Smart contracts und Blockchain – Das neue Internet der Verträge?
5. Oktober 2015Das Ende von Safe Harbor – was ist zu tun?
13. Oktober 2015Das Ende des Safe Harbour (oder der Hafen, der nicht safe war)
Wir vernehmen mit Erstaunen, dass der EuGH dem Freipass Safe Harbour die Legitimation entzogen hat. Was an Daten im letzten Jahrzehnt unter dem Deckmantel des „gleichwertigen Schutzes“ in die USA wanderten, dürfte jeden Rahmen sprengen. Doch was können wir uns davon versprechen? Eine genaue Analyse bietet sich an, ebensosehr aber eine kritische Auseinandersetzung mit dem Grundkonzept Datenschutz. Sind wir mit der geplanten EU Verordnung zum Datenschutz auf dem richtigen Weg? Sollte man nicht eher darauf achten, dass der Datenschutz der gelebten Realität entspricht, d.h. dass 90% der Bevölkerung selbst ihre privatesten Informationen freiwillig in den Rachen der Datenlöwen schmeissen? Hat Jaron Lanier recht, wenn er sagt, dass Sirenen-Server bereits heute die Welt beherrschen und wir eigentlich nur noch am Arm der Datenkraken hängen?
1 Comment
Irgendein schlauer Kopf hat mal gesagt, dass man politische Dinge kompliziert gestalten muss, um damit erfolgreich zu sein. Mit anderen Worten: Wenn man verhindern möchte, dass Leute Dinge hinterfragen, dann müssen sie kompliziert und zeitaufwendig sein. Das ist meiner bescheidenen Meinung nach der hauptsächliche Grund, weshalb Milliarden Menschen Facebook nutzen, ohne zu fragen, was mit den Daten geschieht. Oder hat schon mal jemand, der nicht im Datenschutz bewandert ist, die AGB von Zuckerberg und Co. gelesen?
Mit Safe Harbor war es nicht anders. Man sucht nach einer Lösung für billige oder kostenlose IT-Lösungen (icloud?) und wird fündig, noch besser: Es ist auch legal. Was die Nutzer des Safe Harbor Zertifikats aber nicht hinterfragt haben, ist, wie es um die Verarbeitung von personenbezogenen Daten in den USA bestellt ist. Wer sich objektiv dem Thema schon in der Vergangenheit gewidmet hat, wird sich unweigerlich auch die Frage gestellt haben, wieso in den USA Datenschutz verstanden und praktiziert wird, wo das doch schon in Europa problematisch ist. Und das, wo es in Europa Gesetz gibt die in den USA nicht existieren…
Nun nicht mehr, aber das ändert nichts daran, dass die meisten Leute nicht verstanden haben, worum es bei Safe Harbor ging.
Das Datenaustauschabkommen Safe Harbor wird von europäischen Unternehmen seit 2000 als Rechtsgrundlage dann genutzt, wenn sie personenbezogene Daten in die USA transferieren. Voraussetzung ist die Unterwerfungserklärung des US-Unternehmens unter eine Version des EU-Datenschutzrechts. Der EuGH hat hierzu festgestellt: Der Gesetzgeber, nicht die EU-Kommission, sei befugt gewesen, solche Regelungen zu schaffen. Und der Datenschutz in den USA würde auch auf der Basis von Safe Harbor nicht hinreichend gewährleistet.
Was bedeutet das?
Für Facebook und andere, die sich in den „sicheren Hafen“ geflüchtet haben, unterliegt die Verarbeitung personenbezogener Daten aus der EU nicht länger der Vermutung, sie würden in Übereinstimmung mit dem EU-Datenschutzrecht verarbeitet (Art. 25 der EU-Datenschutzrichtlinie von 1995). Für den Datentransfer ist damit grundsätzlich eine Genehmigung durch die zuständigen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten erforderlich. Die Datenschutzbehörden erteilen diese Genehmigung aber nur dann, wenn ein angemessenes Datenschutzniveau gewährleistet ist. Wenn also ein Unternehmen aus Europa personenbezogene Daten (z.B. Mitarbeiterdaten, Daten von Lieferanten, Kunden und deren Ansprechpartner) in die USA transferiert, (z. B. Mitarbeiterdaten werden von einer Konzernmutter/Konzernschwester verwaltet, IP-Telefonate, Virtual Storage, Archiving, Hosting, Office in der Cloud, Webservices u.ä. werden über einen Dienstleister in den USA umgesetzt), kann dieser Transfer nicht mehr auf die Rechtsgrundlage Safe Harbor gestützt werden.
Was ist zu tun?
Die EUGH-Entscheidung gilt sofort. Zwar ist das Urteil nur zwischen dem Österreicher Schrems und dem irischen Datenschutzbeauftragten ergangen. Doch die Erklärung der Nichtigkeit von Rechtsakten, hier der Safe Harbor-Vereinbarung, gilt gegenüber jedermann. D.h., Datentransfers auf der Basis von Safe Harbor sind mit Rechtskraft des EuGH-Urteils rechtswidrig, sofern keine andere Rechtsgrundlage (wie z.B. die Standardvertragsklauseln) vorliegt. Die formalen Pflichten werden damit erheblich aufwendiger. Es gilt also, zeitnah eine Bestandsaufnahme zu machen und Alternativen zu ermitteln.
Vor allem vom Vorgehen und den Sanktionen der Aufsichtsbehörden hängt es weiterhin ab, wie sich die Unternehmen positionieren müssen. Ein Abwarten auf den Gesetzgeber und ein neues Abkommen dürfte zu lange dauern, um die Geschäftsleitung von einer Haftung freizustellen. Soweit also Unternehmen noch nicht damit begonnen haben, ist eine Umstellung auf die sogenannten Standardvertragsklauseln zu erwägen. Aber auch hierbei ist Vorsicht geboten. Das „angemessene Schutzniveau“ ist auch bei den Standardklauseln nicht zwingend gegeben. Die Frage hierbei ist nämlich, warum ein US-Unternehmen die Klauseln als Rechtsakt der EU respektieren sollte, wenn dies bei Safe Harbor auch nicht funktioniert hat.
Allerdings gibt es die Klauseln noch und solange der EuGH diese nicht ebenfalls für nichtig erklärt, ist das ein gangbarer Weg. Die bessere Alternative ist sicherlich das Bewusstsein, alles Notwendige zu tun, um stets „Herr der Daten“ zu sein und zu bleiben. Das geht z.B. nicht über Vertrauen in Auftragsdatenverarbeiter auf einem anderen Kontinent. Also steht zunächst die Standortwahl der Server und damit der Vertragspartner zur Disposition. Weiterhin kann man auch über technische Maßnahmen zur Datensicherung nachdenken. Anbei sei dazu erwähnt, dass Kryptographie von den Massenüberwachern nicht gerne gesehen wird, auch wenn sie als anerkannter Stand der Technik gilt. Aber das ist ja kompliziert…