Ist die EU-USA-Datenschutzeinigung Privacy Shield eine »Mogelpackung«?

illu (c) aa privacy shield

Die via Pressekonferenz von den EU-Kommissaren Vera Jourová und Andrus Ansip verkündete Einigung zwischen der EU und den USA über neue Regeln zu Datenaustausch und Datenschutz missachtet in weiten Teilen die Entscheidung des Europäischen Gerichtshofs vom Oktober letzten Jahres, wonach die bisherigen Regeln zum transatlantischen Datenaustausch (Safe Habor) ungültig sind, urteilt die Nationale Initiative für Internet-Sicherheit (NIFIS) e.V.

»Der sogenannte EU-US Privacy Shield ist eine Mogelpackung«, moniert der NIFIS-Vorsitzende RA Dr. Thomas Lapp, und begründet: »Es handelt sich dabei in keiner Weise um ein Schutzschild für die Privatsphäre, sondern gibt den US-Behörden ganz im Gegenteil ausdrücklich grünes Licht für die weitere Überwachung mit der unzureichenden Auflage der gegenseitigen Überwachung von US-Behörden untereinander.«

Es bleibt weiterhin völlig im Dunkeln, in welchem Umfang die US-Geheimdienste auf Daten von europäischen Unternehmen zugegriffen haben und weiterhin zugreifen, bemängelt NIFIS. Die Behauptung, der vorgesehene Ombudsmann sei unabhängig von den Geheimdiensten, schaffe keinerlei Klarheit und er habe insbesondere keine Machtbefugnisse gegenüber US-Behörden und -Geheimdiensten.

»Warum verpflichten sich die USA nicht einfach dazu, europäisches Datenschutzrecht zu beachten?«, fragt NIFIS-Vorsitzender Dr. Thomas Lapp. Er stellt klar: »Akzeptabel wäre nur ein Klagerecht europäischer Unternehmen und Bürger vor amerikanischen Gerichten. Genau dieser Rechtsweg soll aber offenbar nicht eröffnet werden.«

NIFIS Nationale Initiative für Informations- und Internet-Sicherheit e.V. ist eine neutrale Selbsthilfeorganisation, die die deutsche Wirtschaft im Kampf gegen die täglich wachsenden Bedrohungen aus dem Netz technisch, organisatorisch und rechtlich unterstützen möchte. Vornehmliches Ziel der Arbeit der unter dem Dach der NIFIS organisierten Gremien ist es, Vertraulichkeit, Verfügbarkeit und Integrität sowie den sicheren Transport von Daten in digitalen Netzwerken sicherzustellen. Dazu entwickelt die NIFIS seit ihrer Gründung im Jahr 2005 unterschiedliche Konzepte und setzt diese in pragmatische Lösungen um. Zu den Schwerpunkten der Tätigkeit zählen die aktive Kommunikation und die Bereitstellung von Handlungsempfehlungen und Dienstleistungen.
Foto: cc0 pixabay Absmeier

Die Cloud ist tot, es lebe die Cloud!

Ein Kommentar von Holger Dyroff, Geschäftsführer der ownCloud GmbH

Womit niemand gerechnet hat, ist passiert: Die Vertreter der EU und der USA haben sich mit dem »EU-US Privacy Shield« auf einen Nachfolger für Safe Harbor geeinigt. Ende Januar lief die Frist aus, die Europas Datenschützer der EU-Kommission und der US-Regierung gesetzt hatten, um einen Ersatz für das vom Europäischen Gerichtshof im vergangenen Herbst zur Überraschung vieler gekippte Abkommen zu schaffen. Aber schnell machte sich Kritik am Nachfolger breit: Einige Medien haben Stimmen von Datenschützern eingeholt und so richtig überzeugt vom »Schild für die Privatsphäre« ist keiner. Edward Snowden, der mit seinen Enthüllungen 2013 die Kritik losgetreten hat, meldete sich auf Twitter zu Wort: »It’s not a »Privacy Shield,« it’s an accountability shield. Never seen a policy agreement so universally criticized.« Der grüne EU-Abgeordnete Jan-Philipp Albrecht bezeichnet das Ganze gar als »Joke«.

