FAQ

Alles zur geplanten EU-Datenschutzreform

14.04.2014
Von 


Simon Hülsbömer betreut als Senior Project Manager Research Studienprojekte in der IDG-Marktforschung. Zuvor verantwortete er als Program Manager die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT - inhaltlich ist er nach wie vor für das "Leadership Excellence Program" aktiv. Davor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.

Hat "Safe Harbor" noch eine Zukunft?

Mit dem "Safe Harbor"-Programm der EU sollen US-Unternehmen die Möglichkeit bekommen, im Rahmen der europäischen Datenschutzgesetze Geschäfte machen zu können. "Safe Harbor"-zertifizierten Firmen wurde nachgewiesen, dass sie personenbezogene Daten von EU-Bürgern gesetzeskonform erheben und verarbeiten. Safe Harbor fußt auf den sieben grundlegenden Prinzipien der europäischen Datenschutzrichtlinie von 1995:

  1. Information des Betroffenen

  2. Möglichkeit zum "Opt-out"

  3. Einschränkungen der Datenweitergabe

  4. Datensicherheit gewährleisten

  5. Datenintegrität wahren

  6. Zugriffsmöglichkeit für den Anwender auf seine hinterlegten Daten

  7. Aktive Durchsetzung des Datenschutzes seitens des Unternehmens

Eine Zertifizierung ist über ein Self-Assessment oder einen Drittprüfer möglich und muss alle zwölf Monate erneuert werden. Durch die NSA-Affäre hat Safe Harbor als aussagekräftiges Zeugnis darüber, dass man einem US-Unternehmen ruhigen Gewissens vertrauen könne, jedoch erheblich gelitten - zumal eine Zertifizierung keinesfalls zwingend ist, um in Europa Geschäfte machen zu dürfen. Daher zweifelt so manch einer an der Zukunft des Programms.

Die EU-Kommission hat 13 Empfehlungen ausgesprochen, die Angemessenheit und Aussagekraft von Safe Harbor-Zertifikaten zu verbessern. Beispielsweise solle die US-Handelskommission FTC alle Safe-Harbor-Unternehmen zu unabhängigen Compliance-Audits bitten. "Damit Safe Harbor zukunftstauglich ist, muss es die USA aktiv unterstützen. Im Sommer 2014 werden wir sehen, wie stark das Interesse seitens der US-Regierung wirklich ist - entweder Safe Harbor wird gestärkt oder abgeschafft", machte EU-Kommissarin Viviane Reding bereits klar, dass die Zukunft des Programms keinesfalls sicher ist.

Sollte Safe Harbor nicht weitergeführt werden, muss für jeden Datentransfer zwischen Europa und den USA ein entsprechender Compliance-Vertrag ausverhandelt werden. Dieser umfasst Kontrollprüfungen, Audits und drohende Strafen bei Nichtbeachtung. Wird das europäische Datenschutzrecht wie geplant reformiert, drohen verstoßenden US-Anbietern dann Strafzahlungen in schwindelerregender Höhe.

Forrester-Analyst Rose ist überzeugt, dass es gar nicht erst soweit kommen wird: "Ich glaube, dass Safe Harbor überleben wird. Einfach deshalb, weil die amerikanischen Behörden alles dafür tun werden, die entsprechenden EU-Forderungen umzusetzen. Unabhängige Audits und zusätzliche Compliance-Zertifikate werden Safe Harbors Fortbestand sichern."

Was versteht man unter "Binding Corporate Rules"?

Die "Binding Corporate Rules" (BCR) werden häufig als wichtige Ergänzung zum Safe Harbor-Programm gesehen und sind ebenfalls per Zertifikat zu belegen. Sie beziehen sich auf die Datenverarbeitung innerhalb eines global agierenden Unternehmens. Es werden dadurch auch solche Unternehmenseinheiten erreicht, die weder innerhalb der EU noch in den USA sitzen. Jedes multinationale Unternehmen kann eigene BCRs erstellen, was desto aufwändiger und kostspieliger ist, je mehr Staaten abgedeckt werden müssen.

Transferiert also beispielweise Microsoft Großbritannien personenbezogene Daten in ein Rechenzentrum in Mexiko, würden dort weder die allgemeinen EU-Richtlinien noch die speziellen britischen Datenschutzgesetze noch die Safe-Harbor-Regeln gelten. Weil sich die BCRs aber auf den gesamten Microsoft-Konzern beziehen, verpflichtet sich das Unternehmen dennoch, die festgelegten Spielregeln auch in Mexiko zu beherzigen. EU-Unternehmen, die personenbezogene Daten über Ländergrenzen hinweg auslagern, sollten in jedem Fall eigene BCRs aufstellen und sich auch ausschließlich mit solchen Partnern zusammentun, die ebenfalls welche haben.

Welche Vorgaben macht die EU bezüglich Drittstaaten?

Laut Artikel 25 der EU-Datenschutzrichtlinie dürfen EU-Mitgliedsstaaten personenbezogene Daten in Nicht-EU-Staaten transferieren, wenn das dortige Datenschutzniveau den EU-Standards ähnlich erscheint und als ausreichend angesehen wird. Das ist häufig einzelfallabhängig - muss aber laut Richtlinie in jedem Fall nach einigen festen Kriterien objektiv beurteilt werden können: die Art der Daten, der Zweck und die Dauer ihrer Verarbeitung, das Ursprungs- und Zielland sowie die Gesetze, Marktregeln und IT-Sicherheitsniveau des Ziellandes. Besteht der Verdacht, dass das gewünschte Datenschutzniveau nicht erreicht wird, ist die EU-Kommission seitens des EU-Mitglieds davon zu unterrichten respektive umgekehrt.