Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Safe Harbor – doch nicht safe
Datenübermittlungen von personenbezogenen Daten bei Cloud-Dienstleistungen oder sozialen Medien etc. durch Firmen aus den USA gelten nun als nicht mit der Europäischen Datenschutzrichtline vereinbar.
Zahlreiche IT-Unternehmen bieten Cloud-Dienstleistungen an. Werden bei diesen Diensten personenbezogene Daten übermittelt, ist innerhalb der EU die geltende Datenschutzrichtline anzuwenden. Dies gilt aufgrund der Daten in besonderer Weise für Soziale Medien.
Für die Übermittlung in die USA gab es bisher das so genannte Safe Harbor Abkommen. Für weitere Staaten, die über kein Datenschutzniveau nach europäischem Vorbild verfügen, gibt es keine separaten Regelungen.
„Bei Safe Harbor (Sicherer Hafen) handelt es sich um eine zwischen der EU (Europäischen Union) und den USA (Vereinigte Staaten von Amerika) im Jahre 2000 getroffene Vereinbarung, die gewährleistet, dass personenbezogene Daten legal in die USA übermittelt werden können, obwohl es dort keine umfassenden gesetzlichen Regelungen zum Datenschutz gibt. Die Lösung zur Überbrückung der Defizite im Datenschutzniveau bestand in der Selbstverpflichtung der US-Unternehmen auf 7 Prinzipien und 15 FAQs“ .Eine Überprüfung durch eine unabhängige Aufsichtsbehörde findet nicht statt.
Rechtliche Grauzone
Jahrelang wurde diese Regelung zudem überschattet von dem in 2001 erlassenen Patriot Act, der US-Behörden den Zugriff auf Daten von US-Unternehmen ermöglicht. In der gängigen Praxis wurden damit auch Daten von deutschen Tochter-Unternehmen eingefordert. Darüber hinaus wird, wegen Unzulänglichkeiten in der Umsetzung, von den deutschen Datenschutz-Aufsichtsbehörden auf die Prüfpflicht der verantwortlichen Stelle hingewiesen. Grundsätzlich müssen Verträge daher auch Aspekte der Datenerhebung, ‑verarbeitung oder weitergabe etc. umfassen.
Rechtlich sauber schien jedoch bereits derjenige, der dann auf die Einhaltung gesetzlicher Regelungen und der bisher bei Safe Harbor auf die Selbstverpflichtung vertraut, es sei denn es liegen bereits Informationen zu Verstößen vor. So zumindest die Interpretation der Irischen Datenschützer.
Konsequenzen der Entscheidung
In einem aktuellen Urteil wurde nun vom Europäischen Gerichtshof in Luxemburg das Safe Harbor Abkommen für ungültig erklärt.
Die Auswirkungen dürften weitreichend sein.
Es geht nicht nur um Verträge mit US-Firmen oder deren Töchtern, bei denen nun eine wesentliche rechtliche Anforderung nicht erfüllt wird.
Das Brisante an der Entscheidung ist, dass im Vorfeld die Aufsichtsbehörden in Irland der Entscheidung der Kommission scheinbar eine rechtliche Bindung unterstellt haben: Durch die Definition „Safe Harbor“ sei eine Prüfung nicht nötig. „So urteilt der EuGH, dass die Europäische Kommission die Befugnisse nationaler Datenschutzbehörden “weder beseitigen noch auch nur beschränken kann”.
„Die Richter gehen aber noch weiter: Sie haben der EU-Kommission enge Vorgaben dafür gemacht, unter welchen Umständen sie den Datentransfer wieder erlauben kann. Erst wenn die Amerikaner den Datenschutz auf europäisches Niveau heben und den Zugriff der Dienste auf die Daten stark einschränken, darf die Behörde die Vereinigten Staaten wieder zum sicheren Hafen für EU-Daten erklären.“Es ist allerdings unbestritten, dass die Unternehmen der USA uns technisch um mehr als eine Nasenlänge voraus sind. Durch die Verquickung unserer Wirtschaft mit IT-Angeboten aus den USA werden wir die wirtschaftlichen Folgen sicher bald spüren. Ebenso klar ist, dass sich die USA von der EU weder das Datenschutzniveau diktieren lassen werden, noch die Form der (digitalen) Zusammenarbeit. Demzufolge werden die Spannungen auch an anderer Stelle der Wirtschaft zu spüren sein.
Fazit:
Es ist meines Erachtens mehr als peinlich, wenn aus den Reihen der Vertreter des Volkes Kommissionen gebildet werden, die geltende Grundrechte für ihre Bürger missachten. Ebenso untragbar ist das Verhalten von Datenschutz-Aufsichts-Behörden, sich vor dem Hintergrund eines Abkommens einfach als nicht zuständig erklären.
Es bleibt zudem spannend: gerade kleinere Unternehmen stehen nun vor der Frage, ob ihre Geschäftsmodelle noch Zukunft haben. Natürlich kann man es auch darauf ankommen lassen — bei Safe Harbor genügte jedoch die Klage einer einzelnen Person, um eine EU-Vereinbarung aufzulösen. Und: Auch wenn das mögliche Strafmaß bei Verstößen gegen den Datenschutz meist nicht ausgeschöpft wird, kann es doch zu empfindlichen Sanktionen führen.
Was die Herausforderungen für die politischen Verhandlungen betrifft, schließe ich mich der Meinung auf www.faz.net an: „Die EU darf den Datenschutz nicht dem Wirtschaftswachstum opfern. Wenn sie den Wachstumsmotor Internet abwürgt, ist aber auch niemandem geholfen.“
Für mich stellt sich damit für die Zukunft weniger die Frage, wie wir die Zusammenarbeit richten, als die, warum wir nicht mehr unternehmen, um diese Abhängigkeiten zu vermeiden.
Bild: © Hartmut910 / pixelio.de
Ein Kommentar zu Safe Harbor – doch nicht safe
Schreiben Sie einen Kommentar
Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unterschiedliche DATEV IT-Lösungen. Nach seinem Studium zum Informatik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kommunikation zu Sicherheitsthemen und die übergreifende Vermarktung der entsprechenden Sicherheitsprodukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicherheitsthemen im Unternehmensalltag” tätig; seine Spezialität sind Vorträge mit Live-Demos und –Hacking.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Wie wichtig ist uns der Datenschutz
Guten Tag,
vielen Dank für diesen interessanten Artikel. Wer Datenschutz wirklich ernst nimmt kann doch auf Cloud-Lösungen zurückgreifen, die in deutschen Rechenzentren nach deutschem Datenschutzrecht gehosted werden. Einen lesenswerten Artikel zu diesem Thema habe ich hier gefunden: https://www.cojama-hosting.com/blog/safe-harbor-abkommen-durch-eugh-gekippt-was-jetzt/
Wie Sie bereits schreiben, stellt sich die Sachlage für Unternehmen, die im Social Media-Umfeld tätig sind, durchaus schwierig dar. Hier ist man auf die großen Player aus den USA angewiesen. Doch warum eigentlich? Wo bleibt hier der große Pioniergeist deutscher Unternehmen? Bei Social Media hat man ja geradezu kapituliert. Zugegeben: Die Ausgangslage war nicht schlecht, bevor Facebook den heimischen Social Media-Markt an sich gerissen hat. Es hängt also auch viel mit den deutschen Konsumenten zusammen, die amerikanische Angebote gerne als “hipper” ansehen. Vielleicht findet ja irgendwann auch hier ein Umdenken statt, schließlich ist nicht alles war aus Amerika kommt gleich besser. Russland mit VK und Yandex und China mit Alibaba machen es vor, dass eigene Lösungen für Social Media und Suchmaschinen durchaus erfolgreich seien können. Safe Harbor könnte auch in Deutschland ein Startschuss für heimische Unternehmen bedeutet. Es bedarf nur etwas frischen Mutes. Ich bin sehr gespannt.
Beste Grüße,
Holger Thomen