Das Ende von Safe Harbour
Oktober 12, 2015 - 09:59
Österreichische Unternehmen im rechtlichen Graubereich:
Das Urteil des Europäischen Gerichtshofs, mit dem die Safe Harbour-Entscheidung der Europäischen Kommission kassiert wird, hat weitreichende Konsequenzen. Vor allem bedeutet dieses Urteil, dass österreichische Unternehmen keine rechtliche Grundlage mehr für die Speicherung personenbezogener Daten durch IT-Anbieter mit Sitz in den USA haben, ohne dass sie weitreichende rechtliche Vereinbarungen mit ihren Kunden getroffen haben.
Worum geht es bei der Safe Harbour-Regelung?
US Unternehmen konnten bislang durch eine Selbst-Zertifizierung attestieren, dass sie sich bestimmten Datenschutz-Regelungen des US Departement of Commerce unterwerfen. Diese Datenschutz-Regelungen werden Safe Harbour genannt. Die EU-Kommission hat im Jahr 2000 in einer Entscheidung pauschal festgelegt, dass Datenverarbeitungen und -speicherungen in Unternehmen, die sich der Safe Harbor-Regelung unterwerfen, automatisch mit dem europäischen Datenschutzrecht, insbesondere mit der Europäischen Grundrechte-Charta vereinbar und Datentransfers damit legitimiert sind.
Nun hat der Europäische Gerichtshof festgestellt, dass diese Entscheidung der Europäischen Kommission, die Safe Harbour-Regelungen als ausreichenden Datenschutz anzusehen, nicht mit der Europäischen Grundrechte-Charta vereinbar ist. Hier hat der Gerichtshof vor allem moniert, dass das Recht auf Achtung des Privatlebens, auf Schutz personenbezogener Daten und das Recht auf einen wirksamen Rechtsbehelf nicht gegeben sind.
Welche praktische Auswirkung hat das Urteil?
Europäische Unternehmen und auch österreichische Betriebe, die Dienste US-amerikanischer Unternehmen nutzen, um personenbezogene Daten zu speichern oder zu verarbeiten, haben nun ein Problem. Der Datentransfer zu diesen Diensten war bislang durch die Safe Harbour-Regelung der Kommission legitimiert. Nun ist diesem Datenverkehr die rechtliche Basis entzogen. Streng genommen dürfen europäische Unternehmen deshalb nicht ohne weitere rechtliche Vereinbarungen solche personenbezogenen Daten übermitteln. Wenn man bedenkt, dass ein Großteil aller relevanten und interessanten Cloud-Dienste durch US-Unternehmen erbracht wird, erkennt man schnell, dass europäische Unternehmen ein massives Problem haben. Dieses Problem zeitnah und rechtlich einwandfrei zu lösen, wird noch eine große Herausforderung. US-Unternehmen könnten sich einem nationalen (europäischen) Audit unterziehen, mit dem festgestellt wird, dass konzerninterne Regelungen dem Schutz der europäischen Grundrechte entsprechen. Bislang haben dies nur wenige Konzerne genutzt. Auch müssten die Verträge mit Unternehmenskunden angepasst werden.
Welche Auswirkungen hat das Urteil auf dvo-Kunden?
Kurz gesagt: Keine. Seit Beginn der Online-Angebote der dvo, z.B. dvo net:center, werden sämtliche Daten ausschließlich in Rechenzentren in Österreich gespeichert und verarbeitet. Die Standorte der dvo Rechenzentren sind Wien und Linz. Aus diesem Grund war dvo schon immer österreichischen Datenschutzregelungen unterworfen. Aus prinzipiellen Gründen hatte dvo sich seit jeher entschieden, nur eigene Rechenzentrumsdienste zu nutzen, für die klar einschätzbare rechtliche Regelungen gelten. Für dvo war aufgrund der besonderen Sensibilität der Steuerberatungs- und Unternehmensdaten neben der zuverlässigen technischen Verfügbarkeit der Online-Dienste ein ebenso zuverlässiger rechtlicher Rahmen eine unabdingbare Notwendigkeit.
Autor: Dr. Rainer Haude
Stichwörter: Cloud-Dienste, Datenschutz-Regelungen, Datenspeicherung, Datentransfer, europäische Grundrechte, europäische Kommission, Rechenzentren in Österreich, Safe Harbor, Schutz personenbezogener Daten
