Eines der wichtigsten Themen, die die Medien in der laufenden Woche beschäftigen, ist das Urteil des Europäischen Gerichtshof bezüglich des Safe Harbour-Modells vom 06. Oktober 2015. Von einem verheerenden Urteil des EuGH für die großen Cloud-Anbieter ist teilweise die Rede. Doch was bedeutet dieses Urteil für Cloud-Computing allgemein? Und worum geht es hierbei eigentlich?  Unser Blogbeitrag klärt auf.
Die Safe Harbour-Entscheidung von 2000 zwischen der Europäischen Kommission und den USA dient dazu, die USA als einen aus Datenschutzsicht „sicheren Hafen“ für europäische Daten zu deklarieren, so dass es Unternehmen ermöglicht werden soll, personenbezogene Daten aus einem EU-Mitgliedsland  in die USA zu übermitteln. Der Europäische Gerichtshof hat hierzu am 06. Oktober 2015 eine Grundsatzentscheidung getroffen.
Im zugrundeliegenden Verfahren ging es darum, dass Facebook personenbezogene Daten von EU-Bürgern in den USA speichert, ohne einen ausreichenden Schutz sicherzustellen. Eine Beschwerde bei der irischen Datenschutzbehörde (Irland ist der europäische Sitz von Facebook) wurde mit der Begründung abgewiesen, dass die Daten durch das Safe-Harbor-Abkommen ausreichend geschützt seien, weil es die Europäische Kommission so entschieden hat.
Die komplette Ausführung des EuGH kann hier eingesehen werden, unten folgt ein Auszug:
  
Zum Vorliegen eines Schutzniveaus, das den in der Union garantierten Freiheiten und Grundrechten der Sache nach gleichwertig ist, stellt der Gerichtshof fest, dass nach dem Unionsrecht eine Regelung nicht auf das absolut Notwendige beschränkt ist, wenn sie generell die Speicherung aller personenbezogenen Daten sämtlicher Personen, deren Daten aus der Union in die Vereinigten Staaten übermittelt werden, gestattet, ohne irgendeine Differenzierung, Einschränkung oder Ausnahme anhand des verfolgten Ziels vorzunehmen und ohne objektive Kriterien vorzusehen, die es ermöglichen, den Zugang der Behörden zu den Daten und deren spätere Nutzung zu beschränken. Der Gerichtshof fügt hinzu, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt.

Was bedeutet das nun konkret?

Der Europäische Gerichtshof hat nicht darüber geurteilt, ob Facebook personenbezogene Daten weiterhin speichern darf, wie bisher, sondern darüber, dass eine Beschwerde bei den zuständigen Datenschutzbehörden zugelassen ist und diese Behörden, im vorliegenden Fall die irische Datenschutzbehörde, der Beschwerde nachgehen und den Fall prüfen müssen. Im Grunde bedeutet dies, dass die Datenschutzbehörden der EU-Mitgliedsstaaten sich in ihren Entscheidungen nicht auf die EU-Kommission beziehen dürfen, die Safe Harbor-Entscheidung also nicht als Freibrief angesehen werden darf.

Alternativen

Bereits heute arbeiten die EU-Kommission und die USA an einem neuen Datenschutzabkommen. Durch das Urteil des EuGH sieht der Erste Vizepräsident der EU-Kommission, Frans Timmermans, das Bestreben der Kommission, Safe Harbour neu zu verhandeln, bestätigt. Bis die Verhandlungen hierzu abgeschlossen sind, gibt es aber drei weitere wesentliche Alternativen für die datenschutzrechtlich konforme Übermittlung personenbezogener Daten aus der EU in die USA:
  • Einwilligung
  • EU-Standardvertragsklauseln
  • Binding Corporate Rules

Zusätzlich gibt es im BDSG noch weitere Ausnahmen, beispielsweise dann, wenn die Übermittlung „zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen“ notwendig ist, was zum Beispiel bei Online-Bestellungen der Fall ist.

