Am 6. Oktober 2015 erklärte der Europäische Gerichtshof das Safe-Harbor-Abkommen, durch welches das Sicherheitsniveau für den internationalen Austausch von personenbezogenen Daten mit den USA festlegt wurde, für ungültig.
Dabei geht es um die internationale Datenübertragung aus Spanien in Gebiete ausserhalb des europäischen Wirtschaftsraums.
Datenspeicherung im Cloud-Computing
Gemäss des bestehenden spanisches Datenschutzgesetzes (Ley Orgánica de Protección de Datos, LOPD) ist bei der Verwendung eines Cloud-Computing-Dienstes, der zur Speicherung von personenbezogenen Daten verwendet wird, der Anbieter des Services als der verantwortliche Datenmanager anzusehen. Befindet sich dieser Dienstleistungsanbieter nicht im europäischen Wirtschaftsraum, handelt es sich um eine internationale Datenübertragung.
Betroffen sind Services wie Gmail, Dropbox oder Mailchimp
Dies ist der Fall, wenn beispielsweise die Server von Google für das Organisieren der Emails von natürlichen Personen in Anspruch genommen werden, die Speicherung von Dateien mit persönlichen Daten in Dropbox erfolgt oder Emailkampagnen mit Mailchimp durchgeführt werden.
Genehmigung der spanischen Datenschutzbehörde
Jedes Unternehmen, welches internationalen Datenaustausch betreibt, muss dies der spanischen Datenschutzbehörde (Agencia Española de Protección de Datos, AEPD) melden. Wenn zudem der Datenempfänger – der Anbieter, der zum Management der personenbezogenen Daten verwendet wird – keinen entsprechenden Grad an Datenschutz bieten kann, so ist das Unternehmen dazu verpflichtet, eine Genehmigung seitens der AEPD zu bekommen.
Mitteilung der spanischen Datenschutzbehörde (AEPD)
In Bezug auf die allgemein herrschende Unsicherheit aufgrund der folgenden Nachricht: Ultimatum der AEPD für spanische Unternehmen: Verbot der Nutzung von Diensten wie Dropbox oder Google Apps, präzisiert die spanische Datenschutzbehörde folgende Punkte:
- Seitens der AEPD ist keinerlei Ultimatum an spanische Unternehmen gestellt worden
- Die Behörde teilte am vergangenen 29. Oktober im Rahmen einer gemeinsamen Aktion der europäischen Datenschutzbehörden mit, dass sie sich mit allen Unternehmen, die für ihre internationale Datenübertragung Safe Habor benutzten, in Verbindung setzen wird
- Die Behörde forderte in keinem Fall die Verantwortlichen dazu auf, die Nutzung von Cloud-Computing-Services zu unterlassen. Die Handlungen der AEPD haben ausserdem nicht zum Ziel, die Verwendung bestimmter Dienstleistungen zu untersagen. Ziel der spanischen Datenschutzbehörde ist, die Unternehmen über die neuen Regelungen zu informieren, damit diese gegebenenfalls bei dem verwendeten Anbieter ein Datenschutzkonzept anfordern können, das an die neue europäische Rechtsprechung angepasst ist.
Europäische Rechtsprechung gilt nicht für privaten Gebrauch
Die Rechtsprechung des europäischen Gerichtshofes richtet sich an Unternehmen und nicht an Bürger, die die Cloud-Computing-Dienstleistungen privat verwenden.
Fristen
Der durch die europäische Datenschutzbehörde vorgegebene zeitliche Rahmen sieht im Fall Spanien vor, dass die Verantwortlichen in den Unternehmen das Allgemeine Register der spanischen Datenschutzbehörde bis Ende Januar über das Weiterführen der Datenspeicherung und die Anpassung an die neuen Richtlinien informieren. Zu keinem Zeitpunkt hat die spanische Danteschutzbehörde angekündigt, Sanktionen gegen Unternehmen durchführen zu wollen.
Die spanische Datenschutzbehörde hat zum Ziel, gemeinsam mit den anderen europäischen Datenschutzbehörden nachhaltige Lösungen finden zu wollen, um die Rechtsprechung des Europäischen Gerichtshofes anzuwenden und einen Weg zu finden, die Anforderungen zu erfüllen.
Safe Habor 2.0
Die Europäische Kommission hat erklärt, dass sie hofft, mit den USA zu einer sog. Safe Habor 2.0 Vereinbarung zu gelangen.
Was können die spanischen Unternehmen tun?
In Erwartung einer Übereinkunft wird hier auf die Ausnahmen hingewiesen, die eine internationale Datenübertragung im Rahmen der geltenden Datenschutzrichtlinie erlauben:
- Wenn das betroffene Unternehmen einer der Ausnahmen, geregelt in Art. 34 des Grundgesetzes zum Datenschutz 15/1999 (LOPD) und 66.2 der Verordnung 1720/2007 der Entwicklung des Grundgesetzes zum Datenschutz, unterliegt
- Wenn das Unternehmen eine Berechtigung durch den Direktor der AEPD hat
- Wenn Vertragsklauseln zutreffen, die im Voraus durch die Europäische Kommission genehmigt wurden, da sie ausreichende Datenschutzgarantien bieten
- Wenn das Unternehmen die ausdrückliche Einverständnis der Besitzer der persönlichen Daten eingeholt hat.
Mehr zu Safe Habor:
Die Auswirkungen der Aufhebung der Vereinbarung Safe Harbor
Wenn Sie weitere Informationen benötigen,