Datenschutz in der Cloud

Was Sie über das EU-US Privacy Shield wissen müssen

01.03.2016 von Peter Sayer und Simon Hülsbömer

Das neue Privacy Shield, das das gekippte Safe-Harbor-Abkommen zwischen den USA und der EU ersetzen soll, sorgt seit Wochen für heftige Debatten. Nun wurden die neuen Richtlinien veröffentlicht. Wir tragen alles Wissenswerte zusammen.

Die Wirtschaftsvertreter feiern das vor einigen Wochen erzielte neue Übereinkommen als Erfolg, Datenschützer fassen sich an den Kopf - kann das EU-US Privacy Shield halten, was es verspricht? Die persönlichen Daten von EU-Bürgern ausreichend schützen, wenn diese auf Servern in den USA verarbeitet und gespeichert werden? Der Safe-Harbor-Nachfolger sieht es zumindest so vor - wenn ein EU-konformer Datenschutz nicht gewährleistet ist, sollen die Daten erst gar nicht über den großen Teich wandern.

Datenschutzabkommen zwischen den USA und Europa - eine neverending story.
Foto: Weissblick, de.fotolia.com

Genau wie das jahrelang eingesetzte "Safe Harbor", das der Europäische Gerichtshof im vergangenen Jahr gekippt hat, setzt das Privacy Shield die Selbstverpflichtung von Anbietern voraus, sich an Datenschutzgesetze zu halten. Wie genau das neue Modell nun aussehen soll, ist seit gestern bekannt - wir fassen die Fakten zusammen.

Teilnahme freiwillig, Compliance zwingend

Gezwungen, am Privacy Shield-Programm teilzunehmen, wird niemand - wer nicht teilnimmt, darf aber keine Daten von EU-Bürgern innerhalb der USA verarbeiten. Einmal dabei, ist die Einhaltung der vorgegebenen Compliance-Regeln obligatorisch und wird durch die US Federal Trade Commission überwacht.

Was Unternehmen zur EU-Datenschutzreform beachten müssen

Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps.

Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden.

"Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können.

Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor.

Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können.

Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.

Teilnehmende Unternehmen müssen ihre Datenschutzrichtlinien veröffentlichen - und dann auch respektieren. Diejenigen, die ihre selbstaufgestellten Regeln nicht einhalten, dürfen bestraft und vom Privacy-Shield-Programm ausgeschlossen werden. Das US-Handelsministerium wird eine Liste mit allen teilnehmenden Unternehmen veröffentlichen und später auch eine zweite Liste mit denen, die vom Programm ausgeschlossen wurden.

Nationale Sicherheit steht über allem

Dort, wo die Richtlinien des Privacy Shield im Konflikt mit den Interessen der US-Sicherheits- und Strafverfolgungsbehörden stehen, interessieren einzig und allein letztere. In Artikel 5 der neuen Vereinbarung heißt es: "Die Einhaltung dieser Prinzipien darf eingeschränkt werden durch: (a) Bedürfnisse der Nationalen Sicherheit, des öffentlichen Interesse oder Interessen der Strafverfolgungsbehörden; (b) gesetzliche oder staatliche Regulierung oder Rechtsprechung, die konkurrierende Verpflichtungen oder ausdrückliche Genehmigung zur Folge hat."

Massenüberwachung ist weiterhin erlaubt

Auch wenn Safe Harbor auch deshalb für ungültig erklärt wurde, weil mit diesem Abkommen die flächendeckende Überwachung der Kommunikation und Online-Aktivitäten von EU-Bürgern möglich war, macht auch das Privacy Shield hier nichts anders. "US-Behörden beteuern das Fehlen von willkürlicher oder flächendeckender Überwachung" - so heißt es zwar im Informationsblatt der Europäischen Union zum Privacy Shield, im US-Pendant findet sich aber nichts dergleichen. Die Vereinigten Staaten erlauben sich weiterhin die Massenüberwachung zu sechs verschiedenen Zwecken:

Internationale Spionage;
Terrorismusbekämpfung;
Bekämpfung von Waffenhandel;
Cyber-Sicherheit;
Bekämpfung von Bedrohungen gegen US-Streitkräfte und Alliierte;
Bekämpfung transnationaler Kriminalität inklusive der Flucht vor Strafmaßnahmen.

Unternehmen haben 45 Tage Zeit zu reagieren

Sollte sich ein EU-Bürger über den Umgang mit seinen persönlichen Daten im Rahmen des Privacy-Shield-Abkommen beschweren, hat das betroffene Unternehmen 45 Tage Zeit, darauf zu reagieren. Stellt diese Antwort den Bürger nicht zufrieden, kann er andere Wege beschreiten - beispielsweise einen unabhängigen Schlichter oder den für ihn zuständigen (nationalen) Datenschutzbeauftragten anrufen.

Noch ist nichts passiert

Die EU-Kommission hat das Privacy Shield Anfang Februar vorgestellt - in der Hoffnung, dass die US-Unternehmen mitmachen. Diese ließen sich erst einmal drei Wochen Zeit, bis sie überhaupt etwas schriftlich fixierten. Am 29. Februar nun veröffentlichte die EU-Kommission endlich die entsprechenden Unterlagen mit dem Zusatzentwurf "adequacy decision", dem juristischen Instrument, das notwendig ist, um die Vorschläge in Übereinstimmung mit den europäischen Datenschutzbestimmungen als rechtssicher erklären zu können. Dieses zusätzliche Papier befindet sich derzeit noch in der Diskussion im Kreis der 28 EU-Länder. Es sieht zudem eine jährliche Überprüfung der Richtlinien vor - nur wenn alle europäischen Staaten dem Privacy Shield jetzt und in Zukunft jedes Jahr erneut zustimmen, kann das Abkommen in Kraft treten und auch dauerhaft gültig bleiben.