Allgemein

Datensicherheit – Google setzt auf Standardvertragsklauseln

Einige Tage nach der Safe-Harbor-Entscheidung des EuGH, informiert Google seine Kunden über die aktuelle Situation per Email. Um eine ausreichende Datensicherheit zu gewährleisten verwendet Google EU-Standardvertragsklauseln. Doch garantieren diese genügend Sicherheit? Wir meinen: Nein.

Die erste Aufregung nach dem Safe Harbor Urteil hat sich in den letzten Tagen wieder etwas gelegt. Fieberhaft suchen die großen US-Konzerne nach Ideen und Möglichkeiten, trotz des Urteils auch zukünftig Daten europäischer Kunden verarbeiten zu können. Google hat sich nun interessanterweise sehr zeitnah mit einer, zunächst noch in englischer Sprache verfassten, Benachrichtigung an seine Kunden, insbesondere an Administratoren von Google-Apps-Accounts, gewandt. Darin informiert Google seine Kunden über notwendige Änderungen, die das EuGH-Urteil nach sich zieht.

Google fordert schnellstmöglich neues Safe-Harbor-Abkommen

Das Unternehmen fordert sowohl die EU-Kommission, als auch die US-Regierung auf, die Verhandlungen über ein neues Safe-Harbor-Abkommen nun schnellstmöglich abzuschließen. Damit reiht sich Google in eine Reihe zahlreicher und namhafter Unternehmen und Personen ein, die in den vergangenen Tagen und Wochen bereits selbiges forderten. So forderte der Vorsitzende des Innenausschusses der EU, Claude Moraes, dass die Kommission sofort einen neuen und starken Rahmen für die Weitergabe personenbezogener Informationen an die USA vorlegen müsse.

Zur Information: Seit einigen Jahren bereits verhandelt die EU-Kommission intensiv mit der US-Regierung über eine Neufassung des Safe-Harbor-Abkommens. Konkrete Ergebnisse gab es bislang jedoch nicht. Dennoch seien „wichtige Fortschritte“ gemacht worden, betonte zuletzt auch die EU-Justizkommissarin Vera Jourová, auf denen im Lichte des Urteils aufgebaut werden könne.

 Google setzt auf Standardvertragsklauseln – Diese werden bereits seit 2012 verwendet

Diskutiert werden seit längerem verschiedene Instrumente zur Sicherstellung eines angemessenen Datenschutzniveaus. Ein Kernaspekt dabei sind  unter anderem verbindlich anzuwendende EU-Standardvertragsklauseln. Und auf solche Standardvertragsklauseln setze Google bereits seit 2012, heißt es in der versendeten Kunden-Benachrichtigungsmail:

In der Zwischenzeit möchten wir Ihnen versichern, dass wir bereits seit 2012 eine Compliance-Alternative zu den Safe Harbor Rahmenbedingungen anbieten. Im Besonderen bieten wir eine Datenverarbeitungs- Anpassungsvereinbarung sowie Standardvertragsklauseln an, die – ergänzend zu den Safe Harbor Rahmenbedingungen – dafür sorgen, dass die Eignungs- und Sicherheitsvoraussetzungen der EU Datenschutzrichtlinie erfüllt sind. Die Standardvertragsklauseln wurden von der Europäischen Kommission gerade zu dem Zweck entworfen, die Übermittlung personenbezogener Daten aus der EU zu ermöglichen.

 Viele Kunden von Google Apps haben die Datenverarbeitungs- Anpassungsvereinbarung und die Standardvertragsklauseln bereits übernommen. Sollten Sie es noch nicht getan haben, möchten wir Sie hier noch einmal auf die Möglichkeit aufmerksam machen, die Anpassungsvereinbarung und die Standardvertragsklauseln zu verwenden (Von uns aus dem englischen übersetzt).

Zweifelhaft, ob Standardverträge Datenschutzniveau garantieren

 Die Idee hinter der Anwendung von EU-Standardvertragsklauseln ist simpel. Ein Beispiel: Schließt ein exportierendes Konzernunternehmen aus der EU mit einem importierenden außerhalb der EU/EWG angesiedelten Unternehmen einen Vertrag und verwendet dabei die Standardvertragsklauseln der EU-Kommission, so wäre damit der Theorie nach zumindest automatisch ein angemessenes Datenschutzniveau beim Importeur sichergestellt.

