Bin ich betroffen?

Die wichtigste Frage ist, ob das eigene Unternehmen von dem Safe-Harbor-Urteil betroffen sein könnte. Besonders wenn man nur auf dem deutschen und europäischen Markt tätig ist, neigt man schnell dazu, die Relevanz der Entscheidung für das eigene Internet-Portal oder den eigenen Online-Shop herunterzuspielen: „Wir haben doch mit den USA nichts zu tun. Warum sollten wir uns darüber Gedanken machen?“

Doch der Schein trügt! In Zeiten von Billig-Webhosting und Cloud-Computing ist der Weg der Datenübertragung immer schwieriger nachzuvollziehen. Wissen Sie, wo genau Ihre Kundendaten gespeichert werden? Oder anders gefragt: Sind Sie sicher, dass die von Ihnen erhobenen und verarbeiteten Kundendaten die Landesgrenzen nicht verlassen?

Um günstige Preise anbieten zu können, lagern viele Webhosting- und Clouddienste-Anbieter Ihre Server in Drittländer aus, ohne dass Sie überhaupt wissen, wo die Daten im Einzelnen liegen. Um den genauen Speicherort der Daten zu erfahren, muss man schon tiefer graben: So gibt der größte Cloud-Anbieter DropBox lediglich in seinem Hilfebereich zu erkennen:

„Alle von Dropbox online gespeicherten Dateien befinden sich verschlüsselt und sicher auf Speicherservern. Die Speicherserver werden von einem Managed Services-Anbieter bereitgestellt und unsere Infrastruktur befindet sich in Datenzentren in den USA.“
https://help.dropbox.com/de-de/accounts-billing/security

Das Gleiche gilt für viele deutsche und europäische Webhosting-Anbieter. Eine Vielzahl von Servern, auf denen Ihre Inhalte gespeichert und verarbeitet werden, befinden sich in US-Rechenzentren. Mindestens genauso problematisch ist die Verwendung von Wordpress-Plugins und anderen Tools oder Widgets. Ob Newsletter-Versand oder Tracking-Tools – Die Daten Ihrer Kunden werden oftmals auf Rechnern in den USA gespeichert und verarbeitet.

Grundsätzlich gilt also: Jeder, der personenbezogene Daten im Internet erhebt, speichert und verarbeitet, könnte von der Safe-Harbor-Entscheidung betroffen sein.

Es besteht somit akuter Handlungsbedarf für alle Internet-Unternehmer!

Zur Verdeutlichung ein kleines Beispiel:

Sie betreiben ein Internetportal und verwenden Wordpress als Grundlage. Hierfür haben Sie eine Reihe von Plugins installiert, um Ihren Nutzern ein Kontaktformular, einen Newsletter und andere Dienste bieten zu können. Außerdem haben Sie ein Bewertungs-Tool, ein SEO-Tool und ein Analyse-Tool eingebunden.

Auch wenn Sie sich sicher sind, dass Ihr Portal auf einem deutschen Server liegt, erfolgt im Hintergrund ein Datenaustausch mit einer Vielzahl von Servern in Drittländern: Facebook, twitter, Google Analytics und viele weitere Dienste, die millionenfach auf Webseiten eingebunden sind, speichern die Nutzerdaten ausserhalb Europas.

Was hat sich geändert?

Der sichere Hafen des Datenschutzes ist Geschichte. Die Übermittlung sensibler Daten auf US-Server ist von einem Tag auf den anderen zu einem großen Problem geworden. Jeder Transfer personenbezogener Daten unterfällt nun den nationalen datenschutzrechtlichen Vorgaben.

Wenn die von Ihnen erhobenen Daten in irgendeiner Art und Weise mit den USA in Berührung kommen, sollten Sie Ihre Allgemeinen Geschäftsbedingungen, Datenschutzerklärungen und Übermittlungsprozesse dringend anwaltlich prüfen und überarbeiten lassen. Eine sorglose Verwendung der üblichen Rechtstexte kann erhebliche Risiken bergen.

Was kann passieren?

Wenn Sie den Strom Ihrer sensiblen Daten nicht im Hinblick auf die Safe-Harbor-Entscheidung anpassen, drohen vor allem finanzielle Gefahren:

Verstöße gegen das Datenschutzrecht können mit hohen Bußgeldern bis zu 50.000,00 EUR geahndet werden. Außerdem können Sie von Mitbewerbern oder Wettbewerbsverbänden kostenpflichtig abgemahnt werden. Die Gerichts- und Rechtsanwaltskosten können hier schnell mehrere Tausend Euro erreichen.

