Hintergrund: Mit der informellen Aufkündigung des Safe Harbour Prinzips durch das EuGH Urteil vom 6.10.2015 wurde die Rechtslage vor allem für die amerikanischen Unternehmen ungemütlich.Weitere Informationen und Schlussfolgerungen zur Entwicklung finden Sie hier.
Am 12. Juni 16 wurde ein neues Abkommen unter dem Titel „Privacy Shield“ abgeschlossen. Ein Artikel in der Zeit beschreibt die Inhalte sowie die Kritikpunkte treffend. Es ist davon auszugehen, dass auch das neue Abkommen beim EuGH landet, Insofern besteht nach wie vor eine grosse Rechtsunsicherheit, was die datenschutzkonforme Behandlung von Personendaten in den USA angeht.
Gleichzeitig kämpft Microsoft in zweiter Instanz gegen den amerikanischen Staat. Es geht um die Herausgabe von Daten auf Servern, die in Irland stehen und auf welche die amerikanischen Strafverfolger gerne Zugriff hätten. Microsoft hat den erstinzanzlichen Entscheid weiter gezogen, der die Herausgabe forderte. Es ist damit zu rechnen, dass auch der nächste Entscheid weitergezogen wird, was bedeutet, dass die amerikanischen Unternehmen frühestens in zwei Jahren wissen, wie sich die Rechtslage tatsächlich präsentiert.
Google hat diese Probleme nicht, denn Google verweist ausdrücklich auf amerikanisches Recht. Folglich sind alle Google Daten bereits unter amerikanischer Kontrolle.
Was sind die Auswirkungen für die Schweiz? Erstens kann an davon ausgehen, dass die Schweiz das Safe Harbour Abkommen mit den USA ebenfalls aufheben muss (denn wir hängen indirekt an der EU Gesetzgebung). Würde sie dies nicht tun, würde sie von der EU als unsicheres Drittland eingestuft.
Was bedeutet diese Entwicklung für internationale Konzern oder Unternehmen, die mit den Amerikanern Daten austauschen? Was ist Ihre Verantwortung als VR oder GL-Mitglied?
- Privacy Shield wie auch Safe Harbour sind bzw. waren rein rechtliche Konstrukte, die es ermöglichen, mittels der Selbstdeklaration einen Freibrief zu erhalten, um Daten zu exportieren. In jedem Fall sind Sie direkt verantwortlich für den Umgang mit Daten aus Ihrem Unternehmen, v.a. aber von Daten Ihrer Kunden. Als VR haften Sie direkt nach OR 716, sollten Gesetzesverletzungen vorliegen.
- Es ist zwingend, dass Sie sofort abklären, ob sie betroffen sind. Den in dem meisten Fällen wissen sie nicht, ob sie tatsächlich Daten mit den USA austauschen. Im Zweifelsfall ist dies der Fall. Die meisten Cloud Dienste nutzen Server in den USA, meist ohne Wissen der Anbieter. Gehen Sie davon aus, dass Ihre Unternehmensdaten auch in USA gehalten werden!
- Sie müssen nun eine aktive Strategie zur Behandlung dieser (und anderer Daten) entwickeln. Das Safe Harbour Prinzip hatte den Vorteil, dass eine einfache Vertragsklausel genügte, das ist jetzt vorbei.
- Dies ist eine Herausforderung, die nur mit einer klaren Strategie bewältigt werden kann.
- Sie müssen zumindest die folgenden Fragen beantworten können:
- Wo sind unsere Daten gespeichert?
- Wer ist dafür verantwortlich?
- Wem gehören die Daten?
- Nach welchen Regeln wurden diese Daten erhoben?
- Welche Verträge haben Sie mit Ihren Kunden/Datenlieferanten/Mitarbeitern?
- Wer hat die Daten erhoben und wurden sie weitergegeben?
- Welche Sicherheitsmassnahmen sind aktiv?
- Welche Neurisiken entstehen aus der aktuellen Situation?
- Stimmen Sicherheits- und Datenschutzkonzepte überein?
- Ergänzen sich Datenschutzmassnahmen und technische Sicherheitsmassnahmen?
Gerne unterstütze ich Sie bei diesen Herausforderungen. Als ehemaliger Datenschutz-Sachverständiger am Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein kenne ich mich auch mit den europäischen Positionen aus.
