Müssen Unternehmen ihre Datentransfers in die USA jetzt stoppen?
Der Europäische Gerichtshof hat in einem aktuellen Urteil festgestellt, dass das sogenannte Safe Harbor Abkommen zwischen der EU und den USA ungültig ist. Das Safe Harbor Abkommen war die
wesentliche Grundlage, die es erlaubte, in der EU erhobene, personenbezogene Daten an Unternehmen in den USA zu transferieren. Dr. Fabian Niemann von der renommierten Kanzlei Bird&Bird erklärt in einem kurzen Interview, was Unternehmen beachten müssen, die bisher Daten auf Grundlage von Safe Harbor in die USA transferiert haben.
Das jüngste Urteil des EuGH schlug ein wie eine Bombe. War das Safe Harbor Abkommen doch die zentrale Grundlage für die Zusammenarbeit mit Unternehmen, die Daten in den USA speichern oder verarbeiten. Und dies sind in Zeiten der Digitalisierung nicht wenige. Betroffen von der Entscheidung sind all diejenigen deutschen und europäischen Unternehmen, deren vertragliche Basis für eine Datenverarbeitung in den USA auf die Einhaltung der Regelungen der Safe Harbor Vereinbarung abstellen. Wer eigene geeignete Vereinbarungen mit US-Dienstleistern hat, oder mit Unternehmen arbeitet, die Daten nicht in den USA verarbeiten und nicht zu US-Unternehmen gehören, hat dieser Tage keine Sorge. In einem Interview mit dem Rechtsexperten Dr. Fabian Niemann werden die wichtigsten Fragen erklärt:
Sollten Unternehmen,die bisher auf Grundlage von Safe Harbor Daten in die USA transferiert haben, dies nach dem Urteil sofort unterlassen?
Dr. Niemann: Das Urteil des EuGH gilt ohne Umstellungsfrist unverzüglich. Nichtsdestotrotz sollten Unternehmen nicht in Panik verfallen und alle Datentransfers sofort abbrechen. Stattdessen gilt es jetzt, zu prüfen, welche Datentransfers konkret betroffen sind, Alternativen zu evaluieren und Anweisungen der zuständigen Datenschutzbehörden abzuwarten. Die rechtlichen Auswirkungen des Urteils sind noch nicht so klar, wie es zunächst den Anschein haben mag. Obwohl es offensichtlich ist, dass Datentransfers auf der Basis von Safe Harbor neu bewertet werden und möglicherweise auf einer neuen Grundlage erfolgen müssen, ist noch nicht abzusehen, wie neue rechtliche Rahmenbedingungen aussehen könnten. Die Einschätzung des neuen Sachverhalts und der sich daraus ergebenden Konsequenzen für Unternehmen ist von Seiten der zuständigen Datenschutzbehörden in den verschiedenen EU Mitgliedsstaaten bisher noch sehr unterschiedlich. Die offzielle Stellungnahme aller Behörden bleibt abzuwarten.
Es ist aber in jedem Fall empfehlenswert
* keine neuen Anwendungen einzuführen, die auf Datentransfers auf Grundlage von Safe Harbor setzen, die Entwicklungen zu verfolgen und für alle Eventualitäten vorbereitet zu sein.
* insbesondere darauf vorbereitet zu sein, dass Datenschutzbehörden in einzelnen Mitgliedsstaaten auch ohne Abstimmung innerhalb der EU möglicherweise kurzfristig drastische Schritte, wie den vollständigen Abbruch aller Datentransfers, verlangen.
* Optionen zu evaluieren wie man auf die
verschiedenen Entwicklungen reagieren kann.
Wie hoch ist aktuell das Risiko direkter rechtlicher Konsequenzen?
Dr. Niemann: Den inofiziellen Statements der zuständigen Behörden nach zu urteilen, ist das Risiko aktuell noch gering. Dies kann sich aber schnell ändern, weshalb Unternehmen, wie bereits erwähnt, schnellstmöglich Alternativen evaluieren sollten.