Viele Unternehmen und Anwaltskanzleien haben in den letzten Jahren wettbewerbsrechtliche Abmahnungen als Geschäftsmodell für sich entdeckt. Oftmals werden Internetseiten von Konkurrenten durchgehend überwacht und kleinste Verstöße kostenpflichtig abgemahnt. Abmahnsichere Rechtstexte und vor allem Datenschutzvorgaben sind vor dem Hintergrund der Safe-Harbor-Entscheidung unbedingt notwendig.

Was kann ich tun?

Das Safe-Harbor-Urteil hat zwar die Grundlagen des internationalen Datenaustauschs signifikant verändert, allerdings gibt es immer noch praktikable Wege, die Datenübertragung rechtssicher zu gestalten und den länderübergreifenden Datentransfer legal abzuwickeln:

1. Ausnahmen nach dem Bundesdatenschutzgesetz

Die Datenübermittlung in Drittländer ist weiterhin möglich, wenn diese "zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen" erforderlich ist. Voraussetzung hierfür ist ein Vertragsverhältnis zwischen dem Anbieter und dem Nutzer. Wenn die Abwicklung des Vertrages ohne die Übertragung von Daten in Drittländer nicht möglich ist, darf der Datentransfer grundsätzlich erfolgen. Ähnliches gilt für eine Datenübertragung, die im Interesse des Betroffen erfolgt. Ob diese Ausnahme auch bei Ihnen greift, sollten Sie zeitnah anwaltlich prüfen lassen.

2. Einwilligung des Nutzers

Eine weitere Möglichkeit ist die Einholung einer individuellen Einwilligung des Nutzers zur Datenübertragung. Individuell bedeutet dabei, dass der Nutzer explizit seine Einwilligung erteilen muss. Sie muss frei von Zwang erfolgen jederzeit widerrufbar sein. Eine entsprechende Klausel in den AGB reicht dafür allerdings nicht aus. Lassen Sie sich für die praktische Umsetzung dieser Ausnahme anwaltlich beraten.

3. Weitere Ausnahmen

Die EU-Kommission hat zudem sog. Standardvertragsklauseln für die Datenübertragung in Drittländer festgelegt. Um einen legalen Datenaustausch mit Drittländern zu gewährleisten, können diese Klausel in unveränderter Form verwendet werden. Zudem gibt es insbesondere für Konzerne die Möglichkeit, durch verbindliche interne Regelungen eine rechtssichere Grundlage für den Datentransfer zu schaffen.

Fazit:

Jeder, der im Internet personenbezogene Daten erhebt, speichert und verarbeitet ist grundsätzlich von der Safe-Harbor-Entscheidung des EuGH betroffen. Um teure Bußgelder und Abmahnungen zu vermeiden, sollten die aktuellen Rechtstexte und Übermittlungsprozesse entsprechend anwaltlich geprüft und gegebenenfalls überarbeitet werden.

Autor:

Rechtsanwalt Alex Goldberg
Web: https://www.kanzlei-siebert.de/

Rechtsanwalt Sören Siebert 6 Jahre 9 Monate

Es gibt neben Safe Harbor noch andere Wege:1. EU-Standardvertrag sklauseln2. Binding Corporate Rules mit Genehmigung der Datenschutzbehörden3. Server innerhalb der EU 4. hoffen auf den Safe Harbor NachfolgerWie Google das bei welchem der zahlreichen Dienste aktuell genau macht wird aber sicher schwer rauszufinden sein.

Simon P. 6 Jahre 9 Monate

Hallo!Ich hätte eine Frage zur (datenschutzkon formen) Nutzung von Google Analytics (inkl. aktivierter IP-Maskierung"):Im Google Vertrag steht unter 4.7: "Kundendaten werden von Google erfasst und gespeichert. Die Speicherung erfolgt nach der IP-Maskierung.Die von Ihnen aktivierte IP-Maskierung erfolgt stets und erfolgt in der Regel auf Servern innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum . Google ist an die US Safe Harbor-Grundsätze zum Schutz der Privatsphäregebunden . Für weitere Informationen über die Safe Harbor-Vereinbarung und Googles Registrierung besuchen Sie bitte die Website des US-Handelsminister iums."Kann die ADV mit Google somit noch abgeschlossen werden und reicht der Wortlaut "erfolgt stets und erfolgt in der Regel auf Servern innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum " aus?DankeSimon