Safe-Harbor-Urteil: Manager haben jetzt ein Compliance-Problem mit dem Datenschutz

GastbeitragSafe-Harbor-Urteil: Manager haben jetzt ein Compliance-Problem mit dem Datenschutz

Bild vergrößern

Stefan Schuppert, Experte für IP, Medien und Technologie und Partner bei Hogan Lovells.

Der Europäische Gerichtshof hat das Safe-Harbor-Abkommen für ungültig erklärt. Was das Safe-Harbor-Urteil zwischen Europa und USA für Unternehmen bedeutet.

Der Europäische Gerichtshof in Luxemburg hat das Safe-Harbor-Abkommen zum personenbezogenen Datenaustausch zwischen Europa und den USA für illegal und damit ungültig erklärt. Das Gericht ist der Ansicht, dass das Abkommen keinen adäquaten Datenschutz bietet. Denn es kann nicht verhindern, dass US-Geheimdienste Daten abschöpfen, die europäische Nutzer an amerikanische Unternehmen übermitteln, wenn sie zum Beispiel soziale Medien nutzen oder Waren über das Internet einkaufen.

Zustimmung zur Aussage: "Ich sehe meine Privatsphäre durch die Nutzung digitaler Technologien bedroht"

  • Deutschland

    74 Prozent

  • Großbritannien

    78 Prozent

  • Irland

    83 Prozent

  • Italien

    74 Prozent

  • Niederlande

    67 Prozent

  • Portugal

    81 Prozent

  • Spanien

    85 Prozent

  • Tschechische Republik

    68 Prozent

Was das Urteil für die betroffenen 4.400 Unternehmen bedeutet

Anzeige

Betroffen sind jene Unternehmen, die aus den USA kommen und eine Niederlassung irgendwo in der EU haben: zum Beispiel die großen sozialen Medien oder Online-Shops.    

Der Transfer von personenbezogenen Daten von der Europäischen Union in die USA unter dem Safe-Harbor-Regime ist illegal, es sei denn, die zuständigen nationalen Datenschutzbehörden stimmen dem Datentransfer nach einer gründlichen Prüfung ausdrücklich zu oder der Datenaustausch fällt unter eine gesetzliche Ausnahme.

Ein eiliges Compliance-Problem für das Top-Management

Viele der betroffenen Unternehmen haben ab sofort ein Compliance-Problem: Die Geschäftsführer brauchen sofort einen Plan, welche Schritte in welcher Zeit eingeleitet werden. Ein Abwarten wäre falsch und könnte dazu führen, dass Manager persönlich haften müssen.

Die Unternehmen benötigen einen Plan B. Am ehesten werden Unternehmen jetzt Standardvertragsklauseln vereinbaren: einen Mustervertrag, der auch von der EU-Kommission beschlossen wurde, und den das hiesige Unternehmen in der Europäischen Union und der Empfänger der Daten in den USA unterzeichnen müssen.

Langfristig werden viele Unternehmen ihre Datenübermittlungen auf Verbindliche Unternehmensrichtlinien stützen, sogenannte Binding Corporate Rules (BCR). Diese BCR umfassen gruppeninterne Regeln, wie personenbezogene Daten weltweit behandelt werden müssen.

Handlungsbedarf gegenüber Dienstleistern

Die Datenschutzbeauftragten der Unternehmen müssen umgehend ihre Dienstleister fragen, welchen Plan B sie haben. Viele US-Cloud-Anbieter sind gut vorbereitet. Dann können sie ihren Kunden den Abschluss von Standardvertragsklauseln anbieten, oder setzen Verbindliche Unternehmensrichtlinien um. Dann können die Dienste auch dann von europäischen Kunden genutzt werden, wenn der Dienstleister sich bislang auf Safe Harbor für den Datentransfer verlassen hat.

Was betroffene Unternehmen jetzt tun müssen

Unternehmen müssen

- ihr Datenaufkommen umgehend analysieren und herausfinden, welche Datenströme von der EU in die USA unter das Safe-Harbor-Abkommen fallen,

- den Datenverkehr nach Relevanz und Dringlichkeit bewerten und

- sämtliche Konzerngesellschaften identifizieren, die von einem transatlantischen Datentransfer unter Safe-Harbor betroffen sind.

Wie es weiter geht

Ein neues Safe-Harbor-Abkommen muss schnell kommen. Die USA und die EU verhandeln bereits seit geraumer Zeit darüber.

Es gibt aber noch keinen festen Zeitpunkt, wann das neue Abkommen in Kraft treten wird. Es war zunächst für den vergangenen Mai angekündigt – also schon vor fünf Monaten. Seitdem heißt es, man sei "nahe“ an einer Lösung.

Was in Deutschland geschehen sollte

In Deutschland wäre wohl sinnvoll, dass sich die Behörden der Länder zunächst im "Düsseldorfer Kreis" darüber verständigen, wie sie vorgehen. Unterschiede im Vorgehen von Bundesland zu Bundesland wären schwer zu vermitteln, wenn parallel eine einheitliche Verordnung für ganz Europa verhandelt wird.

Weitere Artikel

Auf jeden Fall sollte die Geschäftsleitung von jedem betroffenen Unternehmen einen "Plan B" bereit haben. Auch die neue EU-Verordnung zum Datenschutz wird das Urteil des EuGH berücksichtigen. In Europa wird – im sogenannten Trilog – gerade der Entwurf der Datenschutz-Grundverordnung verhandelt. Die Entscheidung des EuGH wird sicher dazu führen, dass das Kapitel V über den internationalen Datentransfer neu ausgewertet werden muss. Denn eine rechtswidrige Verordnung will sicher niemand auf den Weg bringen.

Anzeige
Deutsche Unternehmerbörse - www.dub.de
DAS PORTAL FÜR FIRMENVERKÄUFE
– Provisionsfrei, unabhängig, neutral –
Angebote Gesuche




.

Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%