EuGH-Urteil zu Safe Harbor: Den Daten ist das Gesetz egal
22.12.2015 von André Kiehne
Safe Harbor ist hinfällig, der EuGH hat das Datenschutzabkommen gekippt. Weil es aber keine Alternativen gibt, schafft das Urteil eine Lücke – und lässt Unternehmen ohne Rechtssicherheit stehen. EU und Bundesregierung müssen für klare Verhältnisse sorgen, um mühsam aufgebautes Vertrauen nicht zu gefährden.
Der Europäische Gerichtshof (EuGH) hat das Datenschutzabkommen Safe Harbor für ungültig erklärt – und eine Lösung ist noch immer nicht gefunden. Die 15 Jahre alte Vereinbarung zwischen den EU-Staaten und der USA wurde gekippt, weil nach Ansicht des Gerichts US-Gesetze im Zweifel immer Vorrang vor den Richtlinien des Abkommens haben und der Schutz personenbezogener Daten deshalb nicht gewährleistet ist. Was nun angesichts des NSA-Skandals auf den ersten Blick wie ein starkes europäisches Statement oder ein positives Signal für mehr Datenschutz aussieht, erweist sich auf den zweiten Blick schon heute als extrem problematisch für die Praxis der global agierenden deutschen Wirtschaft.
Der EuGH hat Safe Harbor gekippt - mit problematischen Folgen für die deutsche Wirtschaft. Foto: Jorg Hackemann - shutterstock.com
Datenaustausch mit den USA: Keine Rechtssicherheit
Zum einen beziehen sich die Richter in ihrem Urteilsspruch überhaupt nicht auf die Methoden der NSA oder auf die Ausspionierung von Datensätzen durch andere Geheimdienste, sondern lediglich auf den Patriot Act, der in den USA als höchster juristischer Standard alle anderen Regelungen außer Kraft setzen kann. Zweitens, und das ist der eigentliche Knackpunkt, hinterlässt die faktische Aufhebung des Abkommens ein Feld der Unsicherheit in der europäischen Unternehmenslandschaft. Denn die schnell formulierten Alternativen wie die sogenannten Standardvertragsklauseln oder die Binding Corporate Rules (BCR), die den Umgang mit personenbezogenen Daten in Drittländern regeln, greifen natürlich ebenso wenig, wenn der Patriot Act sie wie das Safe-Harbor-Abkommen aushebeln kann. Das hat zur Folge, dass es seit dem Urteil keine Rechtssicherheit für den Datenaustausch mit den USA mehr gibt.
Nun betrifft das Abkommen aber bei weitem nicht nur die gern zitierten Facebook-Daten deutscher Bürger, welche sich die NSA auf den US-Servern vornehmen kann. Die Tragweite ist von größerem Ausmaß. Hierzulande und in ganz Europa müssen Unternehmen die digitale Transformation schaffen. Der Weg in die Cloud ist für viele Unternehmen der erste Schritt dahin. Während früher sämtliche Daten im unternehmenseigenen Rechenzentrum gespeichert und verarbeitet wurden, passen sich die als zögerlich verschrienen deutschen Unternehmen dem dynamisch agierenden Wettbewerb an.
Was Unternehmen zur EU-Datenschutzreform beachten müssen
Was Unternehmen zur EU-Datenschutzreform beachten müssen Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps.
Einwilligung Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden.
"Recht auf Vergessen" Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können.
Technische und organisatorische Maßnahmen Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor.
Anzeige bei Verstößen Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können.
Umsetzung und Strafen Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.
Safe Harbor: Das Ende und die Folgen
Rechenleistung, Speicherkapazität und Software werden zunehmend als Dienstleistung bezogen. Und das verändert den Markt: Nicht die im eigenen Haus vorhandenen Technologien und das interne Know-how stellen das Differenzierungsmerkmal der Unternehmen dar, sondern die Art und Weise wie diese die Möglichkeiten der global verfügbaren, technologischen Ressourcen ausschöpfen. Dieser Umstand wirkt sich auf sämtliche Unternehmensbereiche aus, der Geschäftserfolg steht und fällt mit der Fähigkeit Silostrukturen aufzubrechen, das eigene Angebot durch globale Ressourcen zu optimieren und Prozesse agil und flexibel zu halten. Dafür braucht es dynamische IT-Infrastrukturen – und einen gigantischen Austausch an Daten.
