Safe Harbor: Eine schrittweise Annäherung

Autor/Redakteur: Michael Hack, Senior Vice President of EMEA Operations bei Ipswitch/gg

Im Oktober hat der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen zwischen den USA und der EU, das Unternehmen eine einfache Möglichkeit zum Austausch von Daten bot, für ungültig erklärt. Die seit 15 Jahren bestehende Regelung wurde als direkte Folge der Anfechtungsklage des österreichischen Jurastudenten Max Schrems aufgehoben. Die von Unternehmen wie Google oder Facebook gesammelten Nutzerdaten seien in den USA nicht ausreichend geschützt, da US-Behörden und -Geheimdienste darauf Zugriff hätten, befanden die Richter des EuGH.

Dafür, dass Schrems den Kampf mit scheinbar unangreifbaren Technologieunternehmen aufgenommen und einen Sieg für die Rechte von Benutzern davongetragen hat, erntete er viel Beifall, insbesondere von Edward Snowden, der mit seinen Enthüllungen über die Online-Überwachung der EU durch den US-Geheimdienst als Erster für transatlantische Spannungen gesorgt hatte. Der EuGH-Beschluss mag zunächst überrascht haben, passt jedoch in das jüngste Vorgehen der Verschärfung von Datenschutzbestimmungen seitens der EU.

Die Datenschutzgesetze der USA sind weitaus weniger streng als die der EU. Bislang stellte Safe Harbor einen Rahmen für eine Kompromisslösung zwischen US- und EU-Datenschutzverfahren dar. Seit 2000 ermöglichte Safe Harbor in den USA ansässigen Unternehmen die Übertragung von Daten europäischer Bürger in die USA, sofern dabei die Datenschutzvorschriften der EU eingehalten wurden. Dazu genügte es, eine Erklärung zu unterzeichnen, mit der das Unternehmen die europäischen Vorschriften für die Datenverarbeitung anerkennt. Mit seinem Urteil setzt der EuGH jedoch das deutliche Signal, dass Datenschutzrechte von Benutzern gesetzlich verankert werden müssen, statt praktisch der Selbstzertifizierung überlassen zu werden. Unternehmen auf beiden Seiten des Atlantiks sind nunmehr dazu angehalten, ihre Methoden zur Sammlung, Speicherung, Verarbeitung und Übertragung von Daten bezüglich EU-Bürgern einer Prüfung unterziehen.

Was bedeutet das für Unternehmen?

Etwa die Hälfte aller Daten weltweit wird zwischen Europa und den USA ausgetauscht. Unternehmen, bei denen die uneingeschränkte Datenübertragung zwischen der EU und den USA Grundlage zahlreicher Geschäftsprozesse ist, zum Beispiel Cloud-Dienstleister, werden sich auf Veränderungen einstellen müssen. Doch auch weltweit tätige Einzelhändler mit Käufern in der EU sowie sämtliche US-Unternehmen, die personenbezogene Daten von EU-Bürgern verwalten und verarbeiten, sind davon betroffen.

Datenschutzbeauftragte in weltweit tätigen Unternehmen suchen nun nach Möglichkeiten, sich auf strengere Datenschutzverordnungen einzustellen. Noch ist nicht klar, welche Verordnung Safe Harbor ersetzen und welche Bestimmungen sie enthalten wird. Doch es ist abzusehen, dass die Bereitstellung von Daten und Dienstleistungen über Kontinente hinweg sich schwieriger gestalten und Auswirkungen auf das laufende Geschäft mit sich bringen wird. Es versteht sich von selbst, dass der Schutz von Benutzerdaten von großer Bedeutung ist und ein grundlegendes Recht sein sollte. Doch die Entscheidung des EuGH betrifft nicht nur Facebook und Google, bei denen davon auszugehen ist, dass sie über genügend Kapazitäten verfügen, um umgehend adäquate Maßnahmen zu ergreifen. Auch kleine und mittelständische Unternehmen könnten von dieser Regelung betroffen sein und würden von neuen Datenschutzauflagen womöglich deutlich empfindlicher getroffen.

Welche Regelungen bestehen außerdem?

Die Europäische Union hat deutlich gemacht, dass sie dem Datenschutz einen bedeutenden Stellenwert einräumt. Dies zeigt sich auch in der geplanten Einführung einer einheitlichen Datenschutzrichtlinie für die Europäische Union. Die endgültige Fassung der Datenschutz-Grundverordnung (DSGV) wird derzeit noch verhandelt und ist derzeit für Ende des Jahres angestrebt.

Eine kürzlich von Ipswitch durchgeführte europaweite Umfrage unter 300 Führungskräften in der Unternehmens-IT zeigte, dass Unternehmen zwar Maßnahmen zur Vorbereitung ergreifen, dies jedoch ein langsamer Prozess ist. Seit fast vier Jahren wird über die DSGV beraten. Trotzdem ergab die Befragung vom September 2015, dass jedes fünfte befragte Unternehmen noch immer keine Vorstellung davon hat, ob sie von den Veränderungen betroffen sein werden, obwohl sie angaben, personenbezogene Daten zu speichern und zu verarbeiten. 69 Prozent der befragten Unternehmen waren der Ansicht, dass sie in Technologien investieren müssen, die sie bei der Verarbeitung und Speicherung von Daten im Einklang mit den neuen Vorschriften unterstützen.