DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Safe Harbor – doch nicht safe

Daten­über­mitt­lungen von per­so­nen­be­zo­genen Daten bei Cloud-Dienst­­leis­­tungen oder sozialen Medien etc. durch Firmen aus den USA gelten nun als nicht mit der Euro­päi­schen Daten­schutz­richtline ver­einbar.

 

 

Zahl­reiche IT-Unter­­nehmen bieten Cloud-Dienst­­leis­­tungen an. Werden bei diesen Diensten per­so­nen­be­zogene Daten über­mittelt, ist innerhalb der EU die gel­tende Daten­schutz­richtline anzu­wenden. Dies gilt auf­grund der Daten in beson­derer Weise für Soziale Medien.

Für die Über­mittlung in die USA gab es bisher das so genannte Safe Harbor Abkommen. Für weitere Staaten, die über kein Daten­schutz­niveau nach euro­päi­schem Vorbild ver­fügen, gibt es keine sepa­raten Rege­lungen.
 
„Bei Safe Harbor (Sicherer Hafen) handelt es sich um eine zwi­schen der EU (Euro­päi­schen Union) und den USA (Ver­ei­nigte Staaten von Amerika) im Jahre 2000 getroffene Ver­ein­barung, die gewähr­leistet, dass per­so­nen­be­zogene Daten legal in die USA über­mittelt werden können, obwohl es dort keine umfas­senden gesetz­lichen Rege­lungen zum Daten­schutz gibt. Die Lösung zur Über­brü­ckung der Defizite im Daten­schutz­niveau bestand in der Selbst­ver­pflichtung der US-Unter­­nehmen auf 7 Prin­zipien und 15 FAQs“ .Eine Über­prüfung durch eine unab­hängige Auf­sichts­be­hörde findet nicht statt.

Recht­liche Grauzone
Jah­relang wurde diese Regelung zudem über­schattet von dem in 2001 erlas­senen Patriot Act, der US-Behörden den Zugriff auf Daten von US-Unter­­nehmen ermög­licht. In der gän­gigen Praxis wurden damit auch Daten von deut­schen Tochter-Unter­­nehmen ein­ge­fordert. Darüber hinaus wird, wegen Unzu­läng­lich­keiten in der Umsetzung, von den deut­schen Daten­­schutz-Auf­­­sichts­­be­­hörden auf die Prüf­pflicht der ver­ant­wort­lichen Stelle hin­ge­wiesen. Grund­sätzlich müssen Ver­träge daher auch Aspekte der Daten­er­hebung, ‑ver­ar­beitung oder  wei­tergabe etc. umfassen.

Rechtlich sauber schien jedoch bereits der­jenige, der dann auf die Ein­haltung gesetz­licher Rege­lungen und der bisher bei Safe Harbor auf die Selbst­ver­pflichtung ver­traut, es sei denn es liegen bereits Infor­ma­tionen zu Ver­stößen vor. So zumindest die Inter­pre­tation der Iri­schen Daten­schützer.

Kon­se­quenzen der Ent­scheidung
In einem aktu­ellen Urteil wurde nun vom Euro­päi­schen Gerichtshof in Luxemburg das Safe Harbor Abkommen für ungültig erklärt.
Die Aus­wir­kungen dürften weit­rei­chend sein.
Es geht nicht nur um Ver­träge mit US-Firmen oder deren Töchtern, bei denen nun eine wesent­liche recht­liche Anfor­derung nicht erfüllt wird.
 
Das Bri­sante an der Ent­scheidung ist, dass im Vorfeld die Auf­sichts­be­hörden in Irland der Ent­scheidung der Kom­mission scheinbar eine recht­liche Bindung unter­stellt haben: Durch die Defi­nition „Safe Harbor“ sei eine Prüfung nicht nötig. „So urteilt der EuGH, dass die Euro­päische Kom­mission die Befug­nisse natio­naler Daten­schutz­be­hörden “weder besei­tigen noch auch nur beschränken kann”.
„Die Richter gehen aber noch weiter: Sie haben der EU-Kom­­mission enge Vor­gaben dafür gemacht, unter welchen Umständen sie den Daten­transfer wieder erlauben kann. Erst wenn die Ame­ri­kaner den Daten­schutz auf euro­päi­sches Niveau heben und den Zugriff der Dienste auf die Daten stark ein­schränken, darf die Behörde die Ver­ei­nigten Staaten wieder zum sicheren Hafen für EU-Daten erklären.“Es ist aller­dings unbe­stritten, dass die Unter­nehmen der USA uns tech­nisch um mehr als eine Nasen­länge voraus sind. Durch die Ver­qui­ckung unserer Wirt­schaft mit IT-Ange­­boten aus den USA werden wir die wirt­schaft­lichen Folgen sicher bald spüren. Ebenso klar ist, dass sich die USA von der EU weder das Daten­schutz­niveau dik­tieren lassen werden, noch die Form der (digi­talen) Zusam­men­arbeit. Dem­zu­folge werden die Span­nungen auch an anderer Stelle der Wirt­schaft zu spüren sein.

