Safe-Harbor-Urteil mit weitreichenden Folgen für Facebook & Co.

Personenbezogene Daten können nicht mehr ohne weiteres in die USA übermittelt werden

Keyfacts

  • Harte Strafen für betroffene Unternehmen
  • Unternehmen müssen Notfallpläne entwickeln
  • Privacy Impairment Check kann helfen
Tobias Fuchs
  • Partner, KPMG Rechtsanwaltsgesellschaft mbH
Mehr über meine Themen Nachricht schreiben

Nach dem Aus für das Safe-Harbor-Abkommen befürchten viele Unternehmen, ins Visier von Aufsichtsbehörden zu geraten oder von Mitbewerbern abgemahnt zu werden. Was betroffene Unternehmen jetzt tun müssen.

Bei der Entscheidung des EuGH handelt es sich um eines der wohl bedeutendsten Urteile im Bereich Datenschutz. Personenbezogene Daten können nicht mehr ohne weiteres in die USA übermittelt werden.

Die Richter hatten argumentiert, dass die USA angesichts des weitgehenden Zugriffs der nationalen Geheimdienste auf die dort gespeicherten persönlichen Daten nicht als „sicherer Hafen“ eingestuft werden können.

Wir haben die Antworten auf die 5 wichtigsten Fragen – und klären auf über die gängigsten Irrtümer:

1. Womit müssen Unternehmen jetzt rechnen?

Rechtlich gesehen dürfen Unternehmen seit Verkündung der Entscheidung keine Daten mehr auf Basis des Safe-Harbor-Urteils in die USA transferieren.

Die Aufsichtsbehörden können jetzt die Zulässigkeit einer Übermittlung personenbezogener Daten in die USA jederzeit auf ihre Vereinbarkeit mit europäischen Datenschutzstandards prüfen.

Für den Fall eines rechtswidrigen Umgangs mit personenbezogenen Daten drohen dem betroffenen Unternehmen Bußgelder, Abmahnungen und Unterlassungsklagen.

Ein besonderes Risiko besteht aber deshalb, weil Mitbewerber, Betroffene und Verbraucherschutzbehörden auch im Wege des einstweiligen Rechtsschutzes die Unterlassung der Übermittlung von personenbezogenen Daten in die USA mit einstweiligen Verfügungen durchsetzen könnten.

Im Einzelfall könnte hiervon sogar das gesamte Geschäftsmodell eines Unternehmens bedroht sein. Bei einer Abschaltung von bestimmten Diensten drohen den Unternehmen Umsatzverluste.

2. Irrtum Nummer Eins: Nur die großen Konzerne sind vom Scheitern des Safe-Harbor-Abkommen betroffen.

Ja, es ist richtig: Das Urteil trifft vor allem die großen Unternehmen wie Google oder Amazon. Diese haben reagiert und setzen neben der Anpassung ihrer vertraglichen Regelungen auf den Ausbau ihrer innereuropäischen Standorte.

Viel gravierender jedoch sind die Folgen für Unternehmen, die etwa nicht in der Lage sind, kurzfristig selbst in der EU die nötigen Speicherkapazitäten zu schaffen.

Grundsätzlich sind aber alle Unternehmen, die personenbezogene Daten in der EU erheben und in die USA übermitteln betroffen: Etwa durch Hosting auf Servern in den USA, durch die Nutzung von Cloud-Services, durch die Übermittlung von Daten an Dienstleister in den USA, durch die Übermittlung von Daten an eine US-amerikanische Konzernmutter oder an US-amerikanische Tochterunternehmen.

3. Irrtum Nummer Zwei: Ich kann mir Zeit lassen, die Umsetzung wird Zeit brauchen.

Richtig ist: Die EU-Datenschutzbehörden haben der Europäischen Kommission und der amerikanischen Regierung drei Monate Zeit gegeben, um eine Lösung für die Datenübertragung in die Vereinigten Staaten zu finden.

In einer gemeinsamen Erklärung der Vertreter der nationalen Datenschutzbehörden heißt es, wenn es bis Ende Januar 2016 keine angemessene Lösung gebe, seien die Datenschutzbehörden der EU-Staaten verpflichtet, alle notwendigen und geeigneten Schritte zu ergreifen.

4. Was können Unternehmen jetzt tun?

Soweit Unternehmen konkret betroffen sind, müssen geeignete Notfallpläne entwickelt werden.

Wollen Unternehmen etwa Teile ihrer IT-Infrastruktur oder ihrer Software in die Cloud verlegen, so müssen im Vorfeld diese Fragen abgeklärt werden:
– Ist der Anbieter von Cloud-Lösungen bereits auf die aktuelle Situation eingestellt?
– Ist die alleinige Speicherung von Daten innerhalb der EU vertraglich vereinbart? Gilt dies auch für Sub-Dienstleister oder darunterliegende Cloud-Dienste, die mein Dienstleister verwendet?
– Bin ich für den Fall des Ausfalls meines Cloud-Dienstleisters vorbereitet?
– Bekomme ich meine Daten zurück bzw. kann ich meine Daten und Dienste auf andere Dienstleister transferieren?

Mit unserem Privacy Impairment Check identifizieren, analysieren und bewerten wir, inwieweit die Datenschutzorganisation eines Unternehmens Risiken für das Unternehmen verursacht.

5. Mit welchen Kosten müssen Unternehmen rechnen?

Die Datenschützer haben bereits jetzt angekündigt, dass sie die Entscheidung des EuGH eng auslegen werden. Die rechtswidrige Übermittlung personenbezogener Daten in die USA ohne Rechtsgrundlage kann mit einem Bußgeld in Höhe von bis zu 300.000 Euro geahndet werden.

Unseren Privacy Impairment Check bieten wir in Abhängigkeit zur Größe des Unternehmens zu einem Fixpreis in Höhe von EUR 6.000 bis EUR 15.000 an.

Tobias Fuchs
  • Partner, KPMG Rechtsanwaltsgesellschaft mbH
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.