Jetzt soll das US-Handelsministerium die Firmen kontrollieren, die Daten aus Europa verarbeiten. Und bei Problemen darf man sich als Firma an einen neutralen Ombudsmann wenden, der von der US-Regierung gestellt wird. Dass dieser Schwenk den Rechtsfrieden nicht wiederherstellt, ist klar. Und das ist auch gut so, weil die Diskussion zeigt, dass Datenschutz und -sicherheit in der Cloud eben nicht gewährleistet sind. Wer personenbezogene Daten in der Cloud speichert, delegiert damit keinesfalls die Verantwortung, sprich die Haftung. Die Kosten von Verstößen gegen den Datenschutz können auch in Deutschland schnell in die Millionen gehen. Manager können laut geltender Rechtsgrundlage persönlich zur Rechenschaft gezogen werden. Damit ist die Cloud als nebulöser Speicherort für alle möglichen Daten spätestens jetzt für Unternehmen gestorben.

Andererseits ist die grundlegende Funktionalität einer Cloud – effiziente Objektspeicherung mit Zugriff über Standard-Internetprotokolle von jedem Ort und über jedes webfähige Device – aktueller denn je. Nur so lassen sich die Anforderungen moderner, flexibler, agiler Unternehmen bedienen. Wie wäre es mit einer eigenen Cloud? Mit dieser holen sich Unternehmen die volle Kontrolle über ihre Daten dahin, wo sie hingehört: In das eigene Rechenzentrum beziehungsweise zu einem verlässlichen Hosting-Anbieter. Dabei können sie aber gleichzeitig alle Vorteile der Cloud für ihr Unternehmen und die Mitarbeiter nutzen. Die Cloud wird zur eigenen, zur ownCloud. Cloud ja, aber sicher!

 


VOICE wertet Privacy Shield Abkommen als Safe-Harbor-Nachfolger mit Potenzial

Der Bundesverband der IT-Anwender e.V. VOICE sieht das neue Abkommen grundsätzlich positiv, mahnt aber größtmögliche Transparenz der vereinbarten Standards an und empfiehlt, Binding Corporate Rules und EU-Standardvertragsklauseln weiterhin als Safe-Harbor-Ersatz zu erlauben.

In dem Bemühen, möglichst schnell nach dem Ende des Safe-Harbor-Abkommens wieder für Rechtssicherheit im transatlantischen Datenaustausch zu sorgen, haben sich EU-Kommission und USA auf das sogenannte EU-US-Privacy Shield geeinigt. »Privacy Shield geht einen deutlichen Schritt über Safe Harbor hinaus, weil das Handeln der Unternehmen überprüft werden soll, es Beschwerdestellen gibt und sich die amerikanischen Geheimdienste offenbar Mäßigung auferlegt haben«, betonte Dr. Thomas Endres, Vorsitzender des VOICE Präsidiums.

Wenn EU-Parlament und die Vertreter der Einzelstaaten zustimmen, herrscht mit Inkrafttreten des Abkommen wieder Rechtssicherheit im transatlantischen Datenaustausch. »Das begrüßen wir sehr. Es ist wichtig für unsere Unternehmen und wichtig für den Digital-Markt in Europa. Voraussetzung ist allerdings, dass die Regeln, an die sich die US-Unternehmen halten sollen, den Unternehmen und Bürgern der EU komplett zugänglich sind.« Endres wies auch darauf hin, dass die Vereinbarung nur dann funktionieren kann, wenn auch das EU-US-Datenschutzrahmenabkommen (Umbrella Agreement) vom US-Kongress beschlossen wird. Außerdem müsse die Artikel-29-Datenschutzgruppe noch gehört werden. Er bezeichnete Privacy Shield als einen guten Beginn, in dem Prozess, die transatlantischen Datenbeziehungen künftig auf Augenhöhe zu regeln. »Das Abkommen muss jetzt mit Leben gefüllt werden und die amerikanische Regierung muss zeigen, dass sie Europas Datenschutzinteressen als gleichberichtigt betrachtet.«

VOICE – der Bundesverband der IT-Anwender e.V. – ist Interessenvertretung und Netzwerk in einem. Als Verband vertritt VOICE e.V. die Interessen der CIOs und IT-Verantwortlichen. Er gibt ihnen gegenüber Politik, IT-Lösungsanbietern und Öffentlichkeit eine starke Stimme. VOICE versteht sich als Sprachrohr der Anwenderinteressen. Der Bundesverband entwickelt und vertritt daher Positionen und Einschätzungen zu aktuellen Trends, politischen Initiativen und Vorhaben der IT-Anbieter.

