Was ist „Safe-Harbor“ und welchen Einfluss hat es auf Ihre Geschäftstätigkeit ?
Was ist „Safe-Harbor“ und welchen Einfluss hat es auf Ihre Geschäftstätigkeit ?
Am 6. Oktober 2015 hat der Gerichtshof der Europäischen Union (EuGH) in der Überwachungs- und Spionageaffäre NSA und Snowden entschieden, das zwischen Europa und den USA seit langer Zeit bestehende Safe-Harbor-Abkommen, welches die Übermittlung und die Verarbeitung von Daten zwischen Servern in beiden Ländern ermöglichte, für ungültig zu erklären.
Das zunächst von der Europäischen Kommission im Jahr 2000 geschaffene Safe-Harbor-Abkommen ermöglichte US-Unternehmen, sich selbst zu zertifizieren, dass sie den maßgeblichen EU-Standards im Hinblick auf den Schutz personenbezogener Daten entsprechen. Mehr als 5.000 „selbst zertifizierte Safe-Harbor“ US-Unternehmen sind nun gezwungen, eine alternative Lösung für die rechtmäßige Geschäftstätigkeit in der EU zu finden. Was bedeutet dies für Internetunternehmen und, viel wichtiger noch, welche Auswirkungen hat dies auf Ihre Geschäftstätigkeit?
Inhaltsverzeichnis
Was ist das Safe-Harbor-Abkommen?
Gemäß der Europäischen Datenschutzrichtlinie ist die Übermittlung personenbezogener Daten außerhalb der EU nur dann zulässig, wenn diese Daten an eine Speicherstelle übertragen werden, die über „angemessene“ Datenschutzbestimmungen verfügt. Das mit dem Europäischen Gerichtshof und den USA bestehende Safe-Harbor-Abkommen basierte vollständig auf einem Selbstzertifizierungsprogramm der US-Unternehmen, um die Übermittlung der personenbezogenen Daten von EU-Bürgern zu Servern und Rechenzentren in den USA zu erleichtern. Technologie-Riesen und andere große Internetunternehmen wie Facebook, die vorher Safe-Harbor-selbstzertifiziert waren, haben seitdem angekündigt, dass sie sich kurzfristig um eine Anpassung der Klauseln zum Schutz der EU-Daten bemühen und sich an die Datenschutzrichtlinien nach diesem neuen Gesetz halten werden.
Was wird jetzt geschehen?
Die Europäische Regulierungsbehörde will Safe Harbor ab Ende Januar ersetzen. Dieser neue Pakt wird voraussichtlich eine eingeschränkte Version des Datenübertragungsprozesses sein.
Europäische Einzelpersonen können jetzt jedes Unternehmen, von dem sie glauben, dass es keinen angemessenen Schutz durch die EU-Richtlinie 95/46/EG gewährt, verklagen. Demzufolge ist jedes EU-Unternehmen, das personenbezogene Daten an einen US-Dienstleister übermittelt, automatisch einem rechtlichen Risiko ausgeliefert (Bsp. Buchführung, CRM, Beschaffung, HR-Software, Cloud-Hosting, Online-Marketing und das Sammeln von Kundendaten).
Jeder EU-Mitgliedsstaat wurde beauftragt, festzustellen, ob angesichts der Tatsache, dass andere Übertragungsmaßnahmen wie „verbindliche unternehmensinterne Vorschriften“ und „EU-Modellklauseln“ von Unternehmen umgesetzt worden sind, die Datenübermittlung in die USA ausgesetzt werden soll:
Nach dem Urteil des Gerichtshofs der Europäischen Union in der Sache Schrems gegen Facebook hat eine der deutschen Datenschutzbehörden (im Bundesland Schleswig-Holstein erklärt, das sämtliche Datenschutz-Workarounds für die Datenübermittlung in die USA rechtswidrig seien. Darüber hinaus haben sie Unternehmen und staatliche Stellen davor gewarnt, dass ihnen Geldstrafen von bis zu 300.000€ für die Übertragung von personenbezogenen Daten in die USA „ohne rechtliche Grundlage“ auferlegt werden können. Diese Haltung betrifft jedoch nur eine der bestehenden deutschen Datenschutzbehörden (es gibt jeweils eine Behörde pro Bundesland).
Die britische Datenschutzbehörde Information Commissioner’s Office gab an, das „Unternehmen, die Safe Harbor verwenden, überprüfen müssen, wie sie die Übermittlung von Daten in die USA im Einklang mit dem Gesetz sicherstellen.“ Einige Unternehmen, insbesondere im stark regulierten Finanzsektor, haben sich seit der Entscheidung an lokale Lösungsanbieter gewandt. Der britische SaaS-Anbieter Really Simple Systems hat bereits verstärkt Verkaufspersonal eingestellt, da etliche Kunden die Seite wechseln.
Die Europäischen Datenschutzbeauftragten, einschließlich die Französische Nationale Kommission für Informatik und Freiheiten (CNIL = Commission Nationale de l’Informatique et des Libertés), trafen sich am 15. Oktober, um die Konsequenzen der Entscheidung des EuGH vom 6. Oktober 2015 zu analysieren. Sie haben Safe Harbor außer Kraft gesetzt und eine gemeinsame Erklärung angenommen, in der sie die europäischen Institutionen und Aufsichtsbehörden auffordern, bis Ende Januar 2016 rechtliche und technische Lösungen zu finden. Es dürften bald weitere Neuigkeiten zu erwarten sein.
Bin ich von der Außerkraftsetzung des EU-Safe-Harbor-Abkommens betroffen?
