„Mein Name ist Dr. Richard Dump. Ich bin IT Verantwortlicher bei einem großen global agierenden Unternehmen. Unsere IT Strategie ist durch eine konsequente Cloud Ausrichtung in Bezug auf Hardware und Software durch internationale Provider (auch außerhalb der EU) gekennzeichnet. Dies beinhaltet ebenso die Verarbeitung von personenbezogenen Daten.
Das aktuelle EuGH Urteil in Bezug auf das Safe Harbor Abkommen schafft bei uns große Unsicherheit inwiefern wir ein angemessenes Datenschutzniveau mit unseren Provider in den USA einhalten können.“
So oder so ähnlich ergeht es momentan vielen Verantwortlichen in der IT Branche.
Was nun lieber EuGH? Bange machen gilt nicht!
Ok. Safe Harbor war nicht das Gelbe vom Ei. Die Vorgaben waren nicht engmaschig formuliert, so dass ein ausreichender Datenschutz nicht wirklich gegeben war.
Nun ist es aber die Regel, dass viele Unternehmen Cloud Services von US amerikanischen IT Firmen beziehen. Dies beinhaltet Datentransfers auf Servern, die in den USA stehen oder die Server stehen in der EU, auf die die amerikanischen Firmen zugreifen.
Da Safe Harbor ab sofort außer Kraft gesetzt wurde, entsteht somit ein rechtsfreier Raum.
Was tun?
Von der Rechtslage wäre es am einfachsten, wenn alle benötigten Server in Deutschland von deutschen IT Unternehmen betrieben werden würden. Nur so einfach geht es nicht. 80-90% der großen Hardware und Software Firmen / Provider sind amerikanische Firmen.
EU Standardvertragsklauseln als Alternative?
Die EU Standardvertragsklauseln entsprechen der EU-Datenschutzrichtlinie im Hinblick auf die grenzüberschreitende Übertragung von personenbezogenen Daten in Drittstaaten.
Somit stellen sie momentan die einzige Alternative dar. Auf die Dauer werden diese Vertragsklauseln keinen Bestand haben, da sie auch noch genauer definiert werden können. Aber sie haben einen Vorteil: sie sind bis auf weiteres nutzbar und im Großen und Ganzen nicht veränderbar.
Vielleicht wird es in 2016 einen “EU Mustervertrag” geben, der alle Beteiligten zufrieden stellt. Bis dahin muß sich die Welt aber weiterdrehen.
Zum Abschluß sei erwähnt, daß SAS schon seit langem die EU Standardvertragsklauseln (EU Model Clauses) mit seinen Kunden abschließt.