Die Europäische Kommission hat das EU-US Privacy Shield formell zum 1. August 2016 verabschiedet. Ein kritischer Kommentar von Ulrich Parthier, Herausgeber it management und it security.
Safe Harbour ist Vergangenheit und das ist gut so. Zumindest in der Theorie, denn nach einer Klage gegen die Übermittlung von Daten in die USA durch das soziale Netzwerk Facebook erklärte der Europäische Gerichtshof das Safe-Harbor-Abkommen am 6. Oktober 2015 für ungültig. Die rechtliche Übergangsfrist endete am 30. April 2016, besteht es jedoch solange fort, bis die Verhandlungen zum Privacy-Shield-Abkommen zwischen den USA und der EU abgeschlossen sind.
Das scheint nun langsam Gestalt anzunehmen, hat doch jetzt die Europäische Kommission das EU-US Privacy Shield formell zum 1. August 2016 verabschiedet – die Übermittlung personenbezogener Daten in die USA ist für entsprechend zertifizierte Unternehmen nach europäischem Recht nun wieder legal. In der Zwischenzeit haben Unternehmen bereits andere legale Wege genutzt, um ihre personenbezogenen Daten in die USA zu übertragen. Dabei haben sie versucht, möglichen Konflikten mit der Entscheidung des vom Europäischen Gerichtshof für ungültig erklärten Safe Harbor 1.0-Urteils auszuweichen. Solche Ausweichlösungen umfassten von der EU vorgeschriebene Modell-Vertragsklauseln. Wenn Unternehmen nun bei solchen Klauseln bleiben, wird sich für sie nichts ändern. Sie können sie weiterhin für die globale Datenübertragung nutzen. Modell-Vertragsklauseln lassen sich für alle Arten von Datenübertragungen einsetzen, nicht nur für den Transfer von personenbezogenen Daten in die USA. Sie sind jedoch sehr pflegebedürftig.
Ideales Arbeitsfeld für Rechtsanwälte
So wie es momentan aussieht, bekommen die EU-Modellklauseln aber noch ihren großen Auftritt: Die Gerichte wurden dazu aufgerufen, die Gültigkeit der EU-Modellklauseln vor dem EuGH zu belegen. Die aktuelle Lage ändert sich laufend, ein ideales Arbeitsfeld für Rechtsanwälte.
Das Teilen von Daten kann nicht mehr als selbstverständlich betrachtet werden. Unternehmen und ihre Cloud-Anbieter sind mehr denn je für die Hoheit über ihre Daten verantwortlich. Diese Verantwortung wird nur dann weiter steigen, wenn die Datenschutzgrundverordnung (GDPR) in Kraft tritt und Unternehmen zwei Jahre Zeit haben, diese Richtlinien zu erfüllen. Die Strafen für Fehlverhalten sind bereits bekannt und werden streng an Unternehmen vollzogen, die sich nicht an die neue Datenschutzlandschaft anpassen.
Der derzeitige Entwurf von Privacy Shield basiert im Wesentlichen auf Briefen von Vertretern der US-Regierung. Diese enthalten schriftliche Zusagen über den Schutz von europäischen Daten in den USA. Lange genug haben die Amerikaner europäische Unternehmen systematisch ausspioniert ohne das die deutsche oder andere europäische Regierungen ihre Bürger geschützt hat. Nun soll die Spionage unter neuem Namen wiederbelebt werden. Ist das im Sinne von Unternehmen wie Bürgern? Zu befürchten ist, dass das Abkommen das Papier nicht wert ist, auf dem es gedruckt steht.
Viele Fragen sind nach wie vor offen
Der Großteil der EU-Staaten hat dennoch in einer selten dümmlichen Kombination von Gutgläubig- wie Blauäugigkeit seine Zustimmung zu einer überarbeiteten Version des transatlantischen Datenaustauschabkommens erteilt, doch viele Fragen sind nach wie vor offen: Wie werden europäische Daten in den USA genau geschützt und wer kontrolliert US-Unternehmen und deren Nachrichtendienste. Die Antwort: natürlich keiner.
Unternehmen, die personenbezogene Daten in die USA übermitteln wollen, könnte die Neuregelung zwar Rechtssicherheit bringen. Schließlich sind viele Unternehmen von der Safe-Harbor-Aufhebung betroffen: sei es durch den Einsatz von Social-Plugins auf einer Webseite, der Nutzung von Tools aus den USA zur Optimierung der Workflows oder zur Datenanalyse oder durch die Aufbewahrung von Kundendaten auf Servern in den USA. Ob das neue Abkommen nun einen Fortschritt in Richtung Datensicherheit und -schutz bringt, darf mehr als bezweifelt werden. In diesem Sinne kann man Anwender nur eine Empfehlung geben. Lassen Sie Ihre Daten da wo sie sicher sind, in Deutschland, auf deutschen Servern bei deutschen Unternehmen. That’s it!
Das könnte Sie ebenfalls interessieren:
Privacy Shield schafft Rechtssicherheit für Datentransfers
Kommentar: Der Brexit und die Folgen für die digitale Wirtschaft