19. Januar 2016 - Nach dem EuGH-Urteil

Safe Harbor: Datentransfers in die USA jetzt prüfen

Der Branchenverband Bitkom weist darauf hin, dass Unternehmen ihre Datentransfers, die bislang auf Grundlage des Safe-Harbor-Abkommens abgewickelt werden, bis Ende Januar anpassen sollten. Andernfalls drohen Bußgelder.

Tipps zum Safe-Harbor-Abkommen Unternehmen sollten – falls noch nicht geschehen – die rechtliche Seite ihrer Datentransfers in die USA umgehend überprüfen (Bild: arcoss / iStock / Thinkstock)

Im Oktober 2015 hatte der Europäische Gerichtshof das Safe-Harbor-Abkommen zu Datentransfers in die USA für ungültig erklärt. Ende Januar dieses Jahres endet nun die indirekte – Übergangsfrist, die die Artikel-29-Datenschutzgruppe gesetzt hat. Unternehmen, die sich bei der Datenübermittlung zwischen Europa und den USA allein auf die Safe-Harbor-Vereinbarung stützen und dabei weitergehende gesetzliche Regelungen außer Acht lassen, drohen Strafgelder von bis zu 300.000 Euro.

Unternehmen sollten daher umgehend identifizieren, welche Datenübermittlungen bisher auf Grundlage des Safe-Harbor-Abkommens erfolgten:

  • Recht klar lässt sich laut Bitkom diese Frage beantworten, wenn mit US-Dienstleistern schriftliche Vereinbarungen vorliegen, die die Datenübermittlung regeln.
  • Datenübermittlungen liegen unter Umständen aber schon dann vor, wenn etwa für die eigene Unternehmens-Webseite externe Services für die Web-Analyse von US-Anbietern zum Einsatz kommen. Hierzu gibt es oft keine schriftlichen Vereinbarungen.

Unterschiedliche Meinungen der Datenschutzbehörden

Der Bitkom empfiehlt, sich für eine Bewertung des Handlungsbedarfs mit der Rechtsauffassung der Datenschutzbehörde im jeweiligen Bundesland vertraut zu machen.

Eine mögliche Alternative zum Safe-Harbor-Abkommen sind die sogenannten EU-Standardvertragsklauseln. Datenübermittlungen in die USA sind weiterhin möglich, wenn die vertragliche Beziehung mit dem Dienstleister auf diese Vertragsklauseln gestützt wird. Darüber hinaus bieten viele Cloud-Anbieter meist gegen einen Aufpreis an, Daten in der EU zu speichern und zu verarbeiten.

Verschlüsselung angeraten

Als unkritisch gilt es, technisch zuverlässig anonymisierte Daten in die USA zu übermitteln. Im besten Fall sind solche Daten auch verschlüsselt. Die Verschlüsselung nach anerkanntem Stand der Technik führt dazu, dass Daten in den USA nicht deanonymisiert werden können. Für die reine Datenspeicherung bei US-Cloud-Anbietern ist eine Verschlüsselung aus Sicht von Datenschutz und Datensicherheit daher sinnvoll. Sollen verschlüsselte Daten nach der Übermittlung jedoch bearbeitet werden können, ist dies zumeist praktisch nur schwer möglich.

Weitere Informationen zu Safe Harbor

Weiterführende grundsätzliche Informationen zum Safe-Harbor-Urteil finden Sie im Datenschutz-PRAXIS-Beitrag Safe Harbor am Ende – und was jetzt? Wie Unternehmen und Datenschutzbeauftragte eine Bestandsaufnahme vornehmen, lesen Sie in Safe Harbor: Bin ich betroffen?

.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln