Safe Harbour vor dem Aus: Konsequenzen für Unternehmen
Als „erstaunlich“ bezeichnet Rainer Knyrim, Experte für Datenschutzrecht bei Preslmayr Rechtsanwälte, den jüngsten Vorabentscheid des Generalanwalts Yves Bot zur „Safe Harbour“-Regelung. Dieser erklärte am Mittwoch das Abkommen, das bislang die Übermittlung der Daten europäischer Nutzer an rund 4100 zertifizierte US-Unternehmen geregelt hat, für unsicher. Folgt der Europäische Gerichtshof (EuGH) der Ansicht des Generalanwalts, dann fällt die "Safe Harbour"-Regelung - und damit auch die Rechtsgrundlage für US-Cloud-Anbieter in Europa.
Kein angemessener Schutz
Während EU-Firmen den Auflagen der nationalen europäischen Datenschutzgesetze unterworfen sind, genügt für US-Unternehmen, die eine „Safe Harbour“-Zertifizierung haben, eine bloße Erklärung, personenbezogene Daten aus Europa in den USA "adäquat" zu schützen. Rund 4100 Unternehmen wie Facebook, Google, Microsoft, haben eine derartige Zertifizierung. Doch die Daten sind laut Ansicht des Generalanwalts nicht angemessen vor Zugriffen geschützt.
Der Zugang der amerikanischen Nachrichtendienste zu den übermittelten Daten sei ein Eingriff in das Recht auf Achtung des Privatlebens und in das Recht auf den Schutz personenbezogener Daten, so der Generalanwalt. Er sieht in diesem Eingriff in die Grundrechte auch einen Verstoß gegen den Grundsatz der Verhältnismäßigkeit, insbesondere weil die von den amerikanischen Nachrichtendiensten ausgeübte Überwachung massiv und nicht zielgerichtet sei.
"Massive Konsequenzen"
„Würde der EuGH der Ansicht des Generalanwaltes folgen, was er bisher in der Regel getan hat, hätte dies neben US-Unternehmen aber auch massive Konsequenzen für einen Großteil der österreichischen wie auch europäischen Unternehmen“, sagt der Datenschutz-Jurist Knyrim im Gespräch mit der futurezone. „Gerade in jüngster Zeit haben viele österreichische Unternehmen ihre Kunden- und Mitarbeiterdaten zu amerikanischen Cloud-Anbietern wie Microsoft, Google, Salesforce oder Amazon transferiert“, so Knyrim.
Da europäische Firmen dafür haften, dass für die Verarbeitung personenbezogener Daten ein adäquates Schutzniveau gegeben ist, könnten sie diese Verarbeitungsprozesse nicht mehr so einfach an US-Firmen auslagern, weil es dafür denn ebenfalls Datenschutzauflagen geben würde. Zwar werden österreichischen Kunden häufig unterschiedliche Verträge angeboten, etwa, dass die Daten der Unternehmen auf europäischen Rechenzentren gespeichert werden, meint Knyrim. Dennoch könne es nicht immer ausgeschlossen werden, dass die Daten in US-Rechenzentren gespiegelt werden.
Kein Zugriff auf Daten mehr
„Dazu kommt, dass viele heimische Unternehmen zu US-Konzernen gehören und ihre lebensnotwendigen Daten oft auf US-Servern des Konzerns gespeichert sind“, so Knyirm. „Im schlimmsten Fall dürfen die Unternehmen nicht mehr auf die eigenen Daten wie etwa E-Mails oder Textdokumente in der Cloud zugreifen – das könnte das sofortiges Ende der Geschäftstätigkeit und damit den Untergang des Unternehmens bedeuten“, warnt Knyrim.
Als erste Konsequenz müsse man dann als österreichisches Unternehmen jeden Einzeln um Zustimmung zur Datenweitergabe an die USA bitten. „Das wäre aber extrem aufwendig und nicht elegant“, so Knyrim. Andernfalls würden Strafzahlungen von bis zu 25.000 Euro pro Verstoß fällig werden. „Das könnte ordentlich ins Geld gehen“, so Knyrim.
Besonders problematisch sei, dass die Argumentationslinie des Generalanwaltes auch schon bisher bestehende rechtliche Alternativen zu Safe Harbour, nämlich insbesondere Datentransfers nach Abschluss sogenannter „Standardvertragsklauseln“, ebenfalls zu Fall bringen könnte, da auch diese Standardvertragsklauseln auf einer Entscheidung der EU-Kommission beruhen, die dann womöglich ebenfalls hinsichtlich der Anwendungsmöglichkeit in den USA ausgesetzt werden müssten.
"War schon immer unsicher"
„Einziger Ausweg: Man bringt die USA dazu, Europäern mehr Bürgerrechte einzugestehen“, so Knyrim. „Die US-Unternehmen müssen hier bei der Regierung dafür Lobby-Arbeit betreiben.“ Oder aber, die österreichischen Unternehmen würden zunehmend auf europäische Cloud-Lösungen ausweichen. Fabasoft-Vorstand Helmut Fallmann, sieht die EuGH-Vorabentscheidung „positiv“. „Safe Harbour ist nichts anderes als gut getarntes Marketing. Dass der Datentransfer unsicher ist, war bisher schon allen klar“, so Fallmann zur futurezone.
Das österreichische Cloud-Unternehmen tritt schon lange dafür ein, dass die Rahmenbedingungen für europäische und US-Unternehmen gleich sein sollten. „Wir sind für Wettbewerbsgleichheit aller Marktteilnehmer. US-Unternehmen müssen ebenfalls die strengeren europäischen Datenschutzbedingungen einhalten“, so Fallmann, der sich durch den Vorabentscheid einen „positiven Impuls für die kleinere IT-Wirtschaft Europas“ erhofft. „Bisher gab es keine Waffengleichheit für europäische und US-Cloud-Unternehmen“, so Fallmann. „Wir wären als EU-Cloud-Unternehmen aber in der Lage, mehr Marktanteile zu übernehmen“, sagt Fallmann.
Gunst der Stunde für EU-Unternehmen
Knyrim sieht ebenfalls gute Chancen für europäische Unternehmen, die „Gunst der Stunde“ zu nutzen. „Es geht hier schließlich um Millionen-Umsätze.“ Der Datenschutzexperte war von der Deutlichkeit und Intensität des Vorabentscheides des Generalanwalts dennoch überrascht. „An die EU-Kommission wurden damit ordentliche Ohrfeigen ausgeteilt“. Diese hüllt sich vorerst in Schweigen.
„Die Kommission hat bereits im November 2013 13 Empfehlungen erlassen um das Safe Harbour Abkommen als Teil einer weiteren Strategie zur Wiederherstellung des Vertrauens in transatlantische Datenflüsse zu überarbeiten. Hierzu hat die Kommission im Jänner 2014 intensive Verhandlungen aufgenommen und den letzten Monaten unermüdlich an einem Abschluss der Details des Abkommens gefeit, sodass ein zeitnaher Abschluss der Verhandlungen wahrscheinlich ist", ist das einzige Statement seitens der EU-Kommission dazu. Ob dieser Abschluss dann nach einem EuGH-Urteil, das der Ansicht des Generalanwalts folgt, ausreicht, ist fraglich.