US-Firmen reagieren auf Safe Harbor-Urteil

international 01
News

Das Safe Harbor-Urteil des EuGH hat – obwohl seit längerem erwartet – für ein Erdbeben in der internationalen Datenverarbeitungsindustrie gesorgt. Allerorts stellt sich die Frage, wie nun, nach dem Scheitern von Safe Harbor, weiter verfahren werden soll. Neben der bereits dargestellten Anpassung der vertraglichen Regelungen sehen offenbar viele US-Unternehmen die „Flucht in EU-Dependancen“ als eine adäquate Lösung.

US-Firmen setzen auf EU-Standorte

Wie das Wall Street Journal bereits am Wochenanfang berichtete, setzen Internetriesen, wie Google, Microsoft und Amazon neben der Anpassung ihrer vertraglichen Regelungen verstärkt auf den Ausbau ihrer innereuropäischen Standorte und investierten bereits im vergangenen Jahr erhebliche Geldsummen. Die vertraglichen Regelungen sehen bereits heute die Möglichkeit vor, den Verarbeitungs- bzw. Speicherort der Daten auf Datenzentren innerhalb der EU zu beschränken (vgl.: Microsoft Azure, Amazon EU-Whitepaper).

Google

So investierte Alphabet Inc., wie die Mutterfirma der Google Inc. seit kurzem heißt, in den Aus- und Aufbau von Datenzentren in Belgien, Finnland und Irland. Ein weiteres Datencenter in den Niederlanden wird voraussichtlich im ersten Quartal 2016 in Betrieb genommen.

Microsoft

Auch Microsoft verfügt für seine Produkte, wie z.B. Office 365 und Azure über diverse Rechenzentren innerhalb der EU, z.B. in Irland, Niederlande, und verkündete kürzlich, diese weiter ausbauen zu wollen.

Apple

Apple erklärte bereits im Februar diesen Jahres, dass es mehrere Milliarden US-Dollar investieren werde, um seine ersten Datenzentren in der EU zu errichten. Nach Informationen des Wall Street Journal sollen diese 166 000 m2 großen Centren in Dänemark und Irland errichtet werden und spätestens 2017 in Betrieb genommen werden. Irland werde dann, so ließ Apple verlauten, auch der europäische Hauptstandort Apples.

Amazon

Bereits im vergangenen Jahr eröffnete Amazon sein erstes europäisches Datencenter in Frankfurt und betonte seine Compliance mit dem deutschen Datenschutzrecht.

NetSuite

Schließlich kündigte auch der Business-Cloud-Anbieter NetSuite an, zwei neue Datencenter in Europa zu eröffnen. Eines in Amsterdam, sowie ein weiteres in Dublin. Beide sollen noch diese Jahr in Betrieb genommen werden.

Vorteil: Privilegierung?

Die US-Riesen versprechen sich von diesem Schritt eine Erleichterung in der Frage der Zulässigkeit der Datenverarbeitung in Europa. So wird sichergestellt, dass keine Datentransfers mehr in das US-Ausland erfolgen müssen, sondern die Datenverarbeitung auf das Gebiet der EU und des EWR beschränkt bleibt (vgl.: Amazon EU-Whitepaper).

Der Vorteil, von dem die Internetriesen hier profitieren wollen, ist die derzeitige Privilegierung der Datenverarbeitung gem. § 11 BDSG. So wird bei einer Datenverarbeitung innerhalb der EU/EWR unterstellt, dass diese ein angemessenes Datenschutzniveau aufweist, was bei Datentransfers ins nicht-EU-Ausland ausdrücklich nachgewiesen werden muss (vgl.: § 4 a, b BDSG). Letzteres wurde bisher durch die Safe-Harbor-Entscheidung der Europäischen Kommission bestätigt.

Aber ist das die Lösung aller Probleme?

Aus datenschutzrechtlicher Sicht ist ein Verbleib personenbezogener Daten von EU-Bürgern auf dem Gebiet der EU/EWR zwar zu begrüßen, allerdings dürfte damit die Diskussion um die Datensicherheit bei Beauftragung von US-Unternehmen nicht beendet sein.

Dunkel erinnern wir uns an das Streitverfahren Microsoft Inc. gegen die USA (2nd U.S. Circuit Court of Appeals, No. 14-2985), in welchem Microsoft versucht, einen Beschluss über die Herausgabe von auf Microsoft-Servern außerhalb der USA gespeicherten E-Mail-Inhalten zu verhindern. Sollte das Gericht jedoch der Argumentation der Behörden folgen, wären auch Daten, die auf Servern innerhalb der EU/EWR gespeichert werden, weiterhin dem staatlichen Totalzugriff ausgesetzt. Gerade dieser Aspekt führte aber bekanntlich nun zum Scheitern von Safe Harbor.

Es bleibt also weiter spannend!

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonforme Datentransfers von Unternehmen in das Ausland
  • Wie geht es weiter nach dem Wegfall von Safe Harbor?
  • Einsatzmöglichkeiten von EU-Standardvertragsklauseln und Binding Corporate Rules

Informieren Sie sich hier über unser Leistungsspektrum: Internationaler Datenschutz

5 Kommentare zu diesem Beitrag

  1. Rechenzentren von US-Anbietern in Europa statt in den USA sind gut, aber keineswegs ausreichend. Wird nur das Rechenzentrum nach Europa verlagert, so haben wir typischerweise folgendes Szenario: Die US-Entwickler und -Administratoren haben weiterhin Zugriff auf die Daten in Europa, die Datenbankadministration wird von Indien aus gemacht, der User-Helpdesk ist in drei Schichten pro Tag aufgeteilt, die abwechselnd von Europa, den USA und den Philippinen aus agieren, ein Subdienstleister greift von China aus zu, und alle Töchtern und Niederlassungen weltweit erhalten bei Bedarf Zugriff auf die Daten. Es finden trotz Datenspeicherung in Europa massenhaft Datenübermittlungen in die USA und andere Drittstaaten statt. Erst wenn die Daten in Europa (EU/EWR) gespeichert werden und keine Datenzugriffe von außerhalb Europas und keine Datentransfers aus Europa heraus möglich sind, ist eine Datenverarbeitung innerhalb Europas gewährleistet, und man kann von einem angemessenen Datenschutzniveau ausgehen.

    • Dem stimme ich bedingt zu. Selbst wenn alle von Ihnen genannten Voraussetzungen erfüllt sind, bleibt derzeit die Frage ungeklärt, ob ein Konzern mit Hauptsitz in den USA durch die US-Behörden verpflichtet werden kann auch Daten, die ausschließlich in Europa gespeichert und verarbeitet werden, an die US-Behörden heraus geben muss. In diesem Fall habe wir wieder dasselbe Problem, wie es der EuGH in seinem Urteil nun dargestellt hat, nämlich ein nicht ausreichender Schutz der Rechte von EU-Bürgern und damit möglicherweise weiterhin eine unzulässige Datenverarbeitung iSd §§ 4, 28 Abs. 1 Nr. 2 bzw. 32 BDSG.

  2. Einverstanden. Ihr Szenario hätte ich unter Datenzugriff von außerhalb Europas oder unter Datentransfer aus Europa heraus subsummiert.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.