Welche Auswirkungen hat das Urteil auf andere rechtliche Grundlagen des Datentransfers, konkret Standard-Vertragsklauseln und Binding Corporate Rules (BCR)?
Dr. Niemann: Diese Grundlagen haben weiterhin Gültigkeit. Sie sind nicht Teil des Urteils. Aber auch hier besteht das Risiko, dass Grundlagen mittelfristig von Nutzern, Verbraucherverbänden oder
Datenschutzorganisationen vor dem EuGH in Frage gestellt werden.
"Viele Geschäftsmodelle ohne Daten nicht mehr denkbar"
"Viele Geschäftsmodelle, sind - insbesondere im Hinblick auf Service und Marketing - ohne den Einsatz von Daten nicht mehr denkbar. Das Urteil des EuGH unterstreicht dabei noch einmal den Stellenwert der rechtskonforme Nutzung von Daten. Datenschutz und Datensicherheit sind bei Data-driven Marketing kein Beiwerk, sondern müssen konsequent mitgedacht und in alle Prozesse implementiert werden. Neben der Frage des Server-Standorts ist insbesondere wichtig, sicher zu sein, wie und welche Daten erhoben und verarbeitet werden - beispielsweise hinsichtlich verhaltensbezogener Nutzerprofile oder bei der Zusammenführung mit Daten aus Social Media oder anderen Quellen. Hier herrscht beidseitig des Atlantiks ein sehr unterschiedliches Bewusstsein hinsichtlich Datenschutzbelangen", resümiert Stefan von Lieven, CEO des Dialogmarketingspezialisten artegic AG, die Herausforderung. "Unternehmen, die Daten bisher nach deutschem Recht und deutschem Datenschutzverständnis erfasst und an deutschen Serverstandorten verarbeitet haben, haben einen klaren Wettbewerbsvorteil. Sie stehen nicht nur rechtlich auf der sicheren Seite sondern punkten auch gegenüber dem Nutzer, der für Datenschutzfragen mehr und mehr sensibilisiert ist."
wesentliche Grundlage, die es erlaubte, in der EU erhobene, personenbezogene Daten an Unternehmen in den USA zu transferieren. Dr. Fabian Niemann von der renommierten Kanzlei Bird&Bird erklärt in einem kurzen Interview, was Unternehmen beachten müssen, die bisher Daten auf Grundlage von Safe Harbor in die USA transferiert haben.
Das jüngste Urteil des EuGH schlug ein wie eine Bombe. War das Safe Harbor Abkommen doch die zentrale Grundlage für die Zusammenarbeit mit Unternehmen, die Daten in den USA speichern oder verarbeiten. Und dies sind in Zeiten der Digitalisierung nicht wenige. Betroffen von der Entscheidung sind all diejenigen deutschen und europäischen Unternehmen, deren vertragliche Basis für eine Datenverarbeitung in den USA auf die Einhaltung der Regelungen der Safe Harbor Vereinbarung abstellen. Wer eigene geeignete Vereinbarungen mit US-Dienstleistern hat, oder mit Unternehmen arbeitet, die Daten nicht in den USA verarbeiten und nicht zu US-Unternehmen gehören, hat dieser Tage keine Sorge. In einem Interview mit dem Rechtsexperten Dr. Fabian Niemann werden die wichtigsten Fragen erklärt:
Sollten Unternehmen,die bisher auf Grundlage von Safe Harbor Daten in die USA transferiert haben, dies nach dem Urteil sofort unterlassen?
