Safe Harbor: Unternehmen wechseln besser

EU-US-Privacy Shield: Den Datenschutzschild, den die EU-Kommission als rechtliches Nachfolgeabkommen von Safe Harbor ausgehandelt hat, betrachten Datenschützer kritisch. Max Schrems und die Initiative “Europe versus Facebook”, auf deren Klage das EuGH-Urteil zurückzuführen ist, bewerten die neue Regelung bereits als „unzureichend“.  Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar analysiert auf heise online, ob das Privacy Shield tatsächlich die rechtsichere Nachfolge von Safe Harbor antreten kann.

Peter Schaars Empfehlung: Weiter warten.

Was bisher zum Privacy Shield durchgesickert ist

  1. Das US-Handelsministerium soll jene Firmen, die Daten aus Europa verarbeiten, überwachen. Wer sich nicht an Standards halte, dem würden Sanktionen bis hin zu einer Streichung von der Liste drohen.
  2. Ein Ombudsmann sollte die EU-Unternehmen vertreten. US-Außenminister John Kerry müsse da allerdings noch zusichern, dass dieser Ombudsmann unabhängig von den US-Geheimdiensten sein würde.
  3. Das Datenschutzniveau in den USA soll zudem regelmäßig überprüft werden.

Dass die EU versucht, Datenschutzgarantien von den USA zu bekommen, die sicherstellen, dass das Regelwerk nicht erneut von einem Gericht gekippt wird, kann angenommen werden. Allerdings gibt es bei all diesen Ankündigungen einen Schwachpunkt: Bisher hält sich die US-Regierung mit Zugeständnissen zurück. Die Zugriffe der dortigen Behörden auf die Daten von ausländischen Bürgern – und damit auch EU-Bürgern – bleiben rechtlich möglich. Dies aber war die Hauptursache des EuGh-Urteils.

Die EU hat für den derzeitigen Stand der EU-Datenschutz-Grundverordnung nahezu zehn Jahre gebraucht. Es dürfte unwahrscheinlich sein, dass die US-Behörden bei gesetzgebenden Maßnahmen wesentlich schneller sind.

EuGh-Urteil zu Safe Harbor verunsichert Unternehmen

16. 10. 2015: Das Safe Harbor Urteil „hat wie eine Bombe eingeschlagen“, meinte Monika Kuschewsky, Rechtsberaterin in der Anwaltsfirma Covington & Burling in Brüssel, als US-Medien sie zum Safe-Harbor-Urteilsspruch des Europäischen Gerichtshofs (EuGH) fragten. „Das höchste Gericht der Europäischen Union (EU) hat tausenden Firmen den Boden unter den Füßen weggezogen, die sich auf das Abkommen verlassen haben.“ Alle diese Unternehmen müssten nun alternative Wege für ihren Datentransfer in die USA finden – und das über Nacht.

Die fieberhafte Suche nach praktikablen Lösungswegen ist bereits in vollem Gange. Einen sieht man in international einheitlichen Regelungen zum Datenschutz auf hohem Niveau. „Vor allem bräuchten Unternehmen schnellstmöglich Rechtssicherheit“, fordert zum Beispiel der Branchenverband BITKOM. Diese müssten nämlich wissen, auf welche rechtliche Grundlagen sie zukünftig bauen können und wie viel Zeit sie für die Umstellung auf andere Rechtsgrundlagen haben. Diese Sichtweise hat jedoch einen Haken: Rechtliche Regelungen brauchen Zeit – und wie Kuschewsky bereits indirekt erwähnte, müssen Unternehmen, die bisher mit US-Dienstleistern gearbeitet haben, praktisch über Nacht Ersatz für die bislang nützliche Illusion eines sicheren Hafens finden.

