Wie Sie vielleicht in der Presse mitverfolgt haben, hat Max Schrems die Firma facebook bzgl. der Weitergabe seiner personenbezogenen Daten in Irland (Europäischer Firmensitz von facebook) an Facebook (USA) geklagt. Die dafür zuständige Irische Datenschutzbehörde hat dieses Begehren mehr oder weniger direkt an den EU Gerichtshof weitergegeben. Der Grund dafür ist das die Weiterreichung der personenbezogenen Daten von Herrn Schrems unter einem internationalen Vertrag zwischen EU und USA namens „Safe Harbour“ passiert ist.
Safe Harbour erlaubt die Weitergabe von personenbezogenen Daten an Staaten (Drittstaaten) außerhalb des EWR (EU plus noch ein paar Länder 🙂 ), die eine gleichwertiges Datenschutzniveau garantieren wie innerhalb des EWR ohne Genehmigung der jeweiligen Datenschutzbehörde.
Safe Harbour funktioniert mit einer Selbstevaluierung/Selbstverpflichtung von Unternehmen beim Handelsministerium der Vereinigten Staaten – defacto tragen sich die Unternehmen in eine Liste ein und sind damit sichere Anbieter, die unter die „Safe Harbour“ Vereinbarung fallen. Somit können diese Unternehmen Daten aus der EU „Datenschutzgesetz konform“ verarbeiten.
Zurück zu Herrn Schrems und seinem Begehren. Der EuGH hat entschieden, das dieser Vertrag zwischen EU und USA nicht das gleiche Datenschutzniveau hat und somit grundsätzlich ungültig ist. Damit sind alle Daten von z.B. Österreichern in der Cloud eines Amerikanischen Anbieters rechtswidrig per 6.10.2015. Es gibt eine Empfehlung einer EU Experten-Kommission (Vereinigung aller Datenschutzbehörden) der auch von der Österreichischen Datenschutzbehörde gefolgt wird, eine Aufschub der Verfolgung bis 31.1.2016 zu gewähren.
Natürlich gibt es Alternativen nur wäre es sinnvoll auf Grund der aktuellen Situation zeitnahe aktiv zu werden. Eine Möglichkeit wären die sogenannten „EU Model Clauses“ – also Modell Verträge für Auftragsdatenverarbeitung mit dem Anbieter abzuschließen.
Einige Anbieter haben diese „Model Clausen“ bereits ausgearbeitet und sind somit auch in der neuen Situation zumindest im Vorteil bei anstehenden Verfahren bzgl. Ihrer Cloud-Dienste.
Die Informationen stammen übrigens aus erster Hand von unserem eurocloud event „Cloud & Datenschutz“ von Prof. Dr. Clemens Thiele.
Es lässt sich daraus auch ein fundamental anderer Zugang zu persönlichen Daten in Europa und Amerika ableiten. Ein grundsätzlicher Konsens zwischen den beiden Philosophien wird nicht einfach zu finden sein. Tatsächlich wird schon seit längerem an einen Safe Harbour 2 Abkommen verhandelt, es ist aber keine Einigung in Sicht.
Abschließend bleibt zu bemerken, das sich daraus ein für die Industrie und Gewerbe unnötige Rechtsunsicherheit ergibt, die nicht die gelebte Realität wieder spiegelt, und möglicherweise für findige Anwälte unnötige Geschäftsmodelle ermöglicht. Auf der anderen Seite bezahlen wir teilweise bewusst oder unbewusst mit unseren Daten und geben den Begehrlichkeiten der USA nach, was aus Europäischer Sicht auch nicht zu tolerieren ist.
In diesem Sinne – Wolfgang Aigner
Schreibe einen Kommentar