Dr. Niemann: Das Urteil des EuGH gilt ohne Umstellungsfrist unverzüglich. Nichtsdestotrotz sollten Unternehmen nicht in Panik verfallen und alle Datentransfers sofort abbrechen. Stattdessen gilt es jetzt, zu prüfen, welche Datentransfers konkret betroffen sind, Alternativen zu evaluieren und Anweisungen der zuständigen Datenschutzbehörden abzuwarten. Die rechtlichen Auswirkungen des Urteils sind noch nicht so klar, wie es zunächst den Anschein haben mag. Obwohl es offensichtlich ist, dass Datentransfers auf der Basis von Safe Harbor neu bewertet werden und möglicherweise auf einer neuen Grundlage erfolgen müssen, ist noch nicht abzusehen, wie neue rechtliche Rahmenbedingungen aussehen könnten. Die Einschätzung des neuen Sachverhalts und der sich daraus ergebenden Konsequenzen für Unternehmen ist von Seiten der zuständigen Datenschutzbehörden in den verschiedenen EU Mitgliedsstaaten bisher noch sehr unterschiedlich. Die offzielle Stellungnahme aller Behörden bleibt abzuwarten.
Es ist aber in jedem Fall empfehlenswert
* keine neuen Anwendungen einzuführen, die auf Datentransfers auf Grundlage von Safe Harbor setzen, die Entwicklungen zu verfolgen und für alle Eventualitäten vorbereitet zu sein.
* insbesondere darauf vorbereitet zu sein, dass Datenschutzbehörden in einzelnen Mitgliedsstaaten auch ohne Abstimmung innerhalb der EU möglicherweise kurzfristig drastische Schritte, wie den vollständigen Abbruch aller Datentransfers, verlangen.
* Optionen zu evaluieren wie man auf die
verschiedenen Entwicklungen reagieren kann.
Wie hoch ist aktuell das Risiko direkter rechtlicher Konsequenzen?
Dr. Niemann: Den inofiziellen Statements der zuständigen Behörden nach zu urteilen, ist das Risiko aktuell noch gering. Dies kann sich aber schnell ändern, weshalb Unternehmen, wie bereits erwähnt, schnellstmöglich Alternativen evaluieren sollten.
Welche Auswirkungen hat das Urteil auf andere rechtliche Grundlagen des Datentransfers, konkret Standard-Vertragsklauseln und Binding Corporate Rules (BCR)?
Dr. Niemann: Diese Grundlagen haben weiterhin Gültigkeit. Sie sind nicht Teil des Urteils. Aber auch hier besteht das Risiko, dass Grundlagen mittelfristig von Nutzern, Verbraucherverbänden oder
Datenschutzorganisationen vor dem EuGH in Frage gestellt werden.
"Viele Geschäftsmodelle ohne Daten nicht mehr denkbar"
"Viele Geschäftsmodelle, sind - insbesondere im Hinblick auf Service und Marketing - ohne den Einsatz von Daten nicht mehr denkbar. Das Urteil des EuGH unterstreicht dabei noch einmal den Stellenwert der rechtskonforme Nutzung von Daten. Datenschutz und Datensicherheit sind bei Data-driven Marketing kein Beiwerk, sondern müssen konsequent mitgedacht und in alle Prozesse implementiert werden. Neben der Frage des Server-Standorts ist insbesondere wichtig, sicher zu sein, wie und welche Daten erhoben und verarbeitet werden - beispielsweise hinsichtlich verhaltensbezogener Nutzerprofile oder bei der Zusammenführung mit Daten aus Social Media oder anderen Quellen. Hier herrscht beidseitig des Atlantiks ein sehr unterschiedliches Bewusstsein hinsichtlich Datenschutzbelangen", resümiert Stefan von Lieven, CEO des Dialogmarketingspezialisten artegic AG, die Herausforderung. "Unternehmen, die Daten bisher nach deutschem Recht und deutschem Datenschutzverständnis erfasst und an deutschen Serverstandorten verarbeitet haben, haben einen klaren Wettbewerbsvorteil. Sie stehen nicht nur rechtlich auf der sicheren Seite sondern punkten auch gegenüber dem Nutzer, der für Datenschutzfragen mehr und mehr sensibilisiert ist."