So behalten Unternehmen das Vertrauen ihrer Kunden

  • Eines darf man bei all den Vorschlägen nicht übersehen: Es geht um Grundsätzliches. Das EuGH-Urteil hat sich der Ansicht angeschlossen, dass die Daten der europäischen Bürger in den USA nicht ausreichend geschützt sind.
  • Die USA wahren das Recht auf Privatsphäre bei ausländischen Bürgern nicht, das im Grundrecht moderner Demokratien verankert ist.
  • Kunden aus Europa verlieren zunehmend das Vertrauen in Unternehmen, die ihre Daten an einen US-Dienst auslagern und verarbeiten lassen.

Deshalb haben die großen IT-Firmen Amerikas schon längst Rechenzentren in Europa gebaut: Google in Finnland und Irland, das Unternehmen vergrößert einen Datenspeicher in Belgien, ein weiterer in den Niederlanden ist in Bau. Auch Microsoft hat mehrere Rechenzentren und Apple speichert künftig Daten in Dänemark und Irland. Selbst Amazon hat in Frankfurt einige Hundert Server aufgestellt. So können diese Firmen auf das EuGH-Urteil mit dem Argument reagieren, dass die bei ihnen gelagerten, europäischen Daten auch in Europa bleiben.

Tobias Neufeld, ein Experte für Datenschutz bei der internationalen Kanzlei Allen & Overy, hegt allerdings wie viele seiner Fachkollegen berechtigte Zweifel, dass sich die US-Konzerne mit dem Hinweis auf neue Datenschutzbestimmungen und bilaterale Abkommen herausreden können, wenn amerikanische Richter, Behörden oder Geheimdienste tatsächlich Auskunft verlangen.

Aus diesem Grund sollten vorausschauende Firmen eher einen Wechsel des Dienst-Anbieters in Erwägung ziehen, als zu hoffen, dass sich rechtlich etwas ändere, oder darauf zu vertrauen, dass die Daten in Europa gespeichert bleiben. Denn die Datenunsicherheit besteht schon bei den alltäglichsten Online-Angeboten, die längst entsprechende Anwendungen aus Europa haben: E-Mail-Diensten, CRM-, File-Sharing-Systemen oder Collaboration Tools.

Wie sehen datenschutzkonforme Dienste aus?

Den Unternehmen muss hierzulande zweierlei klar sein.

  1. dass sie die Verantwortung für die personenbezogenen Daten behalten, auch wenn sie deren Verarbeitung auslagern (Auftragsdatenverarbeitung).
  2. dass sie etliche Sicherheitsaspekte zu berücksichtigen haben und ihre Kontrollpflichten wahrnehmen müssen.
  3. Sie müssen genauestens prüfen, wie mit den personenbezogenen Daten bei Dienstleistern umgegangen wird und ob die Sicherheitsbestimmungen eingehalten werden.
  4. dass sie auch diejenigen sind, denen der Kunde sofort das Vertrauen entzieht, wenn er seine Belange missachtet sieht. Vertrauensverlust ist aus diesem Grund gleichbedeutend mit Geschäftsverlust.

Firmen können sich bei der Auswahl des passenden Dienstes heute sogar auf bereits vorhandene Standards verlassen – IT-Sicherheitsexperten entwickeln in Deutschland seit einigen Jahren Kataloge und Zertifikate, um Dienste und Technologien bewerten, die personenbezogene Daten so schützen, dass die Bürgerrechte möglichst umfassend gewahrt bleiben, also die Datenschutzgesetze ernst nehmen:

