Am 6. Oktober 2015 hat der Europäische Gerichtshof das so genannte Safe Harbor-Abkommen, das den Datenaustausch zwischen EU-Ländern und den USA regelt, für ungültig erklärt. Die Regelungen von Safe Harbor, zu Deutsch „Sicherer Hafen“, sollten im Umgang mit personenbezogenen Daten in den USA und anderen Drittländern ein Schutzniveau gewährleisten, das der einschlägigen europäischen Richtlinie 95/46/EG entspricht.
Nun befanden die höchsten europäischen Richter, dass personenbezogene Daten durch Safe Harbor nicht ausreichend vor fremdem Zugriff – insbesondere durch US-amerikanische Sicherheitsdienste und Behörden – geschützt würden.
EuGH spricht deutliche Worte
Vorausgegangen war ein Prozess des österreichischen Facebook-Nutzers Maximilian Schrems, der sein Grundrecht auf informationelle Selbstbestimmung durch das Social Network nach den Enthüllungen des Whistleblowers Edward Snowden nicht mehr gewährleistet sah.
Dem folgten die Richter am EuGH. Das Urteil unter dem Az. C-362/14 bekräftigt: Das EU-Recht „verbietet […] Übermittlungen personenbezogener Daten in ein Drittland das kein angemessenes Schutzniveau gewährleistet“. Und weiter: „Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der [EU-Grundrechte-] Charta garantierten Grundrechts auf Achtung des Privatlebens.“
Unsicherheit auch für Unternehmen
Personenbezogene Daten wanderten (und wandern) aber nicht nur im Rahmen sozialer Netzwerke auf Server der USA und anderer Drittstaaten. Auch Unternehmen sollten sich jetzt genau überlegen, auf welchen Servern ihre sensiblen Kunden- und Mitarbeiterdaten eigentlich landen. Denn US-Software-Riesen, die Cloud-Tools für E-Collaboration, Mail und CRM anbieten, können derzeit wohl nicht glaubhaft garantieren, dass die Daten und E-Mails der Kunden nicht an irgendeinem Punkt der Reise über einen Server in den USA geleitet werden – oder gar endgültig dort gespeichert werden. Inklusive einer Hintertür für NSA und Co.
Folgen noch unklar
Eilfertig versicherten zwar Unternehmen wie Facebook und Microsoft, dass sich durch die neue Rechtslage nicht viel ändern werde. Woher sie diese Sicherheit nehmen, ist aber zurzeit nicht ganz klar. Und Alternativen zu Safe Harbor sind nicht in Sicht – zumal dieselben Argumente wie im vorliegenden Urteil sinngemäß auch auf Konstrukte wie die „Standardvertragsklauseln“ und „Binding Corporate Rules“ anwendbar wären.
Eine Regelung, nach der das Auskunftsinteresse der US-Geheimdienste bzw. der Patriot Act ein höheres Rechtsgut ist als der Schutz der Grundrechte von Individuen, ist nach EU-Recht ungültig, ganz gleich, was auf der Verpackung steht.
Selbst eine ausdrückliche Einwilligung der Betroffenen, wenn diese denn erteilt würde, wäre ungültig, weil sie den zugrunde liegenden Rechtsverstoß nicht heilt.
Hosting in Germany die Alternative
Unternehmen, die ganz sicher gehen möchten, dass ihre Datenspeicherung keine Compliance-Fragen im Hinblick auf die neue Rechtslage aufwirft, sollten mit Softwarehäusern arbeiten, die in Deutschland oder der EU hosten.
Deutschland gilt auch innerhalb Europas als Hochburg des Datenschutzes. Die EU-Richtlinie 95/46/EG wird hierzulande durch das Bundesdatenschutzgesetz umgesetzt. Dem strengen Rechtsrahmen des Gesetzes liegt das „Verbotsprinzip mit Erlaubnisvorbehalt“ zugrunde.
Es gibt deutsche Anbieter von Unternehmenssoftware, Cloud-Speichern, E-Mail-Tools und sozialen Netzwerken, die Nutzerdaten ausschließlich auf zertifizierten, gesicherten und in Deutschland stehenden Servern speichern. Damit ist ein unbefugter Zugriff durch Behörden, Geheimdienste oder dergleichen faktisch ausgeschlossen – sei es nun der BND oder die NSA.
