Das Ende von Safe Harbor – was ist zu tun?

Dieser Artikel ist auch als PDF Dokument erhältlich.

Mit der Aufkündigung des Safe Harbor Prinzips durch das EuGH Urteil vom 6.10.2015 wird  die Rechtslage vor allem für die europäischen Nutzer amerikanischer IT-Anbieter ungemütlich, da die Weitergabe von Personendaten an US-Anbieter de facto ab sofort verboten ist. Weitere Informationen und detaillierte Schlussfolgerungen zur Entwicklung finden Sie u.a. hier.

Der Entscheid trifft jedoch nicht nur die Kunden, sondern auch die internationalen Anbieter mit US-Herkunft. Microsoft kämpft derzeit in zweiter Instanz gegen den amerikanischen Staat. Es geht um die Herausgabe von Daten auf Servern, die in Irland stehen und auf welche die amerikanischen Strafverfolger gerne Zugriff hätten (und derzeit auch schon haben, da die US-amerikanischen Behörden insbesondere mit dem Patriot Act die nationale Legislative über europäisches und damit auch Schweizer Recht stellen) . Microsoft hat den erstinstanzlichen Entscheid weiter gezogen, der die Herausgabe forderte. Es ist damit zu rechnen, dass auch der nächste Entscheid weitergezogen wird, was bedeutet, dass die amerikanischen Unternehmen frühestens in zwei Jahren wissen, wie sich die Rechtslage tatsächlich präsentiert.

Was sind die Auswirkungen auf die Schweiz?

Im Rahmen der Anerkennnung als sicherer Drittstaat im Sinne der EU-Datenschutzbestimmungen, was die Voraussetzung für ungehinderten Datenverkehr zwischen der EU und der Schweiz ist, hat die Schweiz sich dem von der EU-Kommission und dem amerikanischen Handelsministerium entwickelten Safe Harbor Prinzip angeschlossen. Jetzt zieht der EuGH den Stecker, zeigt der EU-Kommission damit die rote Karte, weil die Kommission laut EuGH gar nicht berechtigt war, solche grundrechtsbeeinflussenden Verträge abzuschliessen. Das betrifft die Schweiz direkt und kann sehr unangenehme Konsequenzen haben (Mitteilungen des Eidg. Datenschutzbeauftragten).

Denn sollte Safe Harbor durch die Schweiz nicht ebenfalls gekündigt werden, droht

1. dass die EU den Status der Schweiz als sichereres Drittland aufhebt, da mit der Weiterführung von Safe Harbor die Schweiz nicht mehr als ein Staat betrachtet werden kann, dem ein der EU oder dem europäischem Wirtschaftsraum gleichwertiges Datenschutzniveau bescheinigt wird;
2. es ist sogar so, dass die Schweiz damit datenschutzrechtlich auf das Niveau eines Entwickungslandes herabgesetzt wird, weil ja jeder weiss, dass in der Schweiz Safe Harbor wirksam ist und deshalb nicht mehr der Vorgabe der EU entspricht, dass die Grundsätze des Datenschutzrechts der EU durch rechtliche Standards garantiert sein müssen.

In den EU-Staaten ist dies grundsätzlich gegeben, wogegen die Schweiz als Nicht-EU-Staat sich erst einmal wieder an die EU – Vorgaben anpassen muss.

Die Frage ist: Wie geht man damit um?

Gibt es internationale Abkommen?

Damit ist kurzfristig nicht zu rechnen. Da die Geheimdienste involviert sind, ist eher mit einer Balkanisierung des Internets zu rechnen als mit einem internationalen Abkommen.

Was bedeutet diese Entwicklung für internationale Konzern oder Unternehmen, die mit den Amerikanern Daten austauschen?

Safe Harbor und ähnliche Vereinbarungen sind rein rechtliche Konstrukte, die es ermöglichen, mittels der Selbstdeklaration einen Freibrief zu erhalten, um Daten zu exportieren. Dieser Freibrief ist in der Fachwelt aber schon lange als vermeintlich beschrieben worden, weil technische und organisatorische Schutzfunktionen dabei unter den Tisch gekehrt wurden,. Es ging vorrangig um wirtschaftliche Interessen, die von der EU-Kommission mit Safe Harbor unterstützt wurden, was der EuGH nunmehr als unverträglich mit den Grundrechten der EU-Bürger aufgehoben hat.

Es hat sich nicht geändert, dass Sie direkt verantwortlich für den Umgang mit Daten aus Ihrem Unternehmen, v.a. aber von Daten Ihrer Kunden sind. Die Technik ist dieselbe, nur das Mäntelchen des sicheren Hafens gibt es jetzt nicht mehr. Als VR haften Sie direkt nach OR 716, sollten Daten ohne die notwendigen Absicherungen an US-Anbieter übertragen werden.

Es ist zwingend, dass Sie gründlich abklären, ob sie betroffen sind.

Es mag in Einzelfällen vorkommen, dass man nicht weiss, ob Anbieter in den USA speichern, was bei den meisten Cloud Diensten der Fall ist. Aber alleine schon aus der Perspektive des gesunden Menschenverstandes dürfte es schwerfallen, einer Prüfungsinstanz zu erklären, man hätte nicht gewusst, dass Daten in den USA gepeichert werden. Bei Anbietern wie Microsoft, Apple, Orace oder Adobe wird es keinen Zweifel daran geben, dass Ihnen die Speicherung Ihrer Unternehmensdaten in USA bekannt war!

Was müssen Sie tun?

Sie müssen nun eine aktive  Strategie zur Behandlung dieser (und anderer Daten) entwickeln. Das Safe Harbor Prinzip hatte den Vorteil, dass eine einfache Vertragsklausel genügte. Das ist jetzt vorbei.

Sie müssen zumindest die folgenden Fragen beantworten können:

• Wo sind unsere Daten gespeichert?
• Wer ist dafür verantwortlich? Wem gehören die Daten?
• Nach welchen Regeln wurden diese Daten erhoben?
• Welche Verträge haben Sie mit Ihren Kunden/Lieferanten/Mitarbeitern?
• Wer hat die Daten erhoben und wurden sie weitergegeben?
• Welche Sicherheitsmassnahmen sind aktiv?
• Welche Neurisiken entstehen aus der aktuellen Situation?
• Stimmen Sicherheits- und Datenschutzkonzepte überein? Gibt es überhaupt ein Datenschutzkonzept?
• Ergänzen sich Datenschutzmassnahmen und technische Sicherheitsmassnahmen?
• Geht es um Funktionsübertragung oder Auftragsdatenbearbeitung und welche Kontrollen sind implementiert?
• Haben unsere Mitarbeiter Kundendaten in die Cloud gestellt?
• Haben wir die Kontrolle über mobile Endgeräte und darauf verwendete Apps?
• Ist die IT noch in der Lage Verantwortung für die zentrale sowie dezentrale IT-Landschaft zu tragen?

Sie benötigen Unterstützung?

Das KRM und Mission 100 bieten eine kombiniertes Beratungspaket zur Bewältigung dieser Herausforderung. Wir beraten Sie umfassend und entwickeln Lösungsstrategien zur Bewältigung der aktuellen Situation. Mit unserem 5-Stufen Plan können Sie sich dem Thema umfassend und systematisch annehmen:

Stufe 1: Identifikation kritischer Anbieter und US-Cloud Dienste mit hohen Risiken an Hand unserer Checkliste

Stufe 2: Entwicklung der Sofortmassnahmen zur Behandlung der identifizierten Hauptrisiken. Dies beinhaltet sowohl vertragliche wie auch technische Massnahmen und IKS-Verfahren

Stufe 3: Umsetzung der Sofortmassnahmen

Stufe 4: Analyse der weiteren Datenhaltungen und Massnahmenentwicklung

Stufe 5: Umsetzung der Folgemassnahmen

Stufe 6: Umsetzungsbegleitung und Risiko-Monitoring

MISSION 100 e.V:

MISSION 100 steht für 100 % Informationssicherheit und Datenschutz. Ein Ideal, das dynamisch ist und stetigen Veränderungen unterliegt, die Sie selbst definieren. Ihre Anforderung ist unsere Mission.

Wir sind ein internationales Team von langjährig erfahrenen Experten im Bereich Datenschutz und Informationssicherheitsmanagement, das es gewohnt ist, kundenspezifisch zu arbeiten. Risikomanagement steht hierbei im Vordergrund, was hier bedeutet, nicht aufzulisten, welche Standards, Normen und Vorschriften einzuhalten sind, sondern Lösungen anzubieten, um Systeme und Daten zu beherrschen und den Anforderungen internationaler Systemumgebungen gerecht zu werden. Die Technik ist überall auf der Welt die Gleiche, aber viele Länder haben ihre eigenen Bestimmungen, wie damit umzugehen ist. Wir zeigen auf, wie, beraten in der Umsetzung, und verschaffen unseren Kunden die Sicherheit, ihr System (wieder) zu beherrschen. Insbesondere dann, wenn gesetzliche Widersprüche eine kompliante Systemlandschaft unmöglich erscheinen lassen.

Wir unterstützen Sie auch mit unserem internationalem Netzwerk und Partnern in den USA.