  1. Der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) hat einen Maßnahmenkatalog erstellt, mit dem Unternehmen ihre IT-Systeme zuverlässig vor digitalen Angriffen schützen können. Die IT-Grundschutz-Kataloge empfehlen organisatorische, technische, personelle und infrastrukturelle Maßnahmen, die grundlegend für die Sicherheit aller IT-Systeme sind.
  2. Das Zertifikat des BSI-Grundschutzes bewertet Dienste nach IT-Sicherheitsrichtlinien. Online-Angebote, die nach diesem zertifiziert sind, beachten die aufgelisteten Empfehlungen der BSI-Grundschutz-Kataloge. Allerdings muss ein Unternehmen gerade im Falle des Schutzes von personenbezogenen Daten noch weitere Sicherheitsmaßnahmen beachten.
  3. Um einen datenschutzkonformen Dienst zu finden, eignen sich besonders die Schutzklassen des Trusted Cloud Datenschutz Profils (TCDP). Sie definieren die Datenschutz-Anforderungen für die jeweiligen Schutzkategorien äußerst genau. Somit können Unternehmen schnell einen Dienst auswählen, der zu jenem Grad an Sicherheit passt, den sie für ihre Daten benötigen. Ab 2016 werden die ersten Dienste danach zertifiziert, zurzeit läuft eine Pilotzertifizierung. Eines lässt sich aber schon jetzt zusammenfassend sagen: Durch die massenhafte und anlasslose Speicherung der Daten verstoßen US-amerikanische Dienste gegen mindestens eine Anforderung der niedrigsten Schutzklasse des TCDPs. Daher dürfte unter dem Aspekt der Vertrauensbildung für jene europäischen Unternehmen, die bisher mit US-Plattformen gearbeitet haben, ein Wechsel des IT-Dienstleisters unumgänglich sein.
  4. Das Europäische Datenschutz-Gütesiegel „EuropPriSe“ vom Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein zertifiziert ebenfalls datenschutzkonforme IT-Produkte und IT-basierte Dienste auf der Grundlage des europäischen Datenschutzrechts.

Es ist Unternehmen daher durchaus möglich, datenschutzkonforme Anwendungen zu finden und sich für eine passende zu entscheiden. Bleibt nach dem Safe Harbor Debakel nur noch die Frage übrig: Wie wichtig ist ihnen das Vertrauen der Kunden?

Was das Urteil konkret bedeutet

EuGh-Urteil erklärt Safe Harbor Abkommen für ungültig06. 10. 2015: Für Datenschützer und IT-Sicherheitsexperten war Safe Harbor ein stetes Ärgernis. Nun ist offiziell, was sie schon lange vermuteten: Der Europäische Gerichtshof (EuGH) erklärt das Safe Harbor Abkommen für ungültig. Damit folgte das Gericht seinem Generalanwalt, der die Daten europäischer Nutzer in den Vereinigten Staaten für nicht sicher erklärte, und rügt die EU-Kommission. Diese hätte die Befugnisse der nationalen Datenschutzbehörden nicht beschränken dürfen, indem sie erlaubte, personenbezogene Daten europäischer Nutzer in die USA zu übermitteln. Denn diese seien dort nicht ausreichend vor dem Zugriff der Behörden geschützt.

Das Urteil bedeutet allerdings nicht, dass die Bürger sich jetzt beruhigt zurücklehnen können. Im Gegenteil: Die Übertragung personenbezogener Daten wird für Konzerne wie Facebook von Rechts wegen zwar deutlich erschwert, aber die Verantwortung für die Daten könnte Richtung Nutzer umgelenkt werden. Als Lösung sind zum Beispiel Opt-In Verfahren möglich: Dann muss der User der Übermittlung extra zustimmen. Wie bei den Allgemeinen Geschäftsbedingungen (AGB) zu sehen ist, ist das nicht unbedingt zielführend. Viele stimmen den AGBs unbesehen zu und sind sich der Konsequenzen nicht bewusst. „Ach, was soll’s“, ist vermutlich einer der häufigsten Gedankensplitter, wenn es um die Datenschutzbestimmungen geht. Die Firmen müssten User schon vorab über den genauen Verwendungszweck ihrer Daten aufklären – einfach, augenfällig und warnend. Am besten auch noch darüber, wie weit die Datenverarbeitung tatsächlich reicht. Damit erst dürfte Nutzern klar werden, wie ihr verständlicher Wunsch nach Bequemlichkeit mit einem Grundwert ihres Lebens kollidiert.

