Unabhängige Experten- und Marktplattform für die Schweiz.


Experten- und Marktplattform

Presenting-Partner

Presenting-Partner Logo bluewaysPresenting-Partner Logo blueways
Presenting-Partner Logo EcoCloudPresenting-Partner Logo EcoCloud
Presenting-Partner Logo HostpointPresenting-Partner Logo Hostpoint
Presenting-Partner Logo Interxion SchweizPresenting-Partner Logo Interxion Schweiz
Presenting-Partner Logo ISE AG Informatik Solutions EinsiedelnPresenting-Partner Logo ISE AG Informatik Solutions Einsiedeln
Presenting-Partner Logo myfactory Software Schweiz AGPresenting-Partner Logo myfactory Software Schweiz AG
Presenting-Partner Logo Security-Finder SchweizPresenting-Partner Logo Security-Finder Schweiz
07.10.2015

USA der Datenschutz - Expertenperspektive

Der Entscheid stellt sicher eines der bedeutenderen Ereignisse für das Datenschutzrecht im Allgemeinen und für Server-basierte Anwendungen mit Bezug zu den USA (insbesondere Cloud-Lösungen) dar. In der Würdigung sollte man allerdings zugleich aufpassen, nicht mehr in den Entscheid hineinzulesen, als was der Gerichtshof (EuGH) tatsächlich gesagt hat.

Der EuGH hat rein formal festgestellt, dass die Kommission in der Kommissionsentscheidung aus dem Jahr 2000, in der sie das Safe Harbor-Regime für gültig erklärt hat, a) ihre Kompetenzen überschritten hat und b) inhaltlich hinter dem zurückgeblieben ist, was sie hätte feststellen sollen („Gleichwertigkeit des Schutzniveaus“). Mit Blick auf diese Mängel und mit dem Hinweis, dass die Ausgestaltung des Safe Harbor-Regimes die Grundrechtscharta der EU verletzt, hat der EuGH den Kommissionsentscheid aufgehoben.

In der Kommissionsentscheidung aus dem Jahr 2000 hat die Kommission festgestellt, dass europäische Unternehmen ohne z.B. den Einsatz von Standard Contractual Clauses oder Binding Corporate Rules Daten an US-amerikanische Unternehmen übermitteln dürften, sofern die US-amerikanischen Empfängerunternehmen sich dem Safe Harbor-Regime unterwerfen. Dieser Schluss ist mit dem Entscheid des EuGH ungültig.

Hintergrund ist, dass das Safe Harbor-Regime den folgenden ausdrücklichen Vorbehalt aufweist: «adherence to the Safe Harbour Principles may be limited (a) to the extent necessary to meet national security, public interest, or law enforcement requirements». Gestützt auf diesen Passus hält ein US-amerikanisches Unternehmen das Safe Harbor-Regime auch dann noch ein, wenn die NSA massenhaft auf die vom US-amerikanischen Empfängerunternehmen zugreift. Der EuGH schreibt in seiner Pressemitteilung dazu Folgendes:

"Ohne dass der Gerichtshof prüfen muss, ob diese Regelung ein Schutzniveau gewährleistet, das dem in der Union garantierten Niveau der Sache nach gleichwertig ist, ist festzustellen, dass sie nur für die amerikanischen Unternehmen gilt, die sich ihr unterwerfen, nicht aber für die Behörden der Vereinigten Staaten. Außerdem haben die Erfordernisse der nationalen Sicherheit, des öffentlichen Interesses und der Durchführung von Gesetzen der Vereinigten Staaten Vorrang vor der Safe-Harbor-Regelung, so dass die amerikanischen Unternehmen ohne jede Einschränkung verpflichtet sind, die in dieser Regelung vorgesehenen Schutzregeln unangewandt zu lassen, wenn sie in Widerstreit zu solchen Erfordernissen stehen. Die amerikanische SafeHarbor-Regelung ermöglicht daher Eingriffe der amerikanischen Behörden in die Grundrechte der Personen, wobei in der Entscheidung der Kommission weder festgestellt wird, dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt."

Im Resultat stellt der aus dem Safe Harbor-Framework zitierte Passus eine erhebliche Einschränkung der Europäischen Charta dar. Diese wird durch die Kommissionsentscheidung aus dem Jahr 2000 begründet. Die Kommission ist aber nicht zuständig, Einschränkungen der Europäischen Grundrechtscharta zu beschliessen. Entsprechend ist die Kommissionsentscheidung unrechtmässig und aufzuheben.

Der EuGH hat sodann allgemein zur Kompetenzordnung Folgendes festgehalten: Die nationale irische Datenschutzbehörde wäre im Übrigen auch dann frei gewesen, die Gleichwertigkeitsentscheidung der Europäischen Kommission im Einzelfall zu hinterfragen, wenn die Kommissionsentscheidung rechtmässig gewesen wäre.

Im Resultat bedeutet der Entscheid, dass ein europäisches Unternehmen auf anderem Weg (z.B. mittels Standard Contractual Clauses oder anderen Instrumenten) sicherstellen muss, dass das US-amerikanische Unternehmen für sichernde Massnahmen zum Schutz von Personendaten sorgt. Ein Abstellen allein auf das Safe Harbor-Regime ist nicht mehr möglich.

Der Entscheid äussert sich – jedenfalls gemäss der Pressemitteilung des EuGH – namentlich nicht zum Folgenden:

  • ob die USA ein angemessenes Schutzniveau in Datenschutzsachen haben
  • ob ein europäisches Unternehmen Personendaten gestützt auf Standard Contractual Clauses an ein US-amerikanisches Empfängerunternehmen auslagern darf
  • ob ein Angebot eines US-amerikanischen Cloud-Dienstes (ohne Zwischenschaltung einer europäischen Geschäftsstelle) Recht der europäischen Union verletzt

von:  Dr. Christian Laux


SOCIAL NETWORKS

myCloudService

Wählen Sie hier Ihre Anforderungen und lassen Sie sich die passenden Angebote / Anbieter anzeigen:

  • Dienstleistungen
  • Cloud Business Software
  • Infrastructure Cloud Services
  • Cloud Governance
  • Cloud-Security-Services
  • Cloud-Technologie /-Service-Art
  • RZ-Infrastruktur
  • Support Services
  • Usability
  • Zertifizierung / Empfehlung

Cloud-/ DL-/ RZ-Anbieter

Gartner & Cloud Computing

Cloud-Finder.Swiss

Bundesrätin Doris Leuthard
«Der Bund will Firmen unterstützen, die in der Schweiz investieren und Arbeitsplätze schaffen. Diese Firmen erhalten mit .swiss die Gelegenheit, sich im internationalen Wettbewerb optimal zu positionieren.» dot.swiss/medien/


Werden Sie jetzt Mitglied bei

Kalender Cloud Schweiz

ITIL Practitioner; Zürich
29.08.2016 - 31.08.2016 Information & Communication Technology; Fribourg
06.09.2016 - 07.09.2016 weitere Termine...

Buchempfehlung

Partner