Das Safe-Harbor-Abkommen ist Geschichte - und was jetzt?
Durch das Urteil des EuGH wurde das umstrittene Safe-Harbor-Abkommen (wir haben es kürzlich ausführlich analysiert) in der aktuellen Form für unzulässig erklärt. Kurz gesagt wurde damit festgestellt, dass in den USA kein mit der EU vergleichbares Datenschutz-Niveau gelten würde. Damit wurde unsere Warnung vor der Übermittlung von personenbezogenen Daten an amerikanische Dienstleister nun offiziell bestätigt.
Doch was bedeutet dieses Urteil nun in der Praxis? Denn schließlich trifft dieses Urteil unendlich viele Unternehmen, die einen amerikanischen Dienstleister eingesetzt und dabei bislang auf den Schutz durch das Safe-Harbor-Abkommen vertraut haben: Salesforce, Dropbox, Mailchimp, Google Kalender, Amazon Cloud Service, und viele mehr.
Was bedeutet das in der Praxis?
Über die unmittelbaren Konsequenzen teilen sich die Meinungen - wie oft bei solchen komplexen rechtlichen Fragen: Fakt ist jedenfalls, dass auch weiterhin amerikanische Anbieter bedenkenlos gewählt werden können, wenn keine personenbezogenen Daten übertragen werden. Wenn Sie also Ihre Projekt-Kalkulationen oder die Bilder Ihres letzten Urlaubes z.B. in Dropbox oder die Google-Cloud laden, ist das datenschutz-rechtlich unbedenklich.
Sobald jedoch personenbezogene Daten verwaltet werden, sieht die Sache nun anders aus. Streng genommen fällt spätestens durch das EuGH-Urteil die Zulässigkeit der Datenübermittlung in die USA weg - und diese Daten dürfen nicht nur ab sofort nicht mehr übermittelt werden, sondern müssten auch sofort gelöscht werden.
Und wenn die Server in der EU stehen?
Bei dieser Frage scheiden sich die Geister. Angesichts der Tatsache, dass amerikanische Behörden bzw. Geheimdienste auch dann Zugriff auf die Daten amerikanischer Unternehmen haben, wenn deren Daten außerhalb der USA gespeichert werden, ist auch hier ein umfassender Datenschutz, wie ihn z.B. das österreichische DSG vorschreibt, nicht gegeben. Daher ist vermutlich auch die "Verschiebung" der Server in die EU kein (datenschutzrechtlicher) Freibrief.
Was sollten Sie nun tun?
Natürlich bleibt nun abzuwarten, wie sich die Verhandlungen der EU mit den USA über ein "Safe-Harbor 2.0" gestalten und wie die neue Vereinbarung aussehen wird (dass es ein neues Abkommen geben wird, darüber sind sich fast alle Beobachter einig).
Allerdings sollten Unternehmen zunächst überprüfen, an welche Unternehmen - außerhalb der EU - personenbezogene Daten übertragen werden. In diesen Fällen wäre dann empfehlenswert, eine Risiko-Abschätzung vorzunehmen:
- Wo speichert der Dienstleister die Daten?
- Gibt es schriftliche Garantien, dass die datenschutz-rechtlichen Bedingungen eingehalten werden?
- An welche weiteren (Sub-) Unternehmen werden eventuell die Daten weiter-gegeben?
- Wie wichtig ist das Datenschutz-Thema für das eigene Unternehmen (sowohl rechtlich als auch "ethisch" als auch als PR-Thema)?
In Zweifelsfall sollte eine Genehmigung der Datenschutzbehörde eingeholt werden - dann sind Sie auf der sicheren Seite. Ja, das ist mühsam - und derzeit ist außerdem fraglich, ob die Behörde diese Genehmigung auch erteilen wird (angesichts des EuGH-Urteils).
Langfristig sollten Unternehmen, denen der Datenschutz auch tatsächlich am Herzen liegt, über neue Lösungen nachdenken. Hier gibt es übrigens in vielen Fällen mehr gute Alternativen, als man denken würde (z.B. owncloud anstelle von Dropbox, usw).
Kleiner Hinweis in eigener Sache für Dialog-Mail Kunden und alle, die es werden wollen ;-): Unsere Server stehen allesamt in einem Rechenzentrum in Wien, es werden niemals Daten in die USA (oder sonst wohin) übertragen. Unsere Kunden können daher absolut sicher sein, dass Sie alle Anforderungen des Datenschutzes erfüllen. Details zu unseren Maßnahmen finden Sie in einem Artikel über Sicherheit und Performance.
Möchten Sie mehr?
In unserem Newsletter bekommen Sie regelmäßig die interessantesten Neuigkeiten aus dem Markt, aktuelle Trends, neue Whitepaper oder E-Mail-Marketing Best Practices: Rund 1x/Quartal bekommen Sie die besten Artikel kostenlos in Ihre Inbox, wenn Sie einfach unseren Newsletter lesen.