Das Safe Harbor Abkommen wird von Unternehmen genutzt, um Daten europäischen Ursprungs auf Servern in den USA zu speichern oder an Drittanbieter zu transferieren. Durch das Abkommen entfielen bisher aufwendige Rechtsabklärungen, ein einfacher und gleichzeitig rechtskonformer Datenaustausch mit den USA war möglich. In seinem Urteil hält der Europäische Gerichtshof nun aber fest, die USA böten kein Datenschutzniveau, wie es dem europäischen Standard entspricht. Daten seien in den USA unzureichend vor staatlichen Zugriffen geschützt. Zudem hätten europäische Nutzer in den USA keine Möglichkeit, gegen einen allfälligen Datenmissbrauch zu klagen. Das Safe Harbor Abkommen verliert mit dem Urteil des EuGH seine Gültigkeit.
Das Urteil betrifft auch Schweizer Unternehmen
Auch die Schweiz kennt unter dem Begriff “U.S.-Swiss Safe Harbor Framework“ ein Abkommen, das den Datenaustausch mit den USA regelt. Rund 4‘000 US-Unternehmen haben sich darin einer Selbstzertifizierung unterzogen. Seitdem verpflichten sie sich, ein Datenschutzniveau entsprechend den hiesigen Standards zu gewährleisten. Der freie Datenaustausch mit den zertifizierten Unternehmen war somit möglich. Durch das Urteil ist dessen Gültigkeit jedoch ebenfalls in Frage gestellt. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftrage (EDÖB) schreibt dazu in seiner Stellungnahme: «Solange kein neues Abkommen mit der amerikanischen Regierung ausgehandelt ist, bildet das Safe-Harbor-Abkommen auch in der Schweiz keine genügende Rechtsgrundlage mehr für die datenschutzkonforme Übermittlung von Personendaten in die USA.»
Wie weiter – enge Frist bis Januar 2016
Die europäischen Datenschützer fordern von den USA einen höheren Schutz von Daten europäischer Bürger. Die Verhandlungspartner haben bis Ende Januar 2016 Zeit, um auf die Entscheidung des Europäischen Gerichtshofs zum Datentransferabkommen Safe Harbor zu reagieren und neue Ansätze zu erarbeiten. Auch die Schweiz will sich dem international koordinierten Vorgehen anschliessen. Sollte bis dahin keine angemessene Lösung mit den US-Behörden gefunden werden, wären danach Transfers unter Safe Harbor nicht mehr rechtens.
Bis zum Januar 2016 müssen Unternehmen, die das U.S.-Swiss Safe Harbor Framework nutzen, zusätzliche Garantien für den Datentransfer vereinbaren, so der EDÖB.
Erste Reaktionen der Unternehmen
Verschiedenen Medienberichten zufolge haben grosse US-Unternehmen bereits mit der Suche nach europäischen Datacenter-Standorten begonnen. Sie planen ihre Kapazitäten massiv auszubauen. Dies ist als erstes Signal zu werten, dass selbst multinationale Konzerne die Rechtsunsicherheit und mögliche zivilrechtliche Prozesse in den einzelnen EU-Staaten fürchten. Zudem dürften sie die bereits seit Jahren bestehenden Bedenken der EU-Datenschützer nun ernst nehmen.
Punktet die Schweiz?
Nebst allen europäischen Staaten gilt auch die Schweiz als sicherer Datenstandort, ein Safe Harbor Abkommen ist daher für Transfers personenbezogener Daten europäischer Nutzer in die Schweiz nicht erforderlich. Nachdem in der Schweiz in den letzten sechs Jahren über 1 Milliarde Schweizerfranken in moderne Datacenter geflossen sind, dürften sich Unternehmen die Angebote hiesiger Datacenter-Anbieter durchaus genauer ansehen. Immerhin bietet das Land eine Reihe weiterer Standortvorteile, etwa die erstklassige Strom- und Dateninfrastruktur, die bezahlbaren Energiepreise, risikoarme Standorte sowie die Verfügbarkeit von qualifizierten Fachkräften.
Die wichtigsten Punkte zusammengefasst
Das Urteil des EuGH wirft viele Fragen auf, was den Datenstandort und die rechtliche Grundlage betrifft. Wir fassen zusammen:
-
Derzeit sind Transfers unter Safe Harbor gemäss EDÖB nur mit zusätzlichen Garantien abzuwickeln.
-
Trotzdem besteht damit keine längerfristige Rechtssicherheit.
-
Unternehmen, die Daten – physisch oder in Form virtueller Dienste - im Ausland lagern, empfehlen wir, auf den Datenstandort Schweiz auszuweichen. Nur so agieren sie datenschutzkonform.
-
Der Datenstandort Schweiz ist von der EU anerkannt, benötigt also keine zusätzlichen Abkommen für die Speicherung personenbezogener Daten aus der EU.
-
Das Schweizer Datenschutzgesetz gewährleistet ein hohes Niveau zum Schutz der Daten.