1. Welche Unternehmen sind vom Safe-Harbor-Urteil betroffen?

Alle Unternehmen, die bisher personenbezogene Daten auf Grundlage des Safe-Harbor-Abkommens in die USA übertragen haben. Dies gilt vor auch für konzerninterne Übermittlungen von Personal- und Kundendaten – etwa wenn europäische Tochterunternehmen Daten mit ihrer US-amerikanischen Konzernzentrale austauschen – genauso wie für Übermittlungen von Daten an US-amerikanische IT Dienstleister und Social Media Plattformen. Insbesondere bei cloudbasierten Diensten gehört der globale Datenaustausch zum Geschäftsmodell, so dass diese von der Entscheidung des EuGH besonders betroffen sind. Achtung: Unternehmen können unter Umständen aber auch schon dann betroffen sein, wenn etwa auf der eigenen Unternehmens-Webseite Web-Analyse-Dienste von US-Anbietern eingebunden werden. Hierzu existieren oft keine entsprechenden schriftlichen Vereinbarungen.

2. Sind amerikanischen Services und Tools nun nicht mehr nutzbar?

Doch, allerdings wäre es zwar am sichersten, wenn der entsprechende Dienstleister seinen Sitz in einem Staat innerhalb der EU oder in einem von der EU als sicheres Drittland anerkannten Staat hat und auch nur von dort auf die Daten der deutschen Nutzer zugegriffen wird. Zu solchen sicheren Drittländern zählen beispielsweise die Schweiz, Kanada und Israel. Doch ist auch in Zukunft die Datenübermittlung in die USA nicht komplett ausgeschlossen (siehe nächste Frage).

3. Sind nun alle Datentransfers in die USA verboten?

Nein, eine Übermittlung personenbezogener Daten ist grundsätzlich auch ohne eine Safe Harbor-Zertifizierung möglich. Sie unterliegt nach dem Urteil des EuGH aber gegebenenfalls höheren Anforderungen. So gibt es gesetzliche Ausnahmen, die den Datentransfer erlauben – beispielsweise wenn die Übermittlung zu Erfüllung eines Vertrages notwendig ist. Auch wenn die Person der Übermittlung der eigenen Daten ausdrücklich zugestimmt hat – etwa Facebook-Nutzer. Allerdings muss diese Zustimmung bestimmten formellen Vorschriften genügen. Sie muss insbesondere freiwillig sein und muss widerrufbar sein. Nach einem solchen Widerruf ist dann jede weitere Übermittlung verboten.

4. Wie sollten Unternehmen auf die Safe-Harbor-Entscheidung reagieren?

Eine praxistaugliche Alternative zum Safe-Harbor-Abkommen sind die sogenannten Standardvertragsklauseln der EU-Kommission. Datenübermittlungen in die USA sind weiterhin möglich, wenn die vertragliche Beziehung mit dem Dienstleister auf diese Vertragsklauseln gestützt wird. Als Reaktion auf die Safe-Harbor-Entscheidung bieten mehrere US-Dienstleister an, sowohl Alt- als auch Neuverträge auf Standardvertragsklauseln umzustellen. Diese müssen allerdings unverändert in die jeweiligen Verträge mit dem Dienstleister übernommen werden. Problem: Auch die Standardvertragsklauseln beseitigen nicht die Bedenken des EuGH bezüglich der nationale Gesetze in den USA. Daher könnte es sein, dass auch die Standardvertragsklauseln noch gekippt werden.

5. Sind Verfahren wie Anonymisierung und Verschlüsselung rechtssichere Alternativen?

Technisch zuverlässig anonymisierte Daten in die USA zu übermitteln, gilt als unkritisch. Im besten Fall sind solche Daten auch verschlüsselt. Im Hinblick auf Datenschutz und Datensicherheit ist eine Verschlüsselung für die reine Datenspeicherung bei US-Cloud-Anbietern daher sinnvoll. Wenn verschlüsselte Daten nach der Übermittlung jedoch bearbeitet werden sollen, ist dies zumeist praktisch nur schwer möglich.

6. Gibt es Alternativen für die Speicherung und Verarbeitung personenbezogner Daten?

Viele Cloud-Anbieter offerieren, Daten in der EU zu speichern und zu verarbeiten. Prominentes Beispiel: So plant Microsoft Teile seines Cloud-Angebotes für Unternehmenskunden direkt aus Deutschland anzubieten – aus T-Systems-Rechenzentren. Um auch von US-Gerichten nicht zur Herausgabe von Kundendaten gezwungen werden zu können, geht Microsoft dabei noch einen Schritt weiter als andere Anbieter: Microsoft übergibt diese Daten an T-Systems als Datentreuhänder. Somit hat das US-Unternehmen ohne Zustimmung von T-Systems keinen Zugriff mehr auf die Daten.

7. Wie geht man vor, wenn personenbezogene Daten derzeit auf US-Servern lagern und nicht auf europäische Server verlagert werden können?

Nachdem der EuGH das Safe-Harbor-Abkommen für unwirksam erklärt hat, muss anderweitig sichergestellt werden, dass US-Dienstleister bzw. Datenspeicherung auf US-Servern einem angemessenen Datenschutzniveau entspricht. Wichtig in diesem Zusammenhang: In der EU ansässige Unternehmen sind für die Zulässigkeit von Datenübermittlungen an US-Unternehmen unmittelbar verantwortlich. Dies gilt vor allem, wenn es sich bei den eingeschalteten (US-) Dienstleistern um sog. Auftragsdatenverarbeiter handelt, die Daten nur im Auftrag und auf Weisung der verantwortlichen Stelle verarbeiten. Auf unzulässige Datenübermittlungen steht ein Bußgeld und Betroffene können entsprechende Abwehr- und Ersatzansprüche geltend machen. Betroffenen Unternehmen sollten prüfen, ob ihre in den USA ansässigen Dienstleister bereits Alternativmaßnahmen aus eigener Initiative eingeleitet oder solche angekündigt haben. Falls nicht, sollten Unternehmen dies ausdrücklich einfordern und die vertraglichen Absprachen entsprechend anpassen. Mit Blick auf die Rechtsfolgen sollten sie detailliert prüfen, ob nicht vielleicht doch eine Verlagerung der Daten auf deutsche bzw. europäische Server (ohne Zugriff aus den USA) möglich ist.

8. Wie geht es nach dem Urteil politisch weiter?

Die EU-Kommission und das US-Handelsministerium verhandeln schon seit einigen Jahren über eine neue Version des „Safe Harbor“. In mehreren zentralen Fragen soll es bereits Annäherungen geben. So sollen unter anderem höhere Hürden für den Zugriff auf Daten von EU-Bürgern vorgesehen sein - also statt flächendeckender Überwachung nur punktueller Zugang. Außerdem sollen europäische Bürger die Möglichkeit bekommen, ihre Rechte in den USA zu vertreten. Das würde eines der Probleme beheben, die das Safe-Harbor-Abkommen aus Sicht des Europäischen Gerichtshofs ungültig machen.