Als E-Mail-Service-Provider können wir keine Rechtsberatung anbieten. Wir empfehlen Ihnen daher, Ihren Rechtsanwalt zu konsultieren, damit dieser Ihnen einen vollständigen Einblick über die Auswirkungen für Ihre Geschäftstätigkeit vermittelt und Ihnen die notwendigen Schritte aufzeigt. Unterdessen haben wir jedoch ein paar allgemeine Leitlinien zusammengestellt, mit deren Hilfe Sie identifizieren können, inwieweit Sie möglicherweise betroffen sind und wie Sie die Einhaltung der Vorschriften sicherstellen können.
Gemäß den EU/EWR-Vorgaben müssen Sie zunächst bestimmen, welche Art von Daten Sie sammeln. Ihr Betrieb ist der Datenverantwortliche und Sie tragen die Verantwortung für alle von Ihnen gesammelten Daten und deren Übermittlung. Bevor Sie handeln und neue Abläufe festsetzen, sollten Sie einen Überblick aller personenbezogenen Daten, die Sie derzeit von Ihren bestehenden und potentiellen Kunden sammeln, sowie der Stellen, wo diese hingeleitet, gespeichert und/oder verarbeitet werden, erstellen.
Identifizieren Sie alle „personenbezogenen Daten“, die von Ihnen selbst oder Dritten im Zusammenhang mit Ihrer Geschäftstätigkeit gesammelt werden. Mit dem Aufkommen von Cloud-Software und einer zunehmenden Anzahl von Daten, die von Drittanbietern gehostet werden, besteht eine große Wahrscheinlichkeit, dass Sie Daten in die USA übermitteln.
Wenn Ihre Dienstleister in den USA „personenbezogene Daten“ von EU-Bürgern ohne ordnungsgemäße Datenschutzbestimmungen empfangen, speichern und/oder verarbeiten, sollten Sie eine neue vertragliche Vereinbarung abschließen, die zumindest die EU-Musterklauseln, oder andere Methoden enthält, die Ihnen die rechtmäßige Übermittlung von Daten aus der EU in die USA gestattet. Wenn Ihre Dienstleister Safe-Harbor-zertifiziert waren, werden diese wahrscheinlich neue Vereinbarungen und Geschäftsbedingungen aufsetzen, um sicherzustellen, dass sie abgesichert sind. Überprüfen Sie diese Verträge sorgfältig mit Ihrem Rechtsanwalt, um eine schnelle „Schein-Lösung“ zu vermeiden.
Wenn Sie keine ausdrückliche Vereinbarung mit Ihrem Dienstleister in den USA getroffen haben, besteht die beste Alternative wahrscheinlich darin, so bald wie möglich zu einem Dienstleister in der EU zu wechseln, um Risiken einzuschränken.
Abschließend ist es sinnvoll, an die bewährten grundlegenden Praktiken im E-Mail-Marketing zu erinnern. Sie sollten diese immer im Gedächtnis behalten und nach europäischem Recht sind sie ebenfalls obligatorisch:
Von einem Unternehmen gesendete, unerwünschte, Massen-E-Mails werden als Spam eingestuft und können rechtliche Schwierigkeiten verursachen.
Unternehmen müssen das ausdrückliche Einverständnis (via Opt-in-Verfahren) ihrer Kunden einholen, bevor sie deren Daten für Marketingzwecke einsetzen. Dies schließt durch Interaktionen mit E-Mails, Websites und Anwendungen gesammelte Daten mit ein. Wenn Sie beispielsweise eine auf den Standort Ihrer Kontakte bezogene personalisierte E-Mail versenden wollen, sind Sie nur mit deren Zustimmung dazu berechtigt. Betriebe mit Sitz in der EU sollten sich selbst schützen, indem sie ihre Sprachen während des E-Mail Opt-In-Prozesses aktualisieren, um die Erlaubnis für die Verwendung dieser Informationen für gezielte E-Mail-Inhalte einzuholen.
Wie ist es mit Mailjet?
Wie in unserer Datenschutzerklärung angegeben, befinden sich die Server von Mailjet ausschließlich in Europa und befolgen die europäischen Datenschutzgesetze.
In seltenen Fällen kann Mailjet sich veranlasst sehen, einige Daten für Analysezwecke oder zur Spam-Bekämpfung an Dienstleister mit Sitz in den USA zu übermitteln. Unter solchen Umständen haben wir in der Vergangenheit nicht nur Safe-Harbor-Zertifizierungen verwendet, sondern außerdem die Zusage verlangt, dass diese Empfangsdienste aufgrund bindender Datenschutzvereinbarungen, einschließlich der Europäischen Musterklauseln, den europäischen Vorschriften entsprechen.
Wenn Sie bereits Mailjet-Kunde sind, so sind Ihre Daten sowie die Daten Ihrer Kunden geschützt. Die Außerkraftsetzung des Safe-Harbor-Abkommens hat keinen Einfluss auf Ihre gegenwärtige Nutzung unserer Dienstleistungen. Setzen Sie gerne weiterhin auf Mailjet, um E-Mails zu versenden.
Wenn Sie Mailjet bisher noch nicht nutzen, ist diese Entscheidung möglicherweise eine gute Gelegenheit für Sie, Ihre E-Mail-Strategie zu überdenken und sich vertieft mit dem aktuellen Schutz Ihrer Kundendaten zu befassen. Kontaktieren Sie uns für ein ausführlicheres Gespräch!
Verwandte Lektüre
Beliebte Beiträge
Deliverability
17 min
How to avoid email spam filters
Mehr lesen
Deliverability
7 min
Noreply email address: Best practices for your email strategy
Mehr lesen
Email best practices
6 min
What is an SMTP relay and why do we use it?
Mehr lesen