In der Praxis werden die Standardvertragsklauseln in aller Regel als gesonderte Vereinbarung unterzeichnet. Entscheidend dabei ist, dass die Standardvertragsklauseln die Rechte und Pflichten der Parteien beim Umgang mit personenbezogenen Daten regeln und unverändert übernommen werden müssen.

Es erscheint jedoch mehr als zweifelhaft, ob das Instrument der Standardvertragsklauseln auch zukünftig weiterhin als Instrument dienlich ist, um ein angemessenes Datenschutzniveau in den USA zu garantieren. Denn es ist nicht ersichtlich, warum sich die Rechtslage bei Standardverträgen wesentlich von der Rechtslage im Hinblick auf Safe Harbor unterscheiden sollte.

Artikel 26 Abs. 4 i.v.m. Abs. 2 DSLR weist der EU-Kommission auch für Standardverträge grundsätzlich die Befugnis zu, darüber zu entscheiden, dass beim Empfänger ein angemessenes Datenschutzniveau sichergestellt wird. Allerdings werden die Zugriffsmöglichkeiten auf die Daten durch amerikanische Sicherheitsbehörden beim Empfänger durch den Abschluss der Standardvertragsklauseln überhaupt nicht tangiert. Nehmen wir den Standardvertrag für Auftragsdatenverarbeiter der EU-Kommission: Hier ist in „Clause 5 (d)“ sogar ausdrücklich der Fall erwähnt, dass bei Anfragen von Behörden die Herausgabe der Daten nicht verboten ist.

Datensicherheit in den USA per se nicht gegeben?

Zudem muss festgestellt werden, dass ein vertraglich abgesicherter Rahmen vermutlich ohnehin nicht entscheidend sein wird. Solange in der Praxis die bewährte Datenverarbeitung der Sicherheitsbehörden kein angemessenes Datenschutzniveau beachtet, werden vertraglich fixierte Grundlagen auch zukünftig kaum von Belang sein. Solange eine angemessene Datensicherheit in den USA per se nicht gewährleistet werden kann, werden auch EU-Standardvertragsklauseln nicht weiterhelfen.

„Das große Problem ist“, erklärt Solmecke, „dass der US Patriot Act – das Gesetz, das letztlich das Safe-Harbor-Abkommen unterlief – nicht außer Kraft gesetzt werden wird.

Insofern wird jede denkbare Lösung, beispielsweise über den Abschluss von Standardverträgen, an diesem Gesetz scheitern. Solange die US-Nachrichtendienste die Befugnis haben auf die Daten der EU-Bürger jederzeit zuzugreifen, ist der Datenschutz nach EU-Grundsätzen nicht gewährleistet. Einzig, wenn jeder einzelne Bürger sich mit dieser Praxis einverstanden erklärt, könnte ein wirksamer Datenschutz erzielt werden. Das bedeutet für die jeweiligen Unternehmen einen enormen Aufwand. Sie müssten den Nutzern detaillierte Einwilligungserklärungen zur Übertragung der Daten zur Verfügung stellen. Insbesondere mit dem Hinweis, dass US-Behörden sich jederzeit Zugriff auf die Daten verschaffen können. Außerdem hätten die Nutzer jederzeit die Möglichkeit ihr Einverständnis zu widerrufen und die Löschung der Daten zu verlangen. Das würde eine große Herausforderung für die Geschäftsprozesse der Unternehmen bedeuten. Eine andere Lösung zur rechtmäßigen Übertragung von Daten in die USA sehe ich nach der Entscheidung jedoch nicht“.

Insofern muss man aktuell zu dem Schluss kommen, dass auch bei der Beachtung und Einbindung von Standardvertragsklauseln wie beispielsweise Google sie verwendet, kein angemessener Schutz bei einem Datenempfänger in den USA gewährleistet ist. Daher werden zukünftig Standardvertragsklauseln ebenfalls kaum mehr als sichere Gestaltungsvariante zur Verfügung stehen.

Daran dürfte im Ergebnis auch ein neues Abkommen, wie Google es von der EU-Kommission und den USA verlangt, kaum etwas ändern. (TOS)

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Bewertungen, Durchschnitt: 5,00 von 5)

RSSKommentare (0)

Kommentar schreiben | Trackback URL

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×