Nachfolger von "Safe Harbor"

Erst 90 Registrierungen für den "Privacy Shield"

Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Der "Privacy Shield" soll die persönlichen Daten von EU-Bürgern auch auf US-Servern nach europäischem Datenschutzrecht schützen. Gerade einmal 90 amerikanische Unternehmen haben die Selbstverpflichtungserklärung jedoch bisher abgegeben - darunter Salesforce und Microsoft.

Als Nachfolgeregelung des gekippten "Safe Harbor"-Abkommens hatten sich Europäische Union und USA vor einigen Wochen auf den "Privacy Shield" geeinigt - nicht ohne kritische Nebengeräusche. Unternehmen, die die Regeln einhalten möchten, wurden aufgefordert, sich ab dem 1. August beim US-Handelsministerium zu registrieren. Bisher kamen dem gerade einmal 90 Firmen mit insgesamt 200 untergeordneten Geschäftseinheiten auf formal korrekte Weise nach - auf die Einhaltung von "Safe Harbor" hatten sich bis zu dessen gerichtlich veranlassten Aus im vergangenen Jahr 5534 Unternehmen verpflichtet.

Der EU-US-"Privacy Shield" ist bisher keine Erfolgsgeschichte.
Der EU-US-"Privacy Shield" ist bisher keine Erfolgsgeschichte.
Foto: Ton Snoei - shutterstock.com

Die beiden bisher größten Unternehmen, die dem "Privacy Shield"-Abkommen beigetreten sind, sind Microsoft und Salesforce. Microsoft verspricht die Einhaltung des "Privacy Shield" neben seiner US-Hauptniederlassung auch für alle seine Abteilungen in der Karibik und Indien - für den (Technik-)Lizenzbereich sowie die Bereiche Mobile und Online. Umfasst von Microsofts Erklärung sind auch zahlreiche in den vergangenen Jahren aufgekaufte Unternehmen wie Acompli (mobile Outlook-Clients), Blue Stripe Software (Cloud-Management), Double Labs (Android Lock-Screen), Equivio (E-Discovery), FieldOne Systems (Dynamics CRM), Incet Games (Sales Gamification), MetricsHub (Cloud-Monitoring), Paratures (Self-Service-Kundenportale), Revolution Analytics (Big Data Analytics), Sunrise Atelier (Kalender-App), Vexcel (Online-Maps) und VoloMetrix (Analytics).

Die Selbstverpflichtung von Salesforce sieht hingegen einfacher aus: Sie umfasst lediglich "Salesforce.com und seine US-Niederlassungen".

Laute Kritik

Genau wie sein Vorgänger basiert auch der "Privacy Shield" ausschließlich auf einem Selbstverpflichtungsprozess seitens der Wirtschaft. Nach Eingang der Registrierung prüft die Behörde nur, ob die Formulare korrekt ausgefüllt werden - eine Prüfung, ob alle Regeln auch tatsächlich eingehalten werden, gibt es nicht.

Kritiker gehen auch deshalb davon aus, dass auch die neue Vereinbarung wieder vor dem Europäischen Gerichtshof (EuGH) zu Fall gebracht wird. Ein weiterer Grund ist, dass den US-Geheimdiensten der Zugriff auf die persönlichen Daten von EU-Bürgern unter bestimmten Voraussetzungen weiterhin erlaubt ist.