Fazit:
Es ist meines Erachtens mehr als peinlich, wenn aus den Reihen der Ver­treter des Volkes Kom­mis­sionen gebildet werden, die gel­tende Grund­rechte für ihre Bürger miss­achten. Ebenso untragbar ist das Ver­halten von Daten­­schutz-Auf­­­sichts-Behörden, sich vor dem Hin­ter­grund eines Abkommens einfach als nicht zuständig erklären.
Es bleibt zudem spannend: gerade kleinere Unter­nehmen stehen nun vor der Frage, ob ihre Geschäfts­mo­delle noch Zukunft haben. Natürlich kann man es auch darauf ankommen lassen — bei Safe Harbor genügte jedoch die Klage einer ein­zelnen Person, um eine EU-Ver­­ein­­barung auf­zu­lösen. Und: Auch wenn das mög­liche Strafmaß  bei Ver­stößen gegen den Daten­schutz meist nicht aus­ge­schöpft wird, kann es doch zu emp­find­lichen Sank­tionen führen.
Was die Her­aus­for­de­rungen für die poli­ti­schen Ver­hand­lungen betrifft, schließe ich mich der Meinung auf www.faz.net  an: „Die EU darf den Daten­schutz nicht dem Wirt­schafts­wachstum opfern. Wenn sie den Wachs­tums­motor Internet abwürgt, ist aber auch nie­mandem geholfen.“
Für mich stellt sich damit  für die Zukunft weniger die Frage, wie wir die Zusam­men­arbeit richten, als die, warum wir nicht mehr unter­nehmen, um diese Abhän­gig­keiten zu ver­meiden.

Bild: © Hartmut910 / pixelio.de

 

Ein Kommentar zu Safe Harbor – doch nicht safe

  • Holger Thomen sagt:

    Wie wichtig ist uns der Daten­schutz
    Guten Tag,
    vielen Dank für diesen inter­es­santen Artikel. Wer Daten­schutz wirklich ernst nimmt kann doch auf Cloud-Lösungen zurück­greifen, die in deut­schen Rechen­zentren nach deut­schem Daten­schutz­recht gehosted werden. Einen lesens­werten Artikel zu diesem Thema habe ich hier gefunden: https://www.cojama-hosting.com/blog/safe-harbor-abkommen-durch-eugh-gekippt-was-jetzt/
    Wie Sie bereits schreiben, stellt sich die Sachlage für Unter­nehmen, die im Social Media-Umfeld tätig sind, durchaus schwierig dar. Hier ist man auf die großen Player aus den USA ange­wiesen. Doch warum eigentlich? Wo bleibt hier der große Pio­nier­geist deut­scher Unter­nehmen? Bei Social Media hat man ja geradezu kapi­tu­liert. Zuge­geben: Die Aus­gangslage war nicht schlecht, bevor Facebook den hei­mi­schen Social Media-Markt an sich gerissen hat. Es hängt also auch viel mit den deut­schen Kon­su­menten zusammen, die ame­ri­ka­nische Angebote gerne als “hipper” ansehen. Viel­leicht findet ja irgendwann auch hier ein Umdenken statt, schließlich ist nicht alles war aus Amerika kommt gleich besser. Russland mit VK und Yandex und China mit Alibaba machen es vor, dass eigene Lösungen für Social Media und Such­ma­schinen durchaus erfolg­reich seien können. Safe Harbor könnte auch in Deutschland ein Start­schuss für hei­mische Unter­nehmen bedeutet. Es bedarf nur etwas fri­schen Mutes. Ich bin sehr gespannt.

    Beste Grüße,

    Holger Thomen

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.