 


Rahmenwerk ersetzt Safe Harbor und hilft dabei, Barrieren für die Application Economy in Europa einzureißen

»Wir begrüßen die Vereinbarung der Europäischen Kommission und der US-Regierung. Unternehmen und Konsumenten auf beiden Seiten des Atlantiks erhalten damit die notwendige Handlungssicherheit. Wir bitten alle Stakeholder dringend, die Übereinkunft zu finalisieren und bereits bestehende Datentransfer-Mechanismen wie etwa verbindliche unternehmensinterne Vorschriften (Binding Corporate Rules, BCRs) zu schützen«, erklärt Michael Bisiganno, General Counsel, CA Technologies.

Ohne eine solche Vereinbarung gäbe es Verwirrung, ebenso wie Barrieren für die europäische Application Economy. Die Abmachung kommt zu einem wichtigen Zeitpunkt, da Europa momentan einen europäischen digitalen Binnenmarkt aufbaut, um die Application Economy zu stimulieren.

Seit der Entscheidung des Europäischen Gerichtshofs am 6. Oktober 2015 hat CA Technologies aktiv mit allen Beteiligten zusammengearbeitet, um Alternativen zu finden. Internationale Datentransfers mit starken Datenschutzmaßnahmen sind entscheidend für europäische und amerikanische Unternehmen in der sich schnell verändernden Application Economy. Es ist enorm wichtig, robuste Lösungen zu finden, die die Anwenderdaten schützen, aber gleichzeitig den Datenfluss ermöglichen.

»Vertrauen und die Sicherheit persönlicher Daten sind zentrale Elemente in der schnell wachsenden Application Economy. Aber auch der schnelle Datenaustausch zwischen Ländern und Kontinenten ist wichtig, um Konsumenten innovative Services anbieten zu können. Gleichzeitig bleiben Organisationen so wettbewerbsfähig«, so Bisignano weiter.

»Wir engagieren sich sehr, um geeignete und effektive Datentransfer-Mechanismen einzusetzen und so Konsumenten und Partner zu unterstützen«, erläutert Bisignano abschließend. »Wir haben bereits verbindliche unternehmensinterne Vorgaben für den Datenschutz eingeführt – als eines der wenigen Technologieunternehmen überhaupt. Dies zeigt welch hohen Stellenwert der Datenschutz für CA hat. Wir arbeiten eng mit der britischen Datenschutzbehörde zusammen, um die Genehmigung für diesen hohen Standard für internationale Datentransfers zu erhalten.«

 


Ein wichtiger Schritt für eine Nachfolgeregelung

Zur Einigung der Europäischen Kommission und den USA zu einem Safe Harbor-Folgeabkommen als Grundlage für den Datentransfer zwischen Europa und den USA, sagt eco Vorstand für Politik & Recht, Oliver Süme:

»Die Übereinkunft des sogenannten EU-US Privacy Shields zwischen EU-Kommission und den USA ist ein wichtiger Schritt für eine Nachfolgeregelung zum Safe-Harbor-Abkommen. Entscheidend ist jetzt eine verbindliche und tragfähige Regelung für die Zukunft, die den Unternehmen Rechtssicherheit garantiert. Dabei ist die größte Herausforderung, eine ausgewogene interessengerechte Regelung für den transatlantischen Datenaustausch zu schaffen, die den hohen europäischen Datenschutzstandards genügt und den Anforderungen des EuGH entspricht, gleichzeitig aber auch praktikabel für die Unternehmen ist.«

 


Cloud nach Safe Harbor: Vertrauen ist gut, Kontrolle ist besser!

