Deutsche Datenschutzbehörden prüfen Safe-Harbor-Beschwerden schon jetzt
Die deutschen Datenschutz-Aufsichtsbehörden haben sich darauf verständigt, dass sie auf der Basis von Beschwerden schon jetzt Unternehmen transatlantische Datentransfers untersagen können.
Unabhängig von Beschwerdefällen wollen die deutschen Datenschutz-Aufsichtsbehörden bis Ende Januar darüber entscheiden, ob die EU-Standardvertragsklauseln sowie die Binding Corporate Rules hinfällig sind. Bis dahin wollen sie gegen Unternehmen nicht gemeinsam vorgehen, haben die Behörden nun vereinbart.
Pauschal- oder Einzelfallentscheidung
Schon vor dem Urteil des Europäischen Gerichtshofs zu Safe Harbor konnte die Anwendung der
EU-Standardklauseln ausgesetzt werden, wenn die rechtsstaatliche Situation im Empfängerstaat nicht stimmt. Europäische und nationale Arbeitsgruppen prüfen jetzt, ob sie diese Karte ziehen wollen oder ob sie die Datenübermittlung nur in Einzelfällen untersagen wollen. Ein Kriterium für eine Einzelfallentscheidung könnte beispielsweise darin bestehen, ob ein Unternehmen Teil des NSA-Überwachungsprogramms PRISM war. Dann wären vor allem alle großen US-amerikanischen IT-Konzerne betroffen.
Der Hamburgische Datenschutzbeauftragte Johannes Caspar warnt gegenüber heise online die Unternehmen davor, die Zeit bis Januar untätig verstreichen zu lassen: "Wer auf der sicheren Seite sein will, sollte sich bemühen, die Daten in Europa zu verarbeiten." Hamburg meint wie Bremen und Schleswig-Holstein, dass alternative Rechtsinstrumente das gekippte Safe-Harbor-Abkommen nicht ersetzen können, da das Problem wesentlich tiefer liege: So müssten die USA den EU-Bürgern ein gleichwertiges Rechtsniveau im Umgang mit ihren personenbezogenen Daten zusichern können.
Mehrere Safe-Harbor-Beschwerden täglich
Die Frist bis Ende Januar gilt nicht, wenn Kunden oder Mitarbeiter sich bei den Aufsichtsbehörden beschweren. In diesem Fall müssen die Behörden den jeweiligen Sachverhalt schon jetzt prüfen. Darüber wird aber aus praktischen Gründen ebenfalls nicht vor Februar entschieden. Möglicherweise steht den Unternehmen dann eine Art Abmahnung ins Haus. Marit Hansen vom Unabhängigen Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein berichtet, dass täglich mehrere Beschwerden in Bezug auf Safe Harbor eingereicht werden, vor allem von Bürgern, die jetzt die Allgemeinen Geschäftsbedingungen prüfen und Hinweise auf Safe Harbor finden, zum Beispiel in Krankenkassen-Apps.
Das ULD will Unternehmen auf der Suche nach europäischen Alternativen unterstützen. Marit Hansen: "Zum Glück fangen die Leute an, ihre Lösungen zu hinterfragen und nach Alternativen zu suchen." Zuletzt etwa fragten Unternehmen, welche Software sie für Webinars oder Tele-Konferenzen verwenden können, da auch bei diesen Daten von Arbeitnehmern in die USA übermittelt werden. Das ULD verwies dabei auf Alternativen wie EduDip, das ohne die Übermittlung der Daten in die USA auskommt und einen Opt-out für Google Analytics bietet. Für Terminabsprachen ist nicht Doodle nötig, wenn es Alternativen wie den DFN Terminplaner oder Dudle gibt.
Safe-Harbor-Urteil betrifft auch Geheimdienste
Das ULD strebt einen gemeinsamen Pool an Produkten an. Andere Aufsichtsbehörden begreifen diese Art von Beratung aber noch nicht als ihre Aufgabe, da jede Alternative wieder neue Probleme mit sich bringen kann. Hansen: "Threema etwa gilt als bessere Alternative zu Whatsapp, aber ob es tatsächlich rechtskonform ist, hat noch keiner richtig überprüft."
Für Marit Hansen ist auch klar, dass das Safe-Harbor-Urteil sich nicht nur allein auf den transatlantischen Datenverkehr auswirken werde, sondern auch darauf, wie die rechtstaatliche Kontrolle von Geheimdiensten gestaltet wird. Erst einmal müssen Unternehmen, die europäische Cloud-Dienste nutzen wollen, nicht darauf achten, ob etwa der britische Geheimdienst GCHQ mehr oder weniger unkontrollierten Zugang zu den Daten hat. "Wir untersagen noch nichts, was innerhalb der EU ist. Aber die Fragen werden nicht mehr lange offenbleiben", beteuert Hansen. (anw)