Heise beschreibt die EU-Standardvertragsklauseln wie folgt:

Als Alternative zu Safe Harbor hat die EU-Kommission Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten in Drittländer festgelegt, welche die Einhaltung eines angemessenen Datenschutzniveaus sicherstellen sollen. Werden diese Klauseln im Rahmen eines Vertrags zwischen Datenexporteur und -importeur unverändert verwendet, so ist ein darauf basierender Datentransfer auch in die USA erlaubt. Einer Genehmigung durch die Aufsichtsbehörde für den Datenschutz bedarf es bei einer Verwendung der Original-Vorgaben in Deutschland im Gegensatz zu anderen EU-Ländern nicht. In dem Fall allerdings, in denen Unternehmen lieber eigene Vertragsvorgaben verwenden wollen, muss die Behörde diese Vereinbarung überprüfen und abnicken.
Standardvertragsklauseln haben in der Praxis den großen Vorteil, dass sie sich vergleichsweise leicht zwischen zwei Vertragspartnern umsetzen lassen. Der vor allem für US-Unternehmen nur schwer akzeptable Nachteil liegt aber darin, dass sich der Datenimporteur im Ausland dem Recht und der Datenschutzaufsicht des Partnerlandes unterwerfen muss.

Die Microsoft-Cloud

Im Fall der Microsoft Online Services (Office 365, Azure, Intune, Dynamics CRM Online) setzt Microsoft bereits heute auf die EU-Standardvertragsklauseln und ist daher von der Entscheidung des EuGH nicht betroffen. Das Urteil hat somit aus juristischer Sicht keinerlei ändernde Auswirkungen auf die Zulässigkeit, Daten in Microsoft Online Services zu speichern.

Nachtrag vom 09.10.2015:

In den Diskussionen, die ich in den vergangenen Tagen bezüglich des EuGH-Urteils führte, wurde eine Datenspeicherung in der Cloud häufig mit der Speicherung von Daten in US-amerikanischen Rechenzentren gleich gesetzt. Im Bezug auf Microsoft Online Services gilt es hierbei jedoch, zu differenzieren, denn:

  1. Die Speicherung von Daten, insbesondere von personenbezogenen Daten, erfolgt in den Microsoft Online Services primär in einem Rechenzentrum in der Geo-Region, die bei der Einrichtung der Clouddienste angegeben wird. Für die EU sind das die Rechenzentren in Dublin oder Amsterdam.
  2. Die „Article 29 Working Party“ – ein Gremium, das sich aus Datenschützern der 28 EU-Mitgliedsstaaten zusammen setzt, hat Microsoft als bis dahin einzigem Unternehmen im Frühjahr 2014 bescheinigt, dass Microsofts Enterprise Cloud-Verträge den hohen Anforderungen des europäischen Datenschutzrechtes genügen. Dadurch wird bestätigt, dass Daten innerhalb der oben genannten Microsoft Online Services ausgetauscht werden können, ohne gegen das Europäische Datenschutzrecht zu verstoßen.
  3. Im September 2015 begann ein Berufungsverfahren, in dem sich Microsoft gegen einen Beschluss wehrt, der das Unternehmen zur Herausgabe von E-Mails, die auf irischen Servern gespeichert sind, verpflichtet. Bereits im Januar 2014 hat das Unternehmen angekündigt, seinen Kunden die Datenspeicherung außerhalb der USA zu ermöglichen, um die Daten vor dem Zugriff von US-amerikanischer Sicherheitsbehörden zu entziehen.

Nachtrag vom 01.12.2015:

Kürzlich hat Microsoft angekündigt, im kommenden Jahr alle Dienste der Microsoft Enterprise Cloud, also Microsoft Azure, Office 365, Intune und CRM Online, aus Rechenzentren, die von T-Systems in Deutschland betrieben werden, bereitzustellen. Da T-Systems als Treuhänder auftritt und Microsoft nur beratend zur Seite stehen, nicht aber verwaltend auf die Systeme zugreifen kann, ist gleichzeitig sichergestellt, dass ein Zugriff von US-Behörden auf Kundendaten verhindert wird. Da die Bereitstellung von Cloud-Diensten in einem weiteren Rechenzentrum eine mehrjährige Planungs- und Implementierungsphase benötigt, kann man davon ausgehen, dass entsprechende Pläne bereits weit vor dem EuGH-Urteil bzgl. Safe Harbour im Oktober dieses Jahres vorbereitet wurden und nun die Umsetzung beinahe abgeschlossen ist.

Weiteres

Beispielhafter Teilprozess des Bewerbermanagements auf einem Miro-Board
Digitale Organisation – Mit bedarfsorientierter Automatisierung HR Prozesse clever unterstützen
Der Kampf gegen den Fachkräftemangel: Wie Microsoft Viva Unternehmen unterstützt
Use Case: Migration und Ablösung von Lotus Notes
Microsoft Viva als Katalysator für Ihre Unternehmenskultur
Mehr als nur Tools: Microsoft Viva als Katalysator für Arbeits- und Unternehmenskultur