Safe Harbor gescheitert — Folgen für den E-Commerce?

Es erinnerte ein wenig an die Geschichte von David gegen Goliath – mit dem Urteil zum Safe Harbor Abkommen hat der Europäische Gerichtshof auf Initiative eines österreichischen Juristen ein internationales Abkommen für ungültig erklärt.

Was ist überhaupt Safe Harbor?
Die Vorschriften der Art. 25 und 26 der Europäischen Datenschutzrichtlinie verbieten einen Datentransfer in Drittstaaten, die nicht über ein dem EU-Recht vergleichbares Datenschutzniveau verfügen. Die Angemessenheit eines Drittlandes kann allerdings durch die Erfüllung bestimmter Anforderungen, trotz gegebenenfalls fehlender Datenschutzrichtlinien, gegeben sein.
Mit der mit “Safe Harbor“ bezeichneten, im Jahre 2000 getroffenen Vereinbarung wurde eine Möglichkeit geschaffen personenbezogene Daten legal in die USA zu übermitteln. Hierfür erließ die Europäische Kommission die Entscheidung, dass in den USA tätige Organisationen über ein angemessenes Datenschutzniveau verfügen, wenn sie sich zur Einhaltung der in den sieben Prinzipien und die „15 häufig gestellte Fragen“ (FAQ) enthaltenen Hinweisen verpflichten.

Was hat das Gericht entschieden?
Gestern erklärte der Gerichtshof der Europäischen Union das Abkommen zwischen den USA und der EU nun für ungültig. Ursprünglich, so der EuGH in seiner Pressemitteilung, hatte die Kommission „keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken“. Die EU-Kommission hatte also keine Legitimation, nationales Recht unter Verweis auf Safe Harbor zu beschränken.

Wie kam es dazu?
lupe_mit_paragraphen Auslöser für diesen Wandel war die Klage des österreichischen Juristen Max Schrems. Seiner Meinung nach sind die von Facebook gespeicherten persönlichen Daten auf den Servern in den USA nicht ausreichend vor einem Zugriff der NSA geschützt. Demnach stand vor Gericht zur Entscheidung, ob sich der Facebook-Standort in Dublin an die EU-Richtlinien zum Schutz personenbezogener Daten halten muss, oder durch sein Handeln europäisches Datenschutzrecht verletzt wird. Die USA bieten keinen ausreichenden Schutz zur Speicherung persönlicher Daten europäischer Nutzer, entschied der Europäische Gerichtshof.

Was bedeutet dies für Shopbetreiber bzw. Nutzer von Clouddiensten?

  • Welche Anwendungen sind betroffen?
    Betroffen sind alle Unternehmen, die selbst oder durch einen Dienstleister personenbezogene Daten ihrer Nutzer/Kunden an amerikanische Anbieter ausgelagert haben. Dies ist z.B. der Onlineshop in der Cloud, das genutzte CRM oder sonstige Dienste. Wenn also ein Unternehmen z.B. einen Shop nutzt und dort Nutzerdaten speichert, ist es für die Einhaltung der Datenschutzbestimmungen verantwortlich.
  • Wer muss sich um die Problemlösung kümmern?
    Die Kunden der datenauslagernden Unternehmen sind in der Pflicht, dass die Auslagerung gesetzeskonform geschieht!
  • Wer trägt die Risiken?
    Mögliche Haftungsrisiken liegen voll bei den Unternehmen, die entsprechende Anbieter nutzen.

Folgende Fragen sollte sich jeder Anwender stellen

  • Habe ich US-Lieferanten/Anbieter von IT-Dienstleistungen an welche ich Daten auslagere?
  • Sind hierbei auch personenbezogene Daten?
  • Gibt es einen Vertrag zur Auftragsdatenverarbeitung?
    Jeder Nutzer von Clouddiensten sollte prüfen, ob seine genutzten Lieferanten einen gültigen Vertrag zur Auftragsdatenverarbeitung mit ihm geschlossen haben.

Wir beschäftigen uns schon lange mit diesem Thema und haben das Wesentliche kurz zusammengefasst: https://www.profihost.com/blog/2014/04/11/allgemein/us-clouds-und-die-firmendaten/

Fazit
Es bleibt abzuwarten, wie die Unternehmen auf die neue Rechtslage reagieren werden und welche Konsequenzen diese Entscheidung etwa für die Nutzer von Cloud-Diensten wie Office365, Dropbox oder dem Amazon-Cloudplayer haben wird. Auch für Betreiber von Online-Shops gilt es nun, zum Schutz der Daten ihrer Kunden ein besonderes Augenmerk auf den Serverstandort zu haben.

Dieser Beitrag wurde unter Webhosting abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten auf Safe Harbor gescheitert — Folgen für den E-Commerce?

  1. schöner Artikel. Wir von shopcloud, als Shopsystemanbieter hosten unsere Daten bei Amazon AWS (zertifiziert nach ISO/IEC 27018:2014). Hier können unsere Kunden selbst entscheiden wo die Daten liegen sollen. In der Regel bleiben die Daten in Europa und entsprechen dem europäischem Recht. Bei Kunden, die Cloudhosting nicht vertrauen bieten wir die Möglichkeit die Daten auf dem eigenen Server zu hosten.

  2. „In der Regel bleiben die Daten in Europa“ genügt uns nicht ;-)

  3. Pingback: Die Weihnachtsshopper kommen

  4. Pingback: Ein Blick zurück – das war 2015 | Profihost Blog

  5. Pingback: Privatsphäre für die Kundendaten! | Profihost Blog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *