Nachfolger von "Safe Harbor"

Erst 90 Registrierungen für den "Privacy Shield"

Simon verantwortet auf Computerwoche online redaktionell leitend überwiegend alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz. Er entwickelt darüber hinaus innovative Darstellungsformate, beschäftigt sich besonders gerne mit Datenanalyse und -visualisierung und steht für Reportagen und Interviews vor der Kamera. Außerdem betreut der studierte Media Producer den täglichen Früh-Newsletter der Computerwoche. Aufgaben in der Traffic- und Keyword-Analyse, dem Content Management sowie die inoffizielle Funktion "redaktioneller Fußballexperte" runden sein Profil ab.
Der "Privacy Shield" soll die persönlichen Daten von EU-Bürgern auch auf US-Servern nach europäischem Datenschutzrecht schützen. Gerade einmal 90 amerikanische Unternehmen haben die Selbstverpflichtungserklärung jedoch bisher abgegeben - darunter Salesforce und Microsoft.

Als Nachfolgeregelung des gekippten "Safe Harbor"-Abkommens hatten sich Europäische Union und USA vor einigen Wochen auf den "Privacy Shield" geeinigt - nicht ohne kritische Nebengeräusche. Unternehmen, die die Regeln einhalten möchten, wurden aufgefordert, sich ab dem 1. August beim US-Handelsministerium zu registrieren. Bisher kamen dem gerade einmal 90 Firmen mit insgesamt 200 untergeordneten Geschäftseinheiten auf formal korrekte Weise nach - auf die Einhaltung von "Safe Harbor" hatten sich bis zu dessen gerichtlich veranlassten Aus im vergangenen Jahr 5534 Unternehmen verpflichtet.

Der EU-US-"Privacy Shield" ist bisher keine Erfolgsgeschichte.
Der EU-US-"Privacy Shield" ist bisher keine Erfolgsgeschichte.
Foto: Ton Snoei - shutterstock.com

Die beiden bisher größten Unternehmen, die dem "Privacy Shield"-Abkommen beigetreten sind, sind Microsoft und Salesforce. Microsoft verspricht die Einhaltung des "Privacy Shield" neben seiner US-Hauptniederlassung auch für alle seine Abteilungen in der Karibik und Indien - für den (Technik-)Lizenzbereich sowie die Bereiche Mobile und Online. Umfasst von Microsofts Erklärung sind auch zahlreiche in den vergangenen Jahren aufgekaufte Unternehmen wie Acompli (mobile Outlook-Clients), Blue Stripe Software (Cloud-Management), Double Labs (Android Lock-Screen), Equivio (E-Discovery), FieldOne Systems (Dynamics CRM), Incet Games (Sales Gamification), MetricsHub (Cloud-Monitoring), Paratures (Self-Service-Kundenportale), Revolution Analytics (Big Data Analytics), Sunrise Atelier (Kalender-App), Vexcel (Online-Maps) und VoloMetrix (Analytics).

Die Selbstverpflichtung von Salesforce sieht hingegen einfacher aus: Sie umfasst lediglich "Salesforce.com und seine US-Niederlassungen".

Laute Kritik

Genau wie sein Vorgänger basiert auch der "Privacy Shield" ausschließlich auf einem Selbstverpflichtungsprozess seitens der Wirtschaft. Nach Eingang der Registrierung prüft die Behörde nur, ob die Formulare korrekt ausgefüllt werden - eine Prüfung, ob alle Regeln auch tatsächlich eingehalten werden, gibt es nicht.

Kritiker gehen auch deshalb davon aus, dass auch die neue Vereinbarung wieder vor dem Europäischen Gerichtshof (EuGH) zu Fall gebracht wird. Ein weiterer Grund ist, dass den US-Geheimdiensten der Zugriff auf die persönlichen Daten von EU-Bürgern unter bestimmten Voraussetzungen weiterhin erlaubt ist.