor?

Eigentlich war es nicht erlaubt, personenbezogene Daten aus einem Mitgliedsstaat der EU in ein Land zu übertragen, dessen Datenschutz nicht dem Niveau der EU entsprach, die Datenschutzrichtlinie 95/46/EG verbietet dies. Als das Internet langsam Fahrt aufnahm, schlossen die USA und die EU zwischen 1998 und 2000 das Safe Harbor Abkommen, damit die Kommunikation zwischen den beiden Kontinenten nicht zum Erliegen kommt. Unternehmen können dem Abkommen beitreten, die entsprechenden Vorgaben erfüllen und anschließend den Schutz von Safe Harbor genießen – also personenbezogene Daten verarbeiten, die in der EU aufgenommen wurden. Die Liste aller für Safe Harbor zertifizierten Unternehmen kann man auf dieser Seite einsehen, nahezu alle bekannten Anbieter von Cloud-Diensten haben das Abkommen zertifiziert.

Das Urteil des EuGH

15 Jahre nach dem Abkommen, unter anderem unter dem Eindruck der Snowden-Dokumente, hat das EuGH das Safe Harbor Abkommen für ungültig erklärt. Das Abkommen biete aus europäischer Sicht kein angemessenes Schutzniveau für die personenbezogenen Daten, die in der EU erhoben werden, vor allem weil die Geheimdienste der USA laut US-Recht unbegrenzten Zugriff auf die Informationen erhalten. Zugleich haben die Datenschutzaufsichtsbehörden der EU die Erlaubnis erhalten, Datenübermittlungen in die USA zu untersagen.

Das Urteil betrifft grundsätzlich alle Unternehmen, die personenbezogene Daten im Ausland speichern – das ist so weitreichend wie es klingt. Wenn Unternehmen die Informationen ihrer Kunden auf Servern im Ausland speichern oder verarbeiten, sollten sie nun ganz genau nachfragen, wo die Daten liegen. Gerade mit populären Cloud-Diensten oder bei SaaS-Angeboten ist dies nicht immer klar. Große Anbieter, darunter etwa Microsoft, haben ihre Server inzwischen nach Europa und Deutschland ausgelagert. Die IHK München hat eine sehr gute Übersicht aufgestellt, wie Online-Dienste und vor allem Tracking-Systeme oder Social Media Plugins von dem Urteil betroffen sind. Als Unternehmen muss man nichts überstürzen, zumindest bis Ende Januar 2016 gibt es eine Schonfrist, in der keine Bußgelder verhängt werden.

Wie geht es weiter?

Für die großen Cloud-Anbieter ist das Ende von Safe Harbor tatsächlich keine große Sache, einige hatten dies bereits länger erwartet und setzen bereits die temporären Vorgaben der EU – die sogenannten Modal Clauses – an. Dazu gehören beispielsweise oder Salesforce oder Microsoft, die übrigens auch die meisten anderen Cloud-Dienste nach Deutschland verlegen möchten. Ähnliches gilt für Amazon AWS, Google oder Facebook – alle größeren Unternehmen setzen die neuen Vorgaben um oder werden dies in kurzer Zeit tun. Nicht allen gefällt das, Eric Schmidt von Alphabet (Googles Mutterfirma) etwa warnte davor, die größte Errungenschaft der Menschheit aufs Spiel zu setzen.

Probleme gibt es eher für kleinere Cloud-Anbieter oder Startups, also alle, die sich nicht ohne weiteres an die neuen Vorgaben anpassen können. Es könnte durchaus sein, dass es hier zu Problemen kommt und Cloud-Anbieter aus den USA demnächst die Pforten für Nutzer aus Europa schließt.

Wer nicht so lange warten möchte hat aber noch eine andere Alternative: Es gibt inzwischen zahlreiche Alternativen, die in Europa oder Deutschland angesiedelt sind und die entsprechend die strengeren Datenrichtlinien hierzulande bereits umgesetzt haben.

Das Thema Safe Harbor hat viele Facetten und ist teilweise recht komplex. Alle Aspekte hier aufzuführen würde den Rahmen des Beitrags sprengen – glücklicherweise gibt es aber andere, die sich bereits damit auseinandergesetzt haben:


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s