Donnerstag, 24. September 2015

Safe-Harbour-Abkommen unwirksam ??

gestern gab es auf EU-Ebene einen Paukenschlag, den ich Ihnen nicht
vorenthalten möchte.

Was ist passiert?
Der Generalanwalt beim Europäischen Gerichtshof hielt heute sein Plädoyer
mit Schlussantrag zum Thema Safe Harbour. Ein irländischer Bürger hatte sich
bei der irischen Datenschutzbehörde über die Übermittlung seiner Daten auf
Facebook-Server in den USA beschwert. Die Behörde wies die Beschwerde
zurück, da die EU-Kommission ja mit dem "Safe-Harbour-Abkommen" die
Datenübermittlung legitimiert hatte, denn Facebook ist dem
Safe-Harbour-Abkommen beigetreten. In den vergangenen Jahren war das
Safe-Harbour-Abkommen stets als Legitmation für die Nutzung von US-Diensten
wie Google, Microsoft Office 365, Dropbox, Facebook, WhatsApp, Amazon
Webservices oder Salesforce durch EU-Unternehmen angeführt worden. In dem
Schlussantrag stellt der Generalanwalt nun erstmals fest, dass nicht nur das
Safe-Harbour-Abkommen unwirksam sei, sondern die irische Datenschutzbehörde
auch die Datenübermittlung von Irland in die USA trotz
Safe-Harbour-Zertifizierung des US-Empfangsunternehmens verbieten könne. Das
bedeutet zwar nicht, dass der EuGH diesem Antrag nachkommen wird.

Warum ist das wichtig für Sie?
Sollte der EuGH allerdings dem Antrag doch nachkommen, dann droht ein
wirklicher Paukenschlag für alle Unternehmen in der EU, die Cloud-Dienste
von US-Unternehmen nutzen. So könnte dann beispielsweise die Hamburger
Datenschutzbehörde hiesigen Unternehmen zukünftig untersagen, Cloud-Dienste
von Google, Microsoft, Amazon, Salesforce u.ä. zu nutzen. Da es inzwischen
schon Unternehmen gibt, die etwa vollständig auf Google Apps, Office365 oder
Salesforce umgestiegen sind, dürften die Auswirkungen erheblich sein.

Was ist zu tun?
Es handelt sich zunächst nur um einen Schlussantrag. Sollte das Gericht
diesem Antrag nachkommen, dann wäre das Safe-Harbour-Abkommen ungültig und
die USA nicht mehr länger ein Staat mit "angemessenem Datenschutzniveau", §
4b II BDSG. Die Übermittlung personenbezogener Daten auf US-Server wäre dann
rechtswidrig, soweit mit dem betreffenden US-Unternehmen nicht direkt ein
Vertrag unter Anwendung von Standardvertragsklauseln geschlossen wurde. Es
ist daher aus heutiger Sicht sinnvoll anzudenken, ob nicht zusätzlich zum
bestehenden Vertrag mit dem betreffenden US-Unternehmen eine
Vertragsergänzung unter Verwendung der EU-Standardvertragsklauseln
vereinbart wird. Sollte der EuGH das Safe-Harbour-Abkommen dann für ungültig
erklären, haben Sie mit dieser Variante trotzdem alles richtig gemacht und
vermeiden ein Bußgeld der Datenschutzbehörde, wie gerade letzte Woche
geschildert. Microsoft bietet übrigens solche Standardvertragsklauseln
bereits an.

Dr. Hans Markus Wulf
Rechtsanwalt, Partner
Fachanwalt für IT-Recht
SKW Schwarz Rechtsanwälte
SKW Schwarz gehört bundesweit zu den Top-10-Kanzleien im IT-Recht
(Verträge/Prozesse)
www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
SKW Schwarz Rechtsanwälte Steuerberater Wirtschaftsprüfer Partnerschaft mbB
---------------------
[tags AGB, Lizenz, Software, Lizenzmodelle, Erschöpfungsgrundsatz, EuGH,
Europa, Wettbewerb]
[category aktuell, SAP]

Keine Kommentare:

Kommentar veröffentlichen