Unternehmen nützt “Privacy Shield” kaum
Eine “Neue Verpackung mit wenig Inhalt” nennt Andreas Gauger Günder und CMO des deutschen Cloud-Providers ProfitBricks den Nachfolger für Safe Harbor und die Folgen für Unternehmen sind aus seiner Sicht kaum absehbar.
Das “EU US Privacy Shield”, wie Safe Harbor jetzt heißt, muss in diesen Tagen viel Kritik einstecken. Datenschützer sehen keinerlei Verbesserung gegenüber dem Vorgänger-Abkommen. Von einem „sicheren Hafen“, den einem der Name der Datentransfer-Vereinbarungen vorgaukelte, konnte dabei noch nie die Rede sein. Mit seinem Urteil vom Oktober letzten Jahres hat der Europäische Gerichtshof (EuGH) das Thema Datenschutz zwischen europäischen und amerikanischen Geschäftspartnern auf die große Bühne gehoben: Er erklärte das Safe-Harbor-Abkommen für ungültig und entzog damit dem Austausch von personenbezogenen Daten zwischen der EU und den USA kurzerhand die rechtliche Grundlage.
Die Folgen für die Unternehmen sind bis heute nebulös. Theoretisch könnten die lokalen Datenschutzbehörden Unternehmen, die auf der Basis von Safe Harbor arbeiten mit Bußgeldern von bis zu 300.000 Euro belegen. In der Praxis räumte die deutsche Datenschutzkonferenz, ein Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder, den Unternehmen eine Übergangsfrist bis Ende Januar ein. Diese ist nun abgelaufen und die mit einiger Spannung erwarteten Verhandlungsergebnisse bezüglich eines Safe-Harbor-Nachfolgers sind nun da.
EU US Privacy Shield – ein kurzer Überblick
Die EU-Kommission hat vor einigen Tagen ein Grundgerüst für ein neues Datenschutz-Abkommen mit den USA vorgelegt. Die wichtigsten Punkte:
- Das US-Handelsministerium soll diejenigen amerikanischen Dienstleister überwachen, die Daten aus Europa verarbeiten. Die Aufsicht darüber obliegt den amerikanischen Justiz- und Sicherheitsbehörden.
- Bei Verstößen gegen die vereinbarten Standards drohen den Dienstleistern Sanktionen. Schlimmstenfalls wird das betroffene Unternehmen aus der Liste der zur Datenverarbeitung berechtigten Anbieter gestrichen.
- Die US-Regierung hat zugesagt, einen Ombudsmann einzusetzen, an den europäische Unternehmen Beschwerden richten können.
- Mit einem jährlichen Bericht wollen die Vertragspartner die Einhaltung des Abkommens prüfen und dokumentieren.
Als ob diese Inhalte nicht schon vage genug wären, sind zudem Ausnahmen im Rahmen der nationalen Sicherheit der USA natürlich erlaubt. Das lässt einigen Interpretationsfreiraum: In der Vergangenheit war die US-Regierung mit solchen Ausnahmegenehmigungen nicht eben zimperlich. US-Dienstleister sind dann verpflichtet, die Daten herauszugeben – ganz egal an welchem Ort der Welt das Rechenzentrum steht.
Noch mehr Unsicherheit geschaffen
In den nächsten drei Monaten soll das neue Abkommen ausformuliert, um dann durch die EU-Kommission und die EU-Mitgliedstaaten verabschiedet zu werden – ganz schnell und unkompliziert ohne lästigen formellen Gