Ist Datenschutz schon in Deutschland eine heikle Sache, sieht es in den USA noch viel kritischer aus: Die dortigen Ermittlungsbehörden wie die NSA haben durch den USA Patriot Act, der nach den Anschlägen des 11. September 2001 erlassen und kürzlich leicht abgemildert wurde, viel umfassendere Rechte und Befugnisse zur Abfrage von Daten von Privatpersonen. Und diese nutzen sie auch, während die Gesetze und Regulierungen im Bereich Datenmanagement und Datenschutz mit den technologischen Entwicklungen nicht mithalten können.

Nachdem der Europäische Gerichtshof das Safe-Harbor-Prinzip für ungültig erklärt hat, endet die Schonfrist für Unternehmen, die Daten in die USA übertragen. Betroffen sind nicht nur IT-Konzerne, sondern fast alle Firmen.

Quelle (Handelsblatt vom 01.02.2016) : http://www.handelsblatt.com/unternehmen/it-medien/safe-harbor-frist-laeuft-ab-sturm-ueber-dem-sicheren-hafen/12901620.html

Von wegen sicherer Hafen: Der Europäische Gerichtshof (EuGH) kippte im Oktober das Safe-Harbor-Prinzip. Da die Geheimdienste in den USA das Internet intensiv überwachen, seien die Daten der Europäer dort nicht ausreichend geschützt, argumentierten die Richter. Die Folgen des Urteils sind weitreichend, nicht nur für Facebook, Google oder Microsoft: Auch deutsche Firmen, die beispielsweise mit IT-Dienstleistern aus dem Silicon Valley zusammenarbeiten, sind betroffen. Was man jetzt zu den Folgen von Safe Harbor wissen muss.

Warum braucht es überhaupt eine Genehmigung?

Keiner ist so streng wie die Europäische Union (EU): Die Gemeinschaft beschloss 1995 eine Datenschutzrichtlinie mit hohen Standards. Die immer noch gültige Regelung erlaubt Unternehmen die Verarbeitung personenbezogener Daten wie Name, Geburtsdatum oder Kreditkartennummer nur mit Zustimmung der Betroffenen. Zudem verbietet sie die Übertragung der Informationen in Länder mit geringerem Schutz. Damit der Datentransit in die USA erlaubt ist, bedarf es daher einer ausdrücklichen Zustimmung der Betroffenen. Daran ändert auch die Datenschutz-Grundverordnung der EU nichts, die bald in Kraft treten soll.

Was ist Safe Harbor?

Schon um die Jahrtausendwende herrschten rege digitale Wirtschaftsbeziehungen zwischen EU und USA. Um diese nicht zu unterbrechen, beschloss die Europäische Kommission 2000 das Safe-Harbor-Prinzip: Wenn sich amerikanische Unternehmen verpflichteten, bestimmte Grundsätze einzuhalten, galten sie als sicherer Hafen für Daten – man nahm also an, dass sie das Schutzniveau der EU einhielten. Dazu betraf beispielsweise die Sicherheit: Die Unternehmen mussten angemessene Vorkehrungen treffen, um die Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch zu schützen. Mehr als 5000 Firmen ließen sich auf einer Liste des US-Handelsministeriums für Safe Harbor registrieren.

Was ist das Problem mit Safe Harbor?

Schon früh monierten deutsche Datenschützer, dass die Selbstverpflichtung der Unternehmen nicht überprüft werde. Nach den Snowden-Enthüllungen sahen sie sich erst recht bestätigt: Die Dokumente des früheren US-Geheimdienstmitarbeiters belegten, dass NSA, CIA & Co dauer- und massenhaft persönliche Daten erfassen. Eine juristische Handhabe haben Europäer dagegen nicht. Daher sahen viele den sicheren Hafen spätestens jetzt als eine Illusion an.

Wie hat der Europäische Gerichtshof geurteilt?

Der Europäische Gerichtshof erklärte das Safe-Harbor-Prinzip für ungültig. Die Argumentation: Wenn Behörden wie in den USA generell auf elektronische Kommunikationsdaten zugreifen könnten und es dabei keine wirksame Kontrolle gebe, verletzte das „den Wesensgehalt des Grundrechts auf Achtung des Privatlebens“, erklärten die Richter. Da in den USA kein angemessenes Schutzniveau herrsche, könne die EU-Kommission die Datenübertragung nicht genehmigen.

Was bedeutet das für Unternehmen?

Das Safe-Harbor-Abkommen sollte es vereinfachen, mit US-Unternehmen zu kooperieren und transatlantische Geschäfte zu führen. Trotz aller Kritik wurde diese Grundlage vielfach genutzt. Organisationen, die das immer noch tun, drohen nun bis zu 300.000 Euro Strafe. Ob die Datenschutzbehörden tatsächlich ermitteln und Bußgelder verhängen, ist noch nicht klar, nicht zuletzt, weil dies hohe personelle Anforderungen an die unterbesetzten Behörden mit sich bringt. Um Strafen zu vermeiden, sollten die Unternehmen in jedem Fall ihre Datenspeicherpraxis überarbeiten.

Wer ist nicht betroffen?

Auf der sicheren Seite ist, wer Daten innerhalb der Europäischen Union speichert. Große US-Konzerne wie Amazon und Microsoft betreiben längst eigene Serverfarmen in Europa. Zudem überschlagen sich hiesige Anbieter derzeit bei der Kundenwerbung. Auch das hat jedoch seinen Preis: Wer den Anbieter wechselt, muss dafür erhebliche Kosten in Kauf nehmen.

Welche Alternativen zu Safe Harbor erlauben Juristen?