Ein Kommentar von Daniel Dalle Carbonare, Geschäftsführer der Hitachi Data Systems GmbH

Das Safe-Harbor-Abkommen zwischen der EU und den USA sollte Unternehmen eigentlich einen sicheren Rechtsrahmen für den internationalen Datenverkehr geben. Die USA galten demnach als »sicherer Daten-Hafen«, wovon vor allem die großen Cloud-Anbieter profitiert haben. Europas Datenschützer haben dem vor dem Hintergrund der Snowden-Enthüllungen 2013 einen Riegel vorgeschoben und Safe-Harbor mit Wirkung zum 31. Januar dieses Jahres ausgehebelt. Anfang Februar haben Vertreter der EU und der USA dann eine neue Regelung entworfen, die jetzt als »EU/US Privacy Shield« firmiert. Schaut man sich das neue Abkommen jedoch genauer an, kommt einem der alte Werbespruch in den Sinn: »Aus Raider wird Twix, sonst ändert sich nix«.

Für die Überwachung des Datenschutzes in den USA soll zukünftig das Handelsministerium verantwortlich sein und bei Problemen können sich europäische Firmen an einen von der US-Regierung installierten Ombudsmann wenden. Da fragt man sich unweigerlich, ob hier nicht der Bock zum Gärtner gemacht wird. Unternehmen agieren mit dem Privacy Shield nicht mehr im quasi rechtsfreien Raum, wenn sie Daten auf Servern in den USA ablegen. Aber ob ihre Firmendaten, »Intellectual Property« und personenbezogene Daten dort wirklich sicher sind, daran bestehen doch berechtigte Zweifel.

Aus unserer Sicht sollten Unternehmen zukünftig sensible Daten dort ablegen, wo sie selbst die Kontrolle darüber haben: Im eigenen Rechenzentrum oder bei einem vertrauenswürdigen Hosting-Anbieter, der seine Server in der EU oder am besten in Deutschland stehen hat, wo die Datenschutzbestimmungen am strengsten sind. Mit Lösungen, wie wir sie beispielsweise anbieten, können Unternehmen alle Vorteile der Cloud realisieren, ohne dass dabei die Kontrolle über Daten und Zugriffe aus der Hand gegeben werden muss.

 


Safe Harbor Abkommen / Privacy Shield: Durchbruch oder fauler Kompromiss?

Am Dienstag, den 2. Februar 2016, teilte die EU-Justizkommissarin Vera Jourová mit, dass sich Europäer und Amerikaner in Grundzügen auf ein neues Safe Harbor Abkommen geeinigt haben. Martin Blumenau, Geschäftsführer des Berliner Softwareherstellers und Cloudbetreibers datapine bezweifelt, ob es sich dabei um den von Datenschützern und Wirtschaft ersehnten Durchbruch handelt: »Die Eckpunkte, auf die man sich einigte sind nicht wirklich neu. Fraglich ist, ob ein neues Abkommen Europäische Datenschutzrichtlinien in der Praxis durchsetzen kann und einer gerichtlichen Prüfung durch den EuGH Stand hält.«

Zum Hintergrund:

Im Oktober hatte der Europäische Gerichtshof das Safe Harbor Abkommen gekippt, das den Datentransfer personenbezogener Daten zwischen Europa und den USA regelte. Der Grund: Europäische Datenschutzrichtlinien seien nicht sichergestellt. Mit der Entscheidung des EuGHs waren diese Transfers nicht mehr rechtskonform. Unternehmen hatten bis Ende Januar eine Schonfrist – danach kündigten einzelne Datenschutzbeauftragte Kontrollen und Bußgelder an. Um Rechtssicherheit im wirtschaftlichen Datenverkehr zu schaffen, stand die EU-Kommission unter Druck, eine neue Rechtsgrundlage zu schaffen.

Die Einigung / Privacy Shield:

Die aktuelle Einigung auf die Grundzüge eines neuen Safe Harbor Abkommens (Privacy Shield) in dieser Woche löste allgemeines Aufatmen aus. Hintergrund ist, dass viele Unternehmen Geschäftsdaten und personenbezogene Daten, wie Informationen über Kunden oder Mitarbeiter, auf US-amerikanischen Servern speichern. Dies weil sie beispielsweise Cloud-Lösungen oder Business Software wie Mailprogramme oder Cloudlösungen von Anbietern nutzen, deren Server in den USA stehen.

