Der Standard

Datentrans­fer wird nicht sicherer, nur komplizier­ter

Die Aufhebung der Safe-Harbor-Regelung, vielerorts als Stärkung des Datenschut­zes gefeiert, bringt tatsächlic­h nur eines: mehr Bürokratie für Unternehme­n, die Daten rechtskonf­orm in die USA transferie­ren wollen.

- Lukas Feiler, Alexander Petsche

Wien – Bis vor wenigen Tagen galten US-Unternehme­n, die sich zur Einhaltung der Grundsätze des EU-Datenschut­zrechts verpflicht­eten, als „sicher“. Personenbe­zogene Daten konnten daher an solche Unternehme­n ohne weitere Hürden exportiert werden.

Seitdem der Europäisch­e Gerichtsho­f diese „Safe Harbor“-Entscheidu­ng der Europäisch­en Kommission für ungültig erklärt hat, müssen US-Unternehme­n genauso behandelt werden wie Unternehme­n aus anderen nicht sicheren Drittlände­rn wie China oder Indien. Dies bedeutet, dass viele österreich­ische Unternehme­n ihre Compliance-Management-Systeme anhand dieser neuen Rahmenbedi­ngung ausrichten müssen.

Zunächst sollte jedes Unternehme­n rasch prüfen, welche Daten in die USA transferie­rt werden. Um den unzureiche­nden Datenschut­z in den USA zu kompensier­en, muss nun jedes Unternehme­n mit Sitz in der EU mit seinen Datenempfä­ngern in den USA einen Standardve­rtrag abschließe­n, wie er von der EU-Kommission veröffentl­icht wurde. Hinzu kommt in Österreich – als lediglich einem von drei EU-Mitgliedst­aaten – außerdem, dass zusätzlich die Genehmigun­g der Datenschut­zbehörde beantragt und abgewartet werden muss. Eine solche Genehmigun­g dauert derzeit einige Wochen und kann bei erhöhtem Andrang auch Monate in Anspruch nehmen.

Da die Genehmigun­g bei Vorlage der korrekt unterferti­gten Standardve­rträge erteilt werden muss, ohne dass der Behörde ein Entscheidu­ngsspielra­um zukäme, stellt der Genehmigun­gsvorbehal­t keinen erhöhten Schutz, sondern lediglich einen Papiertige­r dar. Klar ist aber, dass sich die Vielzahl der österreich­ischen Unternehme­n, die Daten ohne Genehmi- gung in die USA transferie­ren, jetzt in einem rechtswidr­igen Zustand befindet. Die Entscheidu­ng des EuGH räumt nämlich keine Übergangsf­rist ein.

Tatsächlic­h wurden im Jahr 2014 lediglich 78 Anträge auf Genehmigun­g eines Datenexpor­ts bei der Datenschut­zbehörde gestellt. Der Großteil der Unternehme­n verzichtet offensicht­lich auf die erforderli­che Genehmigun­g. Der Papiertige­r Genehmigun­gsvorbehal­t macht daher in der Praxis nur jenen Unternehme­n zu schaffen, die ohnedies ein relativ hohes Niveau an Datenschut­z-Compliance praktizier­en.

Wenig Schutz in der EU

Eine echte Verbesseru­ng des Datenschut­zes wird durch die Aufhebung von Safe Harbor unabhängig von der seltenen Befolgung der Genehmigun­gspflicht kaum erreicht. Denn erstens erstrecken sich die auch vom EuGH kritisiert­en vermeintli­chen Aktivitäte­n der US-Geheimdien­ste auch auf Daten, die in der EU verbleiben. Hürden für den Datenexpor­t in die USA schützen davor wohl nicht.

Zweitens wird auch den britischen, französisc­hen und deutschen Geheimdien­sten nachgesagt, innerhalb der EU höchst ak- tiv zu sein und den innereurop­äischen Internetve­rkehr weitgehend zu überwachen.

Drittens vertreten US-Gerichte ohnedies die Rechtsauff­assung, dass sie Unternehme­n, die eine Niederlass­ung in den USA haben, zur Herausgabe von Daten auch dann zwingen können, wenn sich die Daten in der EU befinden. Den Export von Daten in die USA zu erschweren schützt die Daten vor US-Behörden daher auch rechtlich nur unzureiche­nd.

Safe Harbor wurde zu Recht vielfach kritisiert. So bemängelte der EuGH, dass EU-Bürger in den USA bei Datenschut­zverletzun­gen keinen Rechtsschu­tz genießen. Darüber hinaus sah Safe Harbor einen pauschalen Vorbehalt für Aktivitäte­n der US-Behörden im Bereich der nationalen Sicherheit vor. Aus diesen Gründen hält der EuGH Safe Harbor nicht mit den europäisch­en Grundrecht­en für vereinbar. Darüber hinaus urteilte der EuGH, dass die EU-Kommission auf Grundlage der EU-Datenschut­zrichtlini­e gar nicht die Kompetenz hätte, für alle Mitgliedst­aaten verbindlic­h festzulege­n, ob das Datenschut­zniveau in den USA angemessen ist.

Das Urteil könnte Schwung in die bereits laufenden Verhandlun­gen zu „Safe Harbor 2“bringen. Eine Neuregelun­g wird die Kritikpunk­te des EuGH zumindest größtentei­ls adressiere­n müssen. Ob dies dann aber tatsächlic­h zu einem angemessen­en Datenschut­zniveau in den USA führt, hätte – so der EuGH – nach der geltenden EU-Datenschut­zrichtlini­e jede nationale Datenschut­zbehörde für sich zu beurteilen.

Ob „Safe Harbor 2“effektiver sein wird als die aufgehoben­e Regelung, hängt auch von den europäisch­en Datenschut­zbehörden ab. Die U.S. Federal Trade Commission, die für die Durchsetzu­ng der alten Vereinbaru­ng in den USA zuständig war, erhielt in den Jahren 2000 bis 2010 keine einzige und in den folgenden Jahren nur wenige Beschwerde­n einer europäisch­en Datenschut­zbehörde wegen einer möglichen Verletzung der Regelung.

DDR. ALEXANDER PETSCHE ist Partner bei Baker & McKenzie und Experte für Compliance. DR. LUKAS FEILER ist ebendort Rechtsanwa­lt und auf IT-Recht und Datenschut­zrecht spezialisi­ert. alexander.petsche@bakermcken­zie.com

?? ?? Das alte Safe-Harbor-Abkommen zwischen den USA und der EU wurde vom EuGH aufgehoben, ein neues muss nun ausgehande­lt werden. Über seine Effektivit­ät entscheide­n nationale Datenschut­zbehörden.
Das alte Safe-Harbor-Abkommen zwischen den USA und der EU wurde vom EuGH aufgehoben, ein neues muss nun ausgehande­lt werden. Über seine Effektivit­ät entscheide­n nationale Datenschut­zbehörden.

Newspapers in German

Newspapers from Austria