Am Dienstag, den 2. Februar 2016, teilte die EU-Justizkommissarin Vera Jourová mit, dass sich Europäer und Amerikaner in Grundzügen auf ein neues Safe-Harbor-Abkommen geeinigt haben. Martin Blumenau, Geschäftsführer des Berliner Softwareherstellers und Cloudbetreibers datapine bezweifelt, ob es sich dabei um den von Datenschützern und Wirtschaft ersehnten Durchbruch handelt: »Die Eckpunkte, auf die man sich einigte sind nicht wirklich neu. Fraglich ist, ob ein neues Abkommen Europäische Datenschutzrichtlinien in der Praxis durchsetzen kann und einer gerichtlichen Prüfung durch den EuGH Stand hält.«
Zum Hintergrund:
Im Oktober hatte der Europäische Gerichtshof das Safe Harbor Abkommen gekippt, das den Datentransfer personenbezogener Daten zwischen Europa und den USA regelte. Der Grund: Europäische Datenschutzrichtlinien seien nicht sichergestellt. Mit der Entscheidung des EuGHs waren diese Transfers nicht mehr rechtskonform. Unternehmen hatten bis Ende Januar eine Schonfrist – danach kündigten einzelne Datenschutzbeauftragte Kontrollen und Bußgelder an. Um Rechtssicherheit im wirtschaftlichen Datenverkehr zu schaffen, stand die EU-Kommission unter Druck, eine neue Rechtsgrundlage zu schaffen.
Die Einigung / Privacy Shield:
Die aktuelle Einigung auf die Grundzüge eines neuen Safe Harbor Abkommens (Privacy Shield) in dieser Woche löste allgemeines Aufatmen aus. Hintergrund ist, dass viele Unternehmen Geschäftsdaten und personenbezogene Daten, wie Informationen über Kunden oder Mitarbeiter, auf US-amerikanischen Servern speichern. Dies weil sie beispielsweise Cloud-Lösungen oder Business Software wie Mailprogramme oder Cloudlösungen von Anbietern nutzen, deren Server in den USA stehen.
Die Eckpunkte des neuen Abkommens:
- Unternehmen, die Daten in die USA transferieren, sollen künftig eng kontrolliert werden.
- Bei Verstößen gegen Europäische Datenschutzregeln, soll der Datentransfer unterbunden werden.
- EU-Bürger sollen künftig gegen Datenschutzverstöße vorgehen dürfen. Dies im Rahmen eines kostenlosen Schlichtungsverfahrens oder auch durch direkten Zugang auf US-amerikanische Gerichte
Bewertung:
»Bei diesen Eckpunkten handelt es sich im Wesentlichen um nichts Neues. Auch das alte Safe-Harbor-Abkommen beinhaltete ähnliche Regelungen«, kommentiert Blumenau. Und weiter: »Wir haben es doch hier mit einem grundsätzlichen Problem zu tun. Die USA haben ein komplett anderes Verständnis in puncto Datenschutz. Die US-amerikanischen Geheimdienste werden sich von einem neuen Abkommen – auch wenn dieses umfassender und weitreichender sein sollte -kaum beeindrucken lassen und ihre Praktiken ändern. Zumal derzeit keine wesentlich restriktiveren Bestimmungen als zuvor erkennbar sind. Die grundsätzlich unterschiedlichen Auffassungen von Datenschutz auf beiden Kontinenten werden hierdurch nicht überwunden werden. Es ist zu begrüßen, dass sich die EU bemüht, Rechtssicherheit herzustellen; doch ein Stück Papier wird die US-amerikanische Haltung hinsichtlich des Umgangs mit Daten nicht ändern.
Die Leidtragenden in diesem Konflikt sind einerseits die Europäischen Bürger, andererseits die Unternehmen, die mit US-Software oder -Anwendungen arbeiten. Wie will ein Unternehmen sicherstellen, dass beispielsweise Geheimdienste, die Server des Drittanbieters nicht anzapfen und Datenmissbrauch betreiben? Problematisch ist, dass es an konkreten Vorgaben, Mechanismen und Kontrollen mangelt aber auf der anderen Seite zeitgleich Einschränkungen formuliert werden.
Anstatt nur auf ein neues Abkommen zu vertrauen, sollten vor allem Europäische Unternehmen, bei ihren Anbietern konsequent nach ADV (Auftragsdatenverarbeitung) Vereinbarungen fragen, da diese zumindest nach der jetzigen Regelung das höchste Vertrauensniveau liefern. Anbieter die kein ADV bieten, wie viele US-Unternehmen, sollte ein Europäisches Unternehmen konsequent als Partner ausschließen und beispielsweise deutsche Anbieter nutzen. Unternehmen können sich so langfristig vor Datenschutzverstößen und deren Konsequenzen schützen. Sollte Privacy Shield in der Praxis die gleichen Schwächen aufweisen wie Safe Harbor – und das steht zu befürchten – ist es eine Frage der Zeit, wann die nächste Klage eingereicht wird. Auch wenn Unternehmen derzeit wieder aufatmen können, sollten sie sich überlegen, inwieweit sie bestimmte Daten US-amerikanischen Cloud-oder Softwareanbietern anvertrauen. Ob E-Mail Provider, Cloud-Dienste oder Datenanalyse – es gibt fast kein Unternehmen, das interne Daten nicht an Provider und deren Server abgibt.«
5 Praxis-Tipps für Unternehmen:
- Nachfragen, wo die Provider-Server angesiedelt sind.
- Nach einer ADV (Auftragsdatenverarbeitung) beim Anbieter fragen.
- Prüfen, welche Daten im Unternehmen sensibel sind und diese entsprechend Kategorisieren.
- Personenbezogene Daten unternehmensintern verschlüsseln.
- Bei hochsensiblen Daten ggf. auf Europäische oder deutsche Provider setzen, die keine Server in den USA unterhalten