Die Eckpunkte des neuen Abkommens:

  • Unternehmen, die Daten in die USA transferieren, sollen künftig eng kontrolliert werden.
  • Bei Verstößen gegen Europäische Datenschutzregeln, soll der Datentransfer unterbunden werden.
  • EU-Bürger sollen künftig gegen Datenschutzverstöße vorgehen dürfen. Dies im Rahmen eines kostenlosen Schlichtungsverfahrens oder auch durch direkten Zugang auf US-amerikanische Gerichte

Bewertung:

»Bei diesen Eckpunkten handelt es sich im Wesentlichen um nichts Neues. Auch das alte Safe-Harbor-Abkommen beinhaltete ähnliche Regelungen«, kommentiert Blumenau. Und weiter: »Wir haben es doch hier mit einem grundsätzlichen Problem zu tun. Die USA haben ein komplett anderes Verständnis in puncto Datenschutz. Die US-amerikanischen Geheimdienste werden sich von einem neuen Abkommen – auch wenn dieses umfassender und weitreichender sein sollte -kaum beeindrucken lassen und ihre Praktiken ändern. Zumal derzeit keine wesentlich restriktiveren Bestimmungen als zuvor erkennbar sind. Die grundsätzlich unterschiedlichen Auffassungen von Datenschutz auf beiden Kontinenten werden hierdurch nicht überwunden werden. Es ist zu begrüßen, dass sich die EU bemüht, Rechtssicherheit herzustellen; doch ein Stück Papier wird die US-amerikanische Haltung hinsichtlich des Umgangs mit Daten nicht ändern.

Die Leidtragenden in diesem Konflikt sind einerseits die Europäischen Bürger, andererseits die Unternehmen, die mit US-Software oder -Anwendungen arbeiten. Wie will ein Unternehmen sicherstellen, dass beispielsweise Geheimdienste, die Server des Drittanbieters nicht anzapfen und Datenmissbrauch betreiben? Problematisch ist, dass es an konkreten Vorgaben, Mechanismen und Kontrollen mangelt aber auf der anderen Seite zeitgleich Einschränkungen formuliert werden.

Anstatt nur auf ein neues Abkommen zu vertrauen, sollten vor allem Europäische Unternehmen, bei ihren Anbietern konsequent nach ADV (Auftragsdatenverarbeitung) Vereinbarungen fragen, da diese zumindest nach der jetzigen Regelung das höchste Vertrauensniveau liefern. Anbieter die kein ADV bieten, wie viele US-Unternehmen, sollte ein Europäisches Unternehmen konsequent als Partner ausschließen und beispielsweise deutsche Anbieter nutzen. Unternehmen können sich so langfristig vor Datenschutzverstößen und deren Konsequenzen schützen. Sollte Privacy Shield in der Praxis die gleichen Schwächen aufweisen wie Safe Harbor – und das steht zu befürchten – ist es eine Frage der Zeit, wann die nächste Klage eingereicht wird. Auch wenn Unternehmen derzeit wieder aufatmen können, sollten sie sich überlegen, inwieweit sie bestimmte Daten US-amerikanischen Cloud-oder Softwareanbietern anvertrauen. Ob E-Mail Provider, Cloud-Dienste oder Datenanalyse – es gibt fast kein Unternehmen, das interne Daten nicht an Provider und deren Server abgibt.«

5 Praxis-Tipps für Unternehmen:

  • Nachfragen, wo die Provider-Server angesiedelt sind.
  • Nach einer ADV (Auftragsdatenverarbeitung) beim Anbieter fragen.
  • Prüfen, welche Daten im Unternehmen sensibel sind und diese entsprechend Kategorisieren.
  • Personenbezogene Daten unternehmensintern verschlüsseln.
  • Bei hochsensiblen Daten ggf. auf Europäische oder deutsche Provider setzen, die keine Server in den USA unterhalten