Transfer von Daten über Kontinente hinweg

Aktuell: EU-US-Transfer von Daten

Der Transfer der EU-Daten in die Server der IT-Unternehmen aus USA ist wieder geregelt. Irgendwie. Denn seit 1. August gilt der Privacy Shield. Die Vereinbarung soll die Datenübermittlung zwischen EU und USA regulieren und ist eigentlich dafür vorgesehen, Rechtssicherheit zu schaffen. Unternehmen haben die Möglichkeit, sich im US-Handelsministerium für den Nachfolger des vom Europäischen Gerichtshof (EuGH) gekippten Safe-Harbor-Abkommens registrieren zu lassen. Dazu müssen sie die geforderten Datenschutzstandards erfüllen und diese Erfüllung dem Ministerium gegenüber bestätigen.

Bisher sind allerdings noch nicht viele Unternehmen auf der Webseite des US-Handelsministeriums gelistet. Größen wie Microsoft, CA Technologies und Workday sollen sich bereits am ersten Tag registriert haben, Google und IBM kündigten ebenfalls eine Registrierung an. Dennoch hält sich der Ansturm auf die Teilnehmerlisten in Grenzen – und das trotz Druck seitens der Wirtschaftsverbände.

Der Grund dürfte sein, dass Datenschützer das EU-US-Schutzschild heftig kritisieren. Da die US-Überwachungs-Maschinerie auch weiterhin keinesfalls vor EU-Daten halt macht, bleibt der Transfer der Daten ihrer Meinung nach bedenklich. Sie haben weitere Klagen vor dem EuGH angekündigt, wollen sich allerdings ein Jahr zur Beobachtung gönnen.

Nicht so Hamburgs Datenschutzbeauftragter Johannes Caspar. Er will den EuGH bereits jetzt schon anrufen. Max Schrems, der Jurist wegen dessen Klage das Safe Harbor Abkommen überhaupt erst für ungültig erklärt wurde, sagt, die neue Vereinbarung sei auf Druck der Vereinigten Staaten und der IT-Industrie entstanden „und nicht durch rationale oder vernünftige Überlegungen“. Er hält es für sehr wahrscheinlich, dass die Vereinbarung wieder gerichtlich gestoppt wird, was global tätigen Unternehmen neuerliche Rechtsunsicherheit bescheren würde.

Transfer Ratgeber für Beschwerden

Um genau diesen Unsicherheiten zu begegnen, hat die EU-Kommission einen Ratgeber für Beschwerden veröffentlicht. Er soll helfen, sich gegen ungerechtfertigte Datenübertragung zu wehren. Darin finden sich geeignete Handlungsanweisungen für den Fall, dass Betroffene für die eigenen Rechte einstehen müssen. Will man die Verpflichtungen des Privacy Shields einfordern,

  • sollte sich im Idealfall das Unternehmen um die Beschwerde und Lösung des Problems kümmern
  • können Betroffene ein „kostenloses Verfahren der alternativen Streitbeilegung“ einleiten
  • können Betroffene nationale Datenschutzbehörden als Schlichtstelle anrufen
  • kann als letzter Ausweg ein Schiedsverfahren eingeleitet werden

Für europäische Datenschutzbehörden gelten diese Rechtshilfemittel immer noch als zu schwach. Auch eingedenk dessen, dass EU-Daten besonders die US-Behörden interessieren – und diese per Gesetz Einblick nehmen dürfen.

Daher gilt vorerst noch: Rechtssicherheit mag der Datenschutzschild zwar gewähren, doch steht diese auf tönernen Beinen. Zweifel  sind also berechtigt – mindestens noch bis der EUGh ein Urteil fällt.

Nachtrag

Der Freedom of Information Act (FOIA) ist ein US-Gesetz. Es gibt jedem das Recht, Zugang zu Dokumenten von staatlichen Behörden zu verlangen. Das gilt jetzt auch für EU-Bürger. Was tatsächlich passiert, wenn ein europäischer Nutzer wissen will, welche Daten die US-Behörden von ihm besitzen? Der Datenschutzaktivist Schrems belegt es mit diesem Tweet:

Die durchschnittliche Frist, um eine Anfrage zu bearbeiten, beläuft sich auf 12+ Monate.

Will also ein Unternehmen gemäß der Privacy Shield Vereinbarung ein Verfahren zur Streitbeilegung einleiten, kann es sein, dass es lange dauert, bis Beweise für das Abfassen von Daten vorliegen.

Wer muss noch einmal die Beweisführung antreten, dass Daten überhaupt gesammelt wurden?

Tipp für Unternehmen: Kümmern Sie sich um einen rechtssicheren Dienst! Was Sie dabei beachten sollten, zeigen wir Ihnen in dieser Checkliste.