Safe Harbor und Privacy Shield: Datenhaltung in der Schweiz
Das Urteil des Europäischen Gerichtshofs (EuGH) zum Safe-Harbor-Abkommen war ein Paukenschlag für Unternehmen, die ihre Daten auf Servern oder Clouds von amerikanischen Unternehmen wie den Webgiganten Google, Apple, Amazon oder Facebook ablegen. Denn im Urteil des EuGH vom 6. Oktober 2015 wurde das Safe-Harbor-Abkommen mit den USA für ungültig erklärt: In den USA seien Informationen nicht ausreichend vor dem Zugriff von Behörden und Geheimdiensten geschützt, hatten die Luxemburger Richter entschieden. Ein Datentransfer in die USA ist damit auf Basis dieses Abkommens nicht mehr rechtskonform möglich.
Daraufhin wurde am 21. Oktober 2015 nach einer Sondersitzung der Datenschutzkonferenz (DSK) ein Positionspapier verfasst, in dem es heisst: „Soweit Datenschutzbehörden Kenntnis über ausschliesslich auf Safe-Harbor gestützte Datenübermittlungen in die USA erlangen, werden sie diese untersagen.“ Zudem werden „im Lichte des Urteils des EuGH“ auch andere Datenvereinbarungen, wie Standardvertragsklauseln oder Binding Corporate Rules, also verbindliche Unternehmensregeln, in Frage gestellt. „Unternehmen sind daher aufgerufen, unverzüglich ihre Verfahren zum Datentransfer datenschutzgerecht zu gestalten.“ Seither setzen viele Betriebe ihre Hoffnung auf ein tragfähiges Folgeabkommen, doch diese wurde auch mit „Safe Harbor 2“ nicht erfüllt.
EU-US Privacy Shield: Keine Entwarnung durch das Folgeabkommen
Im Februar 2016 haben sich die EU und die USA auf einen Nachfolger für das „Safe Habor“-Abkommen geeinigt, das sogenannte EU-US Privacy Shield. Danach soll die Weitergabe von Informationen europäischer Bürger an US-Internetkonzerne wie Google und Facebook beschränkt werden und es solle stärker kontrolliert werden, ob Unternehmen die vereinbarten Standards einhalten. Die USA versicherten zudem, dass dem Zugriff von Strafverfolgungsbehörden und Geheimdiensten auf Daten „klare Grenzen“ gesetzt seien. Datenschutzexperten bezeichnen die neue Vereinbarung jedoch schlichtweg als „Witz“, denn bisher gibt es weder konkrete Angaben zu deren Inhalt noch dazu, wie die Zusagen der USA überhaupt realisiert werden können. Mehr dazu erfahren.
Handlungsbedarf für Schweizer KMU nach dem EuGH Urteil zu Safe Harbor?
Noch immer stellen wir täglich fest, dass Schweizer KMU verunsichert sind und zum grossen Teil auch heute noch nicht wissen, ob für ihren Betrieb Handlungsbedarf besteht – und wenn ja, wie dringend dieser ist. Notwendig ist eine Reaktion auf den Entscheid des EuGH, wenn ein Unternehmen Cloud-Lösungen von Giganten wie Google, Amazon oder Apple nutzt, was auf viele KMU in der Schweiz zutrifft. Und auch bei anderen grossen Anbietern weiss man als Kunde nie genau, wo sich die kritischen Daten tatsächlich befinden und ob sie sicher gelagert sind.
Die Datenhaltung und Datensicherung insbesondere von sensiblen Daten kann unter rechtlichen Aspekten sehr komplex werden. Sie sollten sich jedoch immer bewusst sein: Als Unternehmen sind Sie in der Pflicht, Ihre Datenschutz-Compliance proaktiv sicherzustellen. Wie muss die Reaktion also aussehen, um auch weiterhin sicher und vor allen Dingen in Konformität mit dem Datenschutzgesetz zu handeln?
Ob für Ihren Betrieb überhaupt Handlungsbedarf besteht, können Sie mit folgenden Fragen selbst prüfen:
- Werden personenbezogene Daten in die USA übermittelt?
- Auf welcher Rechtsgrundlage werden die Daten übermittelt?
Prüfen Sie auf jeden Fall, ob und falls ja, welche Art von Daten von Ihnen direkt oder durch Dritte in die USA übermittelt werden. Dritte können beispielsweise Cloud-Anbieter, etwa innerhalb Ihres Office Pakets, oder weitere Datenverarbeiter sein.
Handlungsempfehlungen für KMU
Bis verbindliche rechtliche Grundlagen für den künftigen Datenaustausch und die Speicherung geschaffen sind, empfehlen wir:
- Prüfen Sie Ihren momentanen Datenaustausch
- Beschränken Sie den Datenaustausch personenbezogener Daten mit den USA ab sofort auf das notwendige Minimum oder stellen Sie ihn wenn möglich ganz ein
- Ermitteln Sie mögliche Alternativen für den Transfer und die Lagerung von personenbezogenen Daten
- Ziehen Sie Anbieter von Cloud-Diensten mit Datenhaltung in der Schweiz in Betracht, um den sicheren Umgang mit Daten zu gewährleisten und handlungsfähig zu bleiben
Weiterreichende Handlungsempfehlungen hängen von Ihren geschäftlichen Anforderungen ab.
Die bewährte Alternative zu US-Clouds: Sichere Datenhaltung in der Schweiz
Schweizer Cloud Anbieter mit Rechenzentren in der Schweiz sind die sichere Alternative zu den grossen Playern wie Google, Apple oder Amazon. netrics betreibt vier Rechenzentren an den Standorten Lyss und Biel. Die entsprechenden Services bieten Ihnen die Basis für sichere und diskrete Ablage Ihrer Geschäftsdaten.
Wer sich für Datenhaltung und Datenspeicherung in der Schweiz entscheidet, minimiert die Risiken einer missbräuchlicher Verwendung von Informationen auf der anderen Seite des Atlantiks. Auch was die Stabilität der Infrastruktur, wie z.B. Stromversorgung, betrifft, ist die Schweiz eines der weltweit sichersten Länder für die Datenhaltung und Datenspeicherung.
Eine Analyse der individuellen Situation und der alternativen Möglichkeiten zur Nutzung von Cloud-Anwendungen und Datenspeicherung lohnt sich für nahezu jede Betriebsgrösse. Bei Schweizer Hosting-Unternehmen wie netrics können KMU nicht nur auf eine lückenlos sichere Lagerung von Personendaten zählen, sondern zudem auf Cloud-Modelle, die dank modularem Konzept jederzeit flexibel an sich verändernde Geschäftsanforderungen anpassbar sind. Verschaffen Sie sich Klarheit über Ihre Situation und etablieren Sie eine stabile Basis für Ihre sichere Datenhaltung.
Sie wollen auf Nummer sicher gehen? Dann vereinbaren Sie einen unverbindlichen Beratungstermin.