Wie personenbezogene Daten aus den Mitgliedsstaaten der EU an die USA weitergegeben werden dürfen, regelte die als "Safe Harbor" bezeichnete Übereinkunft der EU und der USA. Nun wurde dieses Abkommen vom Europäischen Gerichtshof (EuGH) aber als ungültig erklärt, mit direkten Auswirkungen auf den Datenschutz. Jeder, der Google Analytics oder Social-Media-Dienste in die eigene Website einbindet, kann nun abgemahnt werden.
Sind Online-Unternehmen betroffen und was ist jetzt zu tun?
Was ist Safe Harbor und wofür steht das Abkommen?
Das "Safe Harbor"-Abkommen regelt den Datenaustausch zwischen der EU und den USA. Gemäß der Datenschutzrichtlinie 95/46/EG dürfen personenbezogene Daten von der EU nicht in Länder übermittelt werden, in denen kein gleichwertiges Schutzniveau existiert. Dies trifft auch auf die USA zu. Um den Datenverkehr dennoch zu ermöglichen, wurde im Jahr 2000 das Safe Habor Abkommen ausgehandelt.
Safe Harbor durch EuGH-Urteil gestürzt |
Unternehmen aus den USA konnten sich demnach in eine Liste des amerikanischen Handelsministeriums eintragen lassen und sich dadurch bereiterklären, die Prinzipien des Datenschutzes in der EU zu akzeptieren. Wer hier eingetragen war, wurde in Safe Harbor aufgenommen und durfte personenbezogene Daten aus der EU nutzen.
Warum das Abkommen durch den Europäischen Gerichtshof aberkannt wurde
Das Problem bei jeder Übermittlung personenbezogener Daten in die US-Staaten ist die Gefahr des Datenmissbrauchs. Unternehmen, Geheimdienste oder Cyber-Kriminelle können die Daten für Fremdzwecke missbrauchen, was nicht erst seit den Enthüllungen von Edward Snowden bekannt ist. Weil u.a. der Zugriff der US-Geheimdienste auf solche Daten die Standards von Safe Harbor verletzt, wurde das Abkommen für ungültig erklärt.
Update 16.07.2020: Ebenso erging es dem Nachfolger-Abkommen "Privacy-Shield".
Update 16.07.2020: Ebenso erging es dem Nachfolger-Abkommen "Privacy-Shield".
Folgen für Unternehmen
Die digitale Vernetzung zwischen Europa und den USA ist sehr weitreichend. Europäische Firmen und Privatpersonen nutzen US-Dienste, wie Amazon, Google, IBM, Microsoft oder Social Media. Gerade Unternehmen, die Kundendaten an die USA übermitteln, sind von der EuGH-Entscheidung betroffen. Das gilt etwa für alle, die Social Plugins auf der eigenen Homepage einbinden, Google Analytics nutzen oder Daten bei US-Clouddiensten speichern. Nach dem neuen Urteil handelt jeder hierbei rechtswidrig. Unternehmen stehen in der Pflicht, nun zu reagieren. EU-Unternehmen, die US-Dienste nutzen, können abgemahnt werden. Die jüngsten Entwicklungen sollten nicht ignoriert werden. Datenschutzexperten empfehlen, Anbieter aus der EU anstatt Anbieter aus den USA zu nutzen oder ausschließlich US-Dienste zu verwenden, die mit auf den europäischen Datenschutz abgestimmten Verträgen arbeiten. Dies trifft etwa auf Microsoft und Amazon zu.
Was nun zu tun ist
Wie Unternehmen nun reagieren sollten, welche Alternativen es zu klassischen US-Diensten gibt und wie die Datenverarbeitung in der EU bleibt, sind Themen, mit denen sich Online-Unternehmen nun beschäftigen sollten.
Hierbei unterstützt Sie ein auf Datenschutz & Informationssicherheit spezialisierter IT-Dienstleister bei der Umgestaltung Ihrer Datenverarbeitung - wie z.B. die yourIT GmbH aus Balingen.
Lassen Sie sich beraten und machen Sie z.B. Ihre Webpräsenz abmahnsicher.