Was unsere Kunden und Nutzer über das EuGH-Urteil zum „Safe Harbor“-Abkommen wissen sollten
Was unsere Kunden und Nutzer über das EuGH-Urteil zum „Safe Harbor“-Abkommen wissen sollten

Aus aktuellem Anlass möchten wir gerne Stellung zur kürzlich getroffenen Entscheidung des Europäischen Gerichtshof zum „Safe Harbor“-Abkommen nehmen und darüber informieren, was genau dahinter steckt, welche Auswirkungen diese Entscheidung auf unsere Nutzer und Unternehmenskunden hat und was künftig beachtet werden muss, wenn Daten an Dritte übermittelt werden. Die gute Nachricht vorab: Keep calm and smoope on!

Was steckt eigentlich hinter dem „Safe Harbor“-Abkommen?

Personenbezogene Daten von Interessenten, Kunden oder Mitarbeitern oder anderen sog. „Betroffenen“ dürfen nicht ohne Weiteres an Dritte (z.B. Software-Anbieter, Dienstleister, etc.) weitergegeben werden, es sei denn sie haben Ihre Einwilligung dazu gegeben oder es liegt eine Vereinbarung zur Auftragsdatenverarbeitung (ADV) gemäß § 11 BDSG zugrunde. In einer solchen Vereinbarung ist klar geregelt, wofür die Daten verwendet werden dürfen und welche notwendigen technisch-organisatorischen Massnahmen zum Schutz der Daten getroffen werden müssen.

Derartige ADV sind nur mit Dritten zu schliessen, die sich innerhalb der EU befinden. Vergleichbare Verträge können u.U. mit Hilfe von Standardvertragsklauseln auch mit Unternehmen geschlossen werden, die die Daten ausserhalb der EU in einem Land mit hinreichendem Datenschutzniveau vearbeiten. Leider ist es so, dass nur wenige Staaten ausserhalb der EU, das geforderte Niveau erreichen, so z.B. Kanada, Schweiz, Israel, Uruguay, Neuseeland oder Australien. Die USA, aus denen viele große Technologie-Anbieter agieren, hingegen gehören nicht dazu, weshalb im Jahr 2000 das „Safe Harbor“-Abkommen geschlossen wurde. Ziel war, es die Datenübermittlung zu vereinfachen, indem Unternehmen verpflichtet wurden, die EU-Datenschutzstandards zu beachten und sich entsprechend zertifizieren zu lassen. Rückblickend handelte es sich mehr um eine Selbstverpflichtung als eine wirklich kontrollierte und sinnvolle Massnahme, wie im Rahmen der NSA-Affäre später deutlich wurde. „Wild West“ wäre aus heutiger Sicht vermutlich der treffendere Begriff für das Abkommen gewesen.

Was hat der Europäische Gerichtshof entschieden und welche Auswirkungen hat das Urteil konkret für Unternehmen?

Der EuGH hat kürzlich das „Safe Harbor“-Abkommen für nichtig erklärt, womit es künftig nicht mehr wirksam ist. Die rechtliche Grundlage für die Übermittlung von Daten in die USA ist somit nicht mehr gegeben und muss neu geregelt werden.

Handlungsempfehlungen:

  • Nutzen Sie wo immer möglich EU-Anbieter oder US-Anbieter, die ADV-Verträge mit Ihnen schliessen und die Daten in der EU vearbeiten
  • Gehen Sie auf Ihre Dienstleister zu und schliessen, falls noch nicht geschehen ADV-Verträge zu den Nutzer-, Kunden-, Mitarbeiter-Daten
  • Überprüfen Sie Ihre Datenschutzerklärung und stellen Sie sicher, dass ausreichend über die stattfindende Datenverarbeitung informiert wird
  • Holen Sie sich, wenn möglich, die Einwilligung der Betroffenen ein. Leider reicht dies nicht als versteckte Klausel in Ihren AGB, sondern muss explizit über das Setzen eines „Häkchen“, wie bei einer Newsletter-Anmeldung erfolgen. Dies sollte sich in vielen Fällen als organisatorische Herausforderungen herausstellen.

Wie stellt sich die Situation bei smoope dar? 

Mit Ihrer Entscheidung smoope zu nutzen, haben Sie sich nicht nur für eine funktionale Lösung, die viele Vorteile für alle Beteiligten mit sich bringt, entschieden, sondern vor allem für eine Lösung, die geltendem Recht und Datenschutz-Richtlinien Stand hält. Sie bleiben vom EuGH-Urteil unberührt und machen bereits alles richtig! Als Anbieter eine B2C-Messaging Lösung, bei der es um Kundendaten und andere sensible Daten geht, schreiben wir Datenschutz und -sicherheit schon immer groß. Es war von Anfang an klar, dass die Kommunikation zwischen Unternehmen und Kunden, Interessenten, Mitarbeitern, etc. in einem geschützten Bereich stattfinden muss und dass dabei bestimmte „Spielregeln“ beachtet werden müssen. In der Folge möchten wir kurz auf einige Massnahmen eingehen, die Sie weiterhin ruhig schlafen lassen sollten:

  1. Wir sind ein Anbieter aus Deutschland und halten uns grundsätzlich an geltendes Recht und Datenschutz-Richtlinien
  2. In unserer Datenschutzerklärung ist klar dargestellt, welche Daten wir wie und wo verarbeiten
  3. Nutzer geben im Rahmen der Registrierung Ihre „Einwilligung“ zu unseren Nutzungsbedingungen und erteilen eine Datennutzungserlaubnis zur Beantwortung Ihrer Anliegen
  4. Alle Daten werden in Deutschland in einem zertifizierten Datenzentrum gehalten, das höchsten Ansprüchen genügt
  5. Mit Unternehmen, die Ihre Kunden über smoope betreuen, schliessen wir oben genannte ADV-Verträge. Das Gleiche gilt auch für unsere Dienstleister!

Fazit:

KEEP CALM AND SMOOPE ON! Das gilt sowohl für unsere Nutzer als auch für unsere Unternehmenskunden, denen es ein Anliegen ist nicht nur zeitgemäß zu kommunizieren, sondern das Ganze auch technologisch und in Sachen Datenschutz auf ein solides Fundament zu stellen. Für das uns entgegengebrachte Vertrauen werden sie jetzt belohnt. Unser Dank gilt an dieser Stelle unseren Nutzern und Unternehmenskunden, die uns bereits in einer sehr frühen Phase zugehört, vertraut und konstruktiv mit uns zusammengearbeitet haben.

Weitere interessante Beiträge hierzu:

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.