Konsequenzen für US-Dienstleister

Über 4400 US-Firmen, meist Dienstleister und darunter natürlich die erfolgreichsten Online-Plattformen, haben sich für eine Datenübermittlung nach «Safe Harbor» registriert. Sie haben sich auf der dafür vorgesehenen Liste des US-Handelsministeriums eintragen lassen und sich selbst verpflichtet, die Grundsätze des sicheren Hafens (Safe Harbor Principles) und die entsprechenden, verbindlichen Richtlinien zu befolgen. Unklar ist, wie viele davon sich nur auf das Safe Harbor Abkommen verließen.

Manche – vor allem große Unternehmen – haben eigene Rechenzentren in Europa, andere haben extra Verträge ausgehandelt. Die europäische Tochter von Facebook zum Beispiel hat einen Vertrag mit Irland abgeschlossen, der sich an die irländische Datenschutz-Verordnung hält. Die EuGH-Richter schreiben in ihrem Urteil jetzt der irischen Datenschutz-Behörde vor, zu prüfen, ob die Übermittlung der Informationen von Facebook-Nutzern in die USA gestoppt werden müsse, weil dort die Daten nicht ausreichend geschützt seien. Unmittelbarer Anlass für das EuGH-Urteil war ja die Klage des österreichischen Juristen Max Schrems gegen Facebook.

Generell gehen Experten jedoch davon aus, dass auf kleinere US-Unternehmen jetzt ein zusätzlicher Aufwand zukommt, um den Datentransfer rechtlich abzusichern. Denkbar ist, dass sie künftig einer Nachweispflicht unterliegen, wo und wie Daten verarbeitet werden. Zusätzliche zudem zusätzliche Kosten entstehen, etwa für neue Rechenzentren in der EU. Eine andere Möglichkeit für sie ist es, die Einwilligung der Dienstnutzer selbst einzuholen. Eine solche Einwilligung ist rechtlich allerdings nur dann wirksam, wenn sie vollständig informiert, freiwillig und formell richtig erfolgt.

Darauf müssen europäische Unternehmen achten

Für die Nutzer – jene Unternehmen, die sich der US-Online-Dienstleistungen bedienen – bedeutet der Fall des Safe Harbor Abkommens, dass sie rechtlich belangt werden können, wenn sie personenbezogene Daten ihrer Kunden transferieren.

In Deutschland zum Beispiel müssen sie darauf achten, die deutschen Datenschutzgesetze einzuhalten und die sensiblen Kundendaten nicht nach Übersee zu transferieren. Es liegt ausdrücklich in der Verantwortung der Unternehmen, was mit den Daten passiert.

Das fängt schon mit E-Mail-Diensten für das Marketing an, betrifft das allgegenwärtige Customer Relationship Management (CRM) oder File-Sharing-Systeme. Im Regelfall macht man sich strafbar, sobald man personenbezogene Daten der Kunden weitergibt.

Für jene Unternehmen, die Datenschutz seit jeher ernst nehmen, ändert sich jedoch kaum etwas. Sie arbeiten mit Online-Anbietern, in Sachen Datensicherheit versiert sind:

  1. Da wissen sie, dass diese Dienste möglichst viel selbst hosten und zwar in Rechenzentren in Deutschland: etwa die Website, den Blog, den Dienst.
  2. Sie erfüllen im Falle einer Auftragsdatenverarbeitung die erforderlichen Kontrollpflichten, so dass sie jederzeit wissen, wer wie mit den Daten umgeht.
  3. Diese Unternehmen vertrauen ausschließlich Diensten, die mindestens den Datenschutz-Anforderungen entsprechen, welche sie zum Schutz ihrer Daten (Schutzbedarf) ermittelt haben.

Wie sich solche Dienste finden lassen? Diese Checkliste behandelt wichtige Themen, die Sie bei der Einführung eines Cloud Services beachten sollten.