Dieser Datenfluss wird nicht, wie das EuGH-Urteil vermuten lassen könnte, plötzlich unterbrochen. Der cloudbasierte weltweite Datenaustausch wird selbstverständlich auch weiterhin fortgesetzt, denn Daten kennen weder Grenzen noch Gesetze. Die einzige Folge ist, dass die Unternehmen für das Prozedere keine gültige Rechtsbasis mehr haben. Der Branchenverband Bitkom geht davon aus, dass große Unternehmen mitunter hunderte Verträge auf Basis von Safe Harbor abgeschlossen haben, die nun plötzlich hinfällig sind.
Cloud Computing im deutschen Mittelstand
Die Studienteilnehmer 222 Mittelständler nahmen an der Studie teil. Zwei Drittel davon planen mit allen Cloud-Modellen.
Teilnehmende Branchen Der größte Anteil der Teilnehmer kommt aus dem produzierenden Gewerbe.
Rolle der Cloud Die Zahl der "Cloud-Verweigerer" liegt heute bei nicht einmal mehr 15 Prozent.
Zukunft gehört Multi-Cloud-Umgebungen Die Zukunft liegt in Hybrid- und Multi-Cloud-Ansätzen.
Gründe für Cloud-Initiativen Die Kundenanforderungen lassen Mittelständlern keine Wahl: der Weg führt in die Cloud.
IT-Abteilung entscheidet IT-Abteilungen haben in Sachen Cloud den Hut auf. Doch kleine Mittelständler haben oft keine, dort entscheidet der Chef selbst.
Cloud-Anteil am IT-Budget Vier von fünf Mittelständlern investieren weniger als 30 Prozent ihres IT-Budgets in Cloud-Technologien.
Flexibilität ist Trumpf Anwender möchten flexibler und agiler werden. der Kostenaspekt ist nicht ganz so wichtig.
Immer noch Sicherheitssorgen Datensicherheit und Datenschutz bleiben die hemmenden Faktoren.
Sichtbare Fortschritte Die meisten Betriebe sind entweder in der konkreten Planungs- oder bereits in der Implementierungsphase.
Das wandert in die Cloud E-Mail und Collaboration sind die bevorzugten Cloud-Anwendungen.
Vorhandenes wird verlagert Am häufigsten werden bestehende Workloads migriert.
Offenheit ist Auswahlkriterium Ein Public-Cloud-Anbieter muss vor allem offen sein und Integrationsmöglichkeiten bieten.
Bevorzugte Anbieter AWS, Microsoft und SAP genießen die höchste Aufmerksamkeit im Mittelstand.
Cloud-Management Als Cloud-Management-Lösungen sind VMware-Lösungen besonders beliebt.
Verantwortung beim Provider Wer in die Public Cloud geht, sieht die Verantwortung für Betrieb und Sicherheit schwerpunktmäßig beim Anbieter.
Wann Externe ins Spiel kommen Integration, Betrieb und Architektur sind Themen, bei denen Mittelständler Hilfe suchen.
Wichtig: Skills und Projekterfahrung Cloud-Integratoren sollten gute Leute und Projekterfahrung haben.
Keine Alleingänge Anwender arbeiten mit Externen zusammen.
Rechtsstandard gesucht: EU & Bundesregierung müssen handeln
Verheerend ist vor allem, dass sich die EU und auch die Bundesregierung darauf verlassen haben, dass das Safe-Harbor-Abkommen Bestand hat. Gekippt von einem klagenden Studenten ist es mehr als peinlich, hier nicht für ausreichende Alternativen und ein Mindestmaß an Sicherheit gesorgt zu haben. Auch das seit längerem verhandelte Safe Harbor 2, das laut EU-Kommission bereits Anfang kommenden Jahres auf den Weg gebracht werden soll, ist eigentlich hinfällig, weil die Voraussetzungen nun andere sind. EU und Bundesregierung müssen schnellstmöglich dafür sorgen, dass ein Rechtsstandard hergestellt wird, der sowohl nationalen wie auch internationalen Anforderungen an den Datenschutz genügt – nicht nur wegen der Rechtssicherheit, sondern vor allem um Vertrauen aufzubauen. In Deutschland hat man gerade damit begonnen, die Skepsis gegenüber der Digitalisierung abzulegen und die Unternehmenstransformation anzupacken. Dieser mühsam erarbeitete Fortschritt im globalen Kampf um Marktanteile ist schnell dahin, wenn noch nicht einmal klar ist, dass sich ein Unternehmen auf bestehende Abmachungen verlassen kann. (fm)