Schon bislang gibt es Alternativen zu Safe Harbor. So gibt es Corporate Binding Rules, also festgelegte Regeln für den Datenaustausch innerhalb eines Unternehmens. Diese werden von den Firmen festgelegt und von Datenschützern abgenommen. Gerade in Konzernen kommt dieses Instrument oft zum Einsatz. Auch Standardvertragsklauseln, die die EU für den Datenschutz in Drittstaaten vor Jahren entwickelt hat, sind eine Möglichkeit. Viele Unternehmen stellen derzeit auf dieses Instrument um.

Welche Auswege bietet die Technik?

Unproblematisch ist der Transfer, wenn die Daten vor dem Versand anonymisiert oder verschlüsselt werden. „Die Verschlüsselung nach anerkanntem Stand der Technik führt dazu, dass Daten in den USA nicht deanonymisiert werden können“, sagt Datenschutz Experte bei Bitkom Consult, Andreas Schulz. Für die reine Datenspeicherung bei US-Cloud-Anbietern sei eine Verschlüsselung aus Sicht von Datenschutz und Datensicherheit daher sinnvoll. Allerdings sei es oftmals keine praktikable Lösung – etwa wenn die Daten später bearbeitet werden sollen.

Welche Probleme bergen die Alternativen?

Das Urteil des EuGH bezieht sich auf das Safe-Harbor-Prinzip. Allerdings steht die Frage im Raum, ob nicht auch die anderen rechtlichen Konstruktionen hinfällig sind – also Standardvertragsklauseln und Binding Corporate Rules (BCR). So weist die Bundesdatenschutzbeauftragte Andrea Voßhoff ausdrücklich darauf hin, „dass die Datenschutzaufsichtsbehörden Deutschlands und in Europa sorgfältig prüfen werden“, inwieweit im Lichte Entscheidung davon weiterhin Gebrauch gemacht werden könne. Hintergrund ist, dass US-Unternehmen verpflichtet sind, Daten im Zweifelsfall an die Behörden weiterzuleiten – unabhängig davon, was vertraglich festgelegt wurde.

Was sollten Unternehmen jetzt tun?

Das ist gar nicht so einfach zu beantworten. Wer Daten immer noch nach dem Safe-Harbor-Prinzip in die USA überträgt, sollte schleunigst handeln. Sonst drohen Bußgelder von bis zu 300.000 Euro. Was zu tun ist, ist allerdings umstritten. Auch nach einer Umstellung auf andere Regelungen bestehe für Unternehmen keine Rechtssicherheit, erklärt Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit.

Gibt es keinen Ausweg?

Einige Juristen, etwa Experten von der Wirtschaftsprüfungsgesellschaft Deloitte, halten die ausdrückliche Einwilligung der Betroffenen für die einzige Möglichkeit, sich rechtlich abzusichern. Allerdings bremsen auch hier die Datenschützer: In ihrem Positionspapier erklären sie, dass dies nur „unter engen Bedingungen eine tragfähige Grundlage“ sein könne: „Grundsätzlich darf der Datentransfer jedoch nicht wiederholt, massenhaft oder routinemäßig erfolgen.“

Was ist mit einer neuen Version von Safe Harbor?

Seit dem Gerichtsurteil des Europäischen Gerichtshofes arbeiten Politiker in Brüssel und Washington an einem neuen Rahmenwerk für den Transfer persönlicher Informationen mit den USA. Bisher waren die Verhandlungen schwierig, jetzt könnte aber Bewegung in die Sache kommen: Am Donnerstag hat der Justizausschuss des US-Senats den „Judicial Redress Act“ genehmigt. Dieser soll EU-Bürgern das Recht geben, bei Persönlichkeitsrechtsverletzungen direkt vor US-Gerichten zu klagen. Dies gilt als wesentlicher Punkt für die erfolgreiche Verhandlung eines neuen Safe-Harbor-Abkommens.

Wie geht es weiter?

Bislang hatten sich EU und USA für die Verhandlungen eine Frist bis Ende Januar gesetzt. Trotz der positiven Signale aus dem Senat lässt sie sich nicht mehr einhalten. Ein Sprecher der Brüsseler EU-Kommission warnte aber, es werde kein Abkommen um jeden Preis geben.

Veröffentlicht von Kurt Brand

I am one of the leading experts for analyzing and improving organizations with more than 30 years of experience in international high-tech companies (Siemens, HP, ThyssenKrupp). My portfolio comprises business-oriented, high-quality consulting and interim management services on executive level in the following areas: Interim Management for CDO/CIO/CTO functions, IT Due Diligences&Maturity Checks, Strategic IT Management (IT Strategy, IT Architecture, IT Portfolio Management), Reorganization&Restructuring of IT Organizations&Processes, Optimization of IT Purchasing, IT Security Management including Cyber Security, Management of IT Governance, Risk and Compliance (GRC) as reliable basis for IT Compliance, Professional Coaching, Training and Team Building, independent Expert Opinions, professional Assessments, and Keynote Speeches. I like complex challenges (e.g. build up new company units, restructuring, turnaround) with significant impact on the overall success of the company. One of my hobbies is ancestry research. I can track my ancestry tree 29 generations back to the year 1368. In course of my research I found out, besides others, that one of my female ancestors, her name was Walpurga Bruebach, was beheaded and burned as a witch at the stake on Friday, October 26, 1657.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

Gravatar
WordPress.com-Logo

Du kommentierst mit deinem WordPress.com-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit deinem Facebook-Konto. Abmelden /  Ändern )

Abbrechen

Verbinde mit %s