Dass zu diesem Zeitpunkt noch nichts Schriftliches vorlag, sondern auf die Aushandlung der konkreten Vertragsinhalte in den kommenden Wochen verwiesen wurde, nährte das Misstrauen zusätzlich. Knapp vier Wochen später, am 29. Februar, hat die EU-Kommission den Entwurf zu "Privacy Shield" nunmehr in Schriftform veröffentlicht. Im Anhang des Entwurfs befinden sich auch mehrere Schreiben verschiedener US-Behörden. Die "Artikel-29-Datenschutzgruppe" der europäischen Datenschützer analysiert den Entwurf aktuell eingehend und gibt danach ihre Stellungnahme ab. Ohne dem vorgreifen zu wollen, lässt sich aber schon jetzt ein erstes Fazit ziehen.
Foto: symbiot - shutterstock.com
Die Geschichte hinter Safe Harbor
Um Privacy Shield verstehen zu können, gehen wir zunächst einen Schritt zurück und rufen uns die Geschichte des Vorgängers noch einmal in Erinnerung. Gemäß der Artikel 25 und 26 der Europäischen Datenschutzrichtlinie ist ein Datentransfer personenbezogener Daten (PBD) in Drittstaaten, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen, seit Inkrafttreten der Datenschutzrichtlinie im Jahr 1995 verboten. Da es in den USA zu diesem Zeitpunkt keine dem europäischen Standard entsprechenden umfassenden gesetzlichen Regelungen zum Datenschutz gab (woran sich bis heute nicht viel geändert hat), galt dies eben auch für die USA.
- Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps. - Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden. - "Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können. - Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor. - Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können. - Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.
Nun fand aber bereits in den 1990er Jahren ein reger Datenaustausch zwischen der EU und den USA statt - auch von PBD; vornehmlich in eine Richtung, nämlich von der EU in die USA. Der Grund: Bereits damals saßen die maßgeblichen Big Player des Internets mit ihren angebotenen Dienstleistungen in den USA. Auch besteht traditionell ein intensiver Handel zwischen dem europäischen und dem nordamerikanischen Kontinent, der mit dem Siegeszug der IT zunehmend von einem elektronischen Datenaustausch begleitet wurde. Rein wirtschaftlich gesehen stellte der Datenschutz hier ein Hemmnis dar - sowohl aus der Sicht amerikanischer als auch europäischer Unternehmen.
Mit Geburtsfehlern behaftet und schlecht gelebt
Nun sieht Art. 25 Abs. 6 der Datenschutzrichtlinie vor, dass die Kommission der Europäischen Gemeinschaft die Angemessenheit des Datenschutzes in einem Drittland feststellen kann, sofern er bestimmte Anforderungen erfüllt. Genau dieser Weg wurde im Jahre 2000 von der Kommission mit dem "Safe Harbor"-Abkommen gewählt, um europäischen Unternehmen weiterhin einen bequemen und rechtssicheren Datenaustausch sowie eine Nutzung entsprechender Dienstleistungen US-amerikanischer Anbieter zu ermöglichen. Auf US-Seite bestanden ohnehin von vornherein nur rein wirtschaftliche Interessen. Das primäre Ziel von "Safe Harbor" war also nicht der möglichst hochwertige Schutz von PBD, sondern die Schaffung eines bequemen, wenig aufwändigen und trotzdem rechtssicheren Datenaustauschs. Deswegen wurde "Safe Harbor" auch von Beginn an von europäischen Datenschützern auf Grund seiner relativ laschen Vorgaben kritisiert.
Auch die praktische Anwendung - sei es die mangelhafte Aktualisierung der in der "Safe Harbor"-Liste geführten US-amerikanischen Unternehmen oder die nicht durchgeführten oder mangelhaften Überprüfungen - trug nicht dazu bei, das Vertrauen in diese Regelung zu steigern. Gleichwohl war dies den meisten Unternehmen beiderseits des Atlantiks weitgehend egal, was nicht verwundert, wenn man sich anschaut, welchen generellen Stellenwert der Schutz von PBD in vielen europäischen Firmen auch heute noch hat.
Safe Harbors Ende
Seit 2000 ist der Austausch von PBD geradezu explodiert. Man denke nur an Google, Facebook, Twitter oder die zahlreichen Cloud-Angebote, also oftmals Unternehmen, deren Geschäftszweck gerade der Handel oder die Auswertung von PBD ist. Seit den Anschlägen vom 11. September 2001 hat die Überwachung sämtlicher Datenflüsse in den USA nochmals einen ganz anderen Stellenwert erreicht - Stichwort Patriot Act und Homeland Security. Nicht zuletzt veranlassten diese Entwicklungen den "Düsseldorfer Kreis" im April 2010, einen Beschluss zu fassen, der die deutschen Unternehmen bei der Übermittlung von PBD in die USA mehr in die Pflicht nahm. Aber dies war nur der Versuch, etwas zu retten, was eigentlich nicht mehr zu retten war.
Der Todesstoß für "Safe Harbor" war die Veröffentlichung der Aktivitäten US-amerikanischer Geheimdienste durch Edward Snowden im Jahr 2013. Das Urteil des Europäischen Gerichtshofs im Oktober letzten Jahres bestätigte eigentlich nur noch, was seitdem nicht mehr zu kaschieren war: dass zwischen den Einstellungen zum Thema Datenschutz zwischen der Alten und der Neuen Welt mehr als nur ein Ozean liegt.