„Haben wir jetzt ein Problem?“ Diese Frage haben wir in den letzten Tagen von mehreren Kunden gehört, die entweder Microsoft Office 365 oder Azure einsetzen und aus den Medien mit verschiedensten Meinungen zu einem aktuellen EuGH Urteil konfrontiert wurden. Nach einem Antrag von Max Schrems wurde nämlich vom Europäischen Gerichtshof die bis dahin bestehende „Safe Harbor“ Vereinbarung aufgehoben.
Was bedeutet dieses Urteil nun konkret für mich und mein Unternehmen?
Nach Information der Datenschutzbehörde gibt es mehrere legale Möglichkeiten, Cloud-Dienste amerikanischer Anbieter zu nutzen:
Die §§ 12 und 13 Datenschutzgesetz 2000 sehen zahlreiche Alternativen vor. Dazu gehören unter anderem
- die Erfüllung von eindeutig im Interesse des Betroffenen abgeschlossene Verträge (§ 12 Abs. 3 Z 6 DSG 2000), z.B. Kaufverträge, bei denen der Geschäftspartner seinen Sitz in den USA hat;
- die Weitergabe von personenbezogenen Daten mit Zustimmung des Betroffenen (§ 12 Abs. 3 Z 5 DSG 2000);
die Weitergabe von veröffentlichten Daten (§ 12 Abs. 3 Z 1 DSG 2000),
- die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor ausländischen Behörden, sofern die Daten rechtmäßig ermittelt wurden (§ 12 Abs. 3 Z 7 DSG 2000);
- die Übermittlung oder Überlassung in einer Standardverordnung (§ 17 Abs. 2 Z 6 DSG 2000) oder Musterverordnung (§ 19 Abs. 2 DSG 2000), sofern diese ausdrücklich angeführt ist (§ 12 Abs. 3 Z 7 DSG 2000).
Die Europäische Kommission hat in ihrer offiziellen Stellungnahme zur Safe-Harbor-Entscheidung vom 6. Oktober 2015 unter anderem festgehalten, dass ein Transfer personenbezogener Daten in die USA auch in Zukunft auf Mechanismen wie Standardvertragsklauseln (2001/497/EG, 2004/915/EG oder 2010/87/EG) und Binding Corporate Rules (Verbindliche unternehmensinterne Vorschriften) gestützt werden kann. Die Datenschutzbehörde behält sich (diesbezüglich) im Rahmen des Genehmigungsverfahrens aber die Beurteilung des im Empfängerstaat geltenden angemessenen Datenschutzniveaus gemäß § 13 Abs. 2 DSG 2000 im Einzelfall vor.
Da etwa Microsoft auch schon in der Zeit vor dem 6. Oktober 2015 die oben erwähnten Standard-Vertragsklauseln der EU in seinen Verträgen aufgenommen hat, sind Sie hiermit auf der sicheren Seite. Aber: im Gegensatz zu der Safe Harbor-Vereinbarung, kann für den Weg über Standard-Vertragsklauseln eine Meldepflicht bei der Datenschutzbehörde erforderlich sein. Bitte erwarten Sie von der Datenschutzbehörde keine rasche Rechtsauskunft – Verfahren dieser Art dauern bis zu sechs Monate. Unser Tipp: Stimmen Sie sich mit dem Rechtsanwalt Ihres Vertrauens ab, ob eine Information der Datenschutzbehörde erforderlich ist!
Rund um die Initiative „Trust in Cloud“ wurde ein Cloud Privacy Check (CPC) Toolkit entwickelt, mit dem Sie in vier einfachen Schritten feststellen können, was zu tun ist, um Datenschutzrechtlich auf der sicheren Seite zu sein.
Toll erklärt, ODER?
Sie haben trotzdem ein mulmiges Bauchgefühl?
Dann suchen Sie sich einen Cloud Partner, der Sie berät. Doch wie sieht dieser ideale Partner für Sie aus?
Schön wäre:
- ein stabiles Unternehmen – damit man sich auch im Bereich Cloud in guten Händen weiß;
- ein lokaler Ansprechpartner;
- eventuell mit eigenen Services in Österreich;
- Erfahrung und Know-how im Bereich Public / Hybrid Cloud
Also ungefähr so?
Sehen Sie uns so, wie einen Generalunternehmer, den Sie beim Hausbau beauftragen. WIR beraten Sie umfassend zu allen Leistungen aus unserem bewährten Portfolio –
SIE entscheiden.