Soccer team in a huddle

Sicherer Hafen für Kundendaten

24. November 2015 von Paul Taylor 0

Ein Urteil des EuGH hat Auswirkungen auf den Datentransfer zwischen Europa und den USA. Was heißt das für die Kunden der SAP?

Eine den Unternehmen bisher offenstehende Möglichkeit, problemlos personenbezogene Daten zwischen Europa und den USA zu übermitteln, ist durch ein kürzlich ergangenes Urteil des Europäischen Gerichtshofs (EuGH) für unzulässig erklärt worden. Dies droht den transatlantischen Datenverkehr zu unterbrechen und Probleme für Anbieter von IT-Software und -Services zu verursachen.

Zumindest im Moment sind jedoch die SAP-Kunden in den USA nicht betroffen, da sie sich in der Regel nicht auf die vom Gericht für unzulässig erklärten „Safe Harbor“-Bestimmungen verlassen haben.

Der EuGH hat die seit 15 Jahren bestehende „Safe Harbor“-Vereinbarung, die es Unternehmen ermöglichte, personenbezogene Daten zwischen Europa und elf anderen Ländern, darunter die USA, zu übermitteln (ohne vorherige Genehmigung durch Datenschutzbehörden), für ungültig erklärt. Begründet hat der EuGH seine Entscheidung damit, dass Safe Harbor europäischen Datenschutzbehörden keine Möglichkeit einräumt, Bürger zu schützen, die der Ansicht sind, dass ihre Rechte auf informationelle Selbstbestimmung und Schutz der Privatsphäre verletzt wurden.

Das Urteil, das am 6. Oktober im Fall Maximillian Schrems gegen Data Protection Commissioner (Maximilian Schrems gegen die irische Datenschutzbehörde) ergangen ist, folgt auf die zwei Jahre zurückliegenden Enthüllungen durch Edward Snowden über das weit verbreitete Ausspähen von Daten durch die USA und könnte weitreichende Konsequenzen haben.

Auswirkungen

„Das Urteil bestätigt, dass das Recht auf informationelle Selbstbestimmung und Schutz der Privatsphäre von Personen unantastbar bleibt. Es ist sehr wahrscheinlich, dass es signifikante Auswirkungen auf den Datenverkehr zwischen den Mitgliedsstaaten der Europäischen Union bzw. des Europäischen Wirtschaftsraums („EU/EWR“) und den Vereinigten Staaten von Amerika haben wird sowie möglicherweise auch auf den Datenverkehr zwischen der EU und anderen Ländern“, erklärt der Datenschutzbeauftragte der SAP Mathias Cellarius. „Es stärkt allgemein die Position lokaler Datenschutzbehörden in der EU in Hinblick auf unabhängige Prüfungen der rechtlichen Grundlage von Datenübermittlungen in Einzelfällen.“

In der Folge des Urteils erklärten europäische Datenschutzbehörden, dass sie auf den „Safe Harbor“-Bestimmungen basierende Datenübermittlungen nicht länger akzeptieren werden, und riefen zu Verhandlungen über eine neue Vereinbarung auf, die den Anforderungen des EuGH gerecht wird. (Die SAP wird von allen Parteien der aktuellen Verhandlungen als vertrauenswürdiger Ratgeber angesehen.)

Die SAP hat sich in der allgemeinen Praxis bei Datenübermittlungen in die USA nicht auf die „Safe Harbor“-Bestimmungen, sondern auf die genehmigten und strengeren Standardvertragsklauseln (auch bekannt als EU-Modellklauseln) verlassen, die von der EU-Kommission vorgegeben wurden.

Einige wenige Altkunden von Firmen, die die SAP in den letzten Jahren erworben hat, sind von der „Safe Harbor“-Regelung betroffen. „Natürlich ist die SAP bereit, mit den Kunden ggf. an einer Anpassung alter Verträge an die auf den Standardvertragsklauseln basierenden SAP-Standards zu arbeiten“, führt Cellarius aus. „Unter diesen Umständen muss jedes Unternehmen sicherstellen, dass es bestehenden Gesetzen gerecht wird, und ggf. Nachbesserungen vornehmen“, so Cellarius weiter.

Doch auch die Einhaltung der Standardvertragsklauseln bietet möglicherweise nur kurzzeitig Schutz, da auch diese infolge des EuGH-Urteils einer Prüfung unterzogen werden. Die EU-Datenschutzbehörden selbst haben erklärt, dass sie die Standardvertragsklauseln nur noch bis Ende Januar 2016 akzeptieren würden. Wie es danach weitergeht, ist jedoch noch ungewiss.

EU-Zugang durch SAP

Eine Option für in Europa operierende Unternehmen besteht darin, personenbezogene Daten europäischer Bürger lokal zu speichern und zu verarbeiten. In Hinblick darauf hat die SAP bereits im Juli dieses Jahres für ihre in der EU ansässigen Kunden einen einmaligen Opt-in-Support-Service namens „EU Access from SAP“ eingeführt.

„Mit diesem neuen Service können Kunden ihre Daten in Rechenzentren speichern und verarbeiten lassen, die sich in der Europäischen Union, im Europäischen Wirtschaftsraum und in der Schweiz befinden, außerdem wird der Fernzugriff auf Ressourcen beschränkt, die sich in den oben genannten Regionen befinden“, erläutert Cellarius. „So können europäische Kunden alle Unsicherheiten im Zusammenhang mit internationalen Datenübermittlungen, die durch das EuGH-Urteil entstanden sind, vermeiden.“

„EU Access from SAP“ ist bereits für On-Premise-Systeme und eine wachsende Anzahl von SAP-Cloud-Services (SaaS u. a.) verfügbar und verschafft SAP-Kunden einen wesentlichen Vorteil gegenüber Wettbewerbern.

Safe Harbor II

Inzwischen versuchen Unterhändler der EU und der USA, einen neue, umfassende „Safe Harbor II“-Vereinbarung zu formulieren, die mit den Anforderungen des EuGH-Urteils konform ist und die Gefahr abwendet, dass in Europa am Ende ein Flickwerk nicht kompatibler lokaler Vorschriften vorherrscht.

Selbst wenn es zu einer neuen Vereinbarung käme, müssten die Standardvertragsklauseln immer noch an das EuGH-Urteil angepasst werden. Aber: Ohne eine solche Vereinbarung riskierte Europa, sich zu isolieren, und schädliche Einflüsse auf den Welthandel könnten die Folge sein, warnen Kommentatoren.

„Wir möchten keine Isolation Europas oder der USA oder anderer Gebiete“, meint Cellarius. „Wir operieren auf einem freien Markt und glauben, dass der freie und sichere Datenfluss zwischen Europa, den USA und anderen Regionen von zentraler Bedeutung für den Erfolg datenbasierter Geschäftsmodelle sowie für die allgemeine Wettbewerbsfähigkeit und die Schaffung neuer Jobs ist.“

Wie auch immer das Ergebnis der laufenden Verhandlungen aussehen wird: Nach Expertenmeinung ist es das Wichtigste, dass die derzeitige Unsicherheit schnell beseitigt wird und Unternehmen genug Zeit haben, einen geordneten Übergang von den „Safe Harbor“-Bestimmungen zu den neuen Regelungen vorzunehmen, wie auch immer diese aussehen mögen.

Tags:

Leave a Reply