Das grüne Licht für den Nachfolger von Safe Harbor leuchtet noch immer nicht – was sollten Unternehmen nun beachten? Ein Kommentar von Malte Pollmann, CEO des IT-Sicherheitsspezialisten Utimaco.
Der Artikel-31-Ausschuss, der sich aus Vertretern der EU-Mitgliedstaaten zusammensetzt, sollte am 19. Mai über die Angemessenheit der Datenschutzbestimmungen in den USA entscheiden. Doch die Regierungsvertreter konnten sich nicht einigen, ob das Datenschutzniveau in den USA inklusive seiner lokalen Rechtsvorschriften mit dem in der EU vergleichbar ist. Dieser Angemessenheitsbeschluss ist allerdings die Voraussetzung für das „Privacy Shield“. Das Abkommen soll „Safe Harbor“ ablösen und den Austausch personenbezogener Daten zwischen der EU und den USA regeln.
Klagewelle droht
Wird über die Angemessenheit des Datenschutzes in den Medien diskutiert, steht dabei der Verbraucherschutz bei Facebook, Google und jeder anderen transatlantischen Datenübertragung im Vordergrund. Dabei gerät schnell aus dem Blick, dass Unternehmen im Sinne der Schadens- und Haftungsbegrenzung gerade stehen müssen, wenn ein illegaler Zugriff auf ihre IP- und Kundendaten erfolgt. Die bisherigen Bemühungen zeigen, wie unvereinbar die Datenschutzansätze dies- und jenseits des Atlantik sind. Zugriffsrechte und -möglichkeiten für amerikanische Geheimdienste stehen den europäischen Vorgaben zum Schutz der Privatsphäre und Daten entgegen. Das öffnet Tür und Tor für Unternehmenskunden zu klagen. Die Praxis von NSA und Co. untergräbt die wesentlichen Grundpfeiler der europäischen Datenschutzgrundverordnung: Diese verbindet Datensparsamkeit mit der ausgesprochenen Pflicht zur Einwilligung und strikten Zweckbindung.
Dies wirkt sich nicht nur im Übermitteln und Speichern von Konsumenten-bezogenen Daten aus, sondern wird bereits heute in der Kooperation zwischen der amerikanisch-dominierten Vereinigung „Industrial Internet Consortium“ und der deutsch-europäisch fokussierten „Plattform Industrie 4.0“ kontrovers diskutiert. Denn für die mittelbar generierten Daten im sogenannten „Internet-of-Things“ muss die Rechtsprechung auf beiden Seiten regeln, inwieweit hier ebenfalls eine sichere Datenübermittlung geboten ist. Lassen sich doch gerade aus automatisch generierten Daten von Maschinen, Robotern und alltäglichen Devices immer auch Rückschlüsse auf das Verhalten der Anwender sowie das geistige Eigentum der Hersteller ziehen.
Das Schutzschild an der Datenquelle positionieren
Selbstverständlich sind auf beiden Seiten des Atlantiks moderne Datenzentren gut gesichert – mit Backups, Leitungsverschlüsselung, einer Menge Cyber- und physischer Sicherheit. Dies trägt jedoch nur wenig zur professionellen Datensicherheit bei, solange sowohl unberechtigte IT-Administratoren als auch Geheimdienste auf diese Daten zugreifen und für ihre Zwecke missbrauchen können. Lokale Gesetze legitimieren deren Vorgehen bisher. Den Schaden – und die Haftung – muss derjenige tragen, der diese Daten angenommen und unverschlüsselt auf den Cloud-Dienst übertragen hat. Verschlüsselung so nah wie möglich an der Datenquelle ist daher notwendig. Unternehmen können ihren eigenen Schutzschild schmieden, im dem sie auf Hardware-basierte Sicherheitselemente wie Smartcards, Token und Hardware-Sicherheitsmodule an der Infrastrukturbasis setzen. Firmen behalten so die permanente Datenhoheit und können trotzdem die Skalierungs- und Redundanzvorteile einer weltweiten Cloud-Architektur nutzen. Und das zählt im Wettbewerb, der keine Pause macht – nur weil sich die Politik nicht einigt. Zumal im Augenblick nicht klar ist, wann der Safe-Harbor-Nachfolger kommt und ob er es überhaupt durchs EU-Parlament schafft. Auch wenn der Vertrag alle Hürden nimmt, so kann ihn der Europäische Gerichtshof dennoch scheitern lassen.