Viele Unternehmen sind insbesondere auch mit Blick auf das aktuelle Facebook-Urteil des Europäischen Gerichtshofes (EuGH)verunsichert. Denn der EuGH hat am 6. Oktober 2015 entschieden, dass die Safe-Harbor-Entscheidung der EU-Kommission zur Übermittlung von personenbezogenen Daten in die USA vom 26. Juli 2000 ungültig ist. Die Entscheidung des EuGH betrifft letztlich alle Unternehmen, die Datenaustauschbeziehungen mit US-Unternehmen haben, nicht nur diejenigen, die für diesen Datenaustausch die Angemessenheit des Datenschutzniveaus in den USA bislang über die Safe-Harbor-Zertifizierung des in den USA ansässigen (datenempfangenden) Unternehmens gewährleistet haben.

Dies gilt also für konzerninterne Übermittlungen (etwa wenn europäische Tochterunternehmen Personal- oder Kundendaten im Rahmen von Mitarbeiterdatenbanken oder Customer Relationship Systemen mit ihrer US-amerikanischen Konzernzentrale austauschen) genauso wie für Übermittlungen von Daten an US-amerikanische IT-Dienstleister und Plattformen. Insbesondere cloudbasierte Dienste mit in den USA befindlichen Servern sind von dem EuGH-Urteil betroffen.

Die USA sind kein sicherer Hafen

Der EuGH führte aus, dass die Safe-Harbor-Entscheidung keine hinreichenden Sicherheits-Garantien im Sinne der EU-Datenschutzrichtlinie enthalte. Der den US-Geheimdiensten eröffnete Zugriff bedeute vielmehr einen Eingriff in die Grundrechte auf Achtung der Privatsphäre undDatenschutzDatenschutz. Die Überwachung sei massiv, nicht zielgerichtet und umfasse auch die Inhalte der Kommunikation ohne jede Differenzierung. EU-Unionsbürger verfügten über keinen effektiven Rechtsschutz gegen derartige Abhör- und Überwachungsmaßnahmen der US-Sicherheitsbehörden. Letztlich stellt diese Kritik auch die sog. EU-Standardvertragsklauseln in Frage. Alles zu Datenschutz auf CIO.de

Exkurs: Die Europäische Kommission hat Standardvertragsklauseln für Übermittlungen an sog. Auftragsdatenverarbeiter (Beschluss 2010/87/ EU der Kommission vom 5. Februar 2010) und Standardvertragsklauseln für Übermittlungen an sog. verantwortliche Stellen (Entscheidung 2001/497/EG der Kommission vom 15. Juni 2001 und Entscheidung 2004/915/EG der Kommission vom 27. Dezember 2004) verabschiedet, die angemessene Garantien bei der Übermittlung personenbezogener Daten von der EU in Drittländer gewährleisten und von den nationalen Datenschutzaufsichtsbehörden anzuerkennen sind.

Behörden können auf Daten (auch in der Cloud) zugreifen

Viele Nutzer fragen sich daher, ob sie damit rechnen müssen, dass (vor allem ausländische) Behörden auf ihre Daten zugreifen oder anders formuliert: Kann ich überhaupt meinen Pflichten als in datenschutzrechtlicher Hinsicht verantwortliche Stelle in vollem Umfang nachkommen? Wo muss mein Rechenzentrum stehen und darf ich überhaupt noch Dienste von US-Providern nutzen? Diese Fragen stellen sich vor allem diejenigen Unternehmen, die ihre Daten schon in die Cloud verschoben haben oder dies in naher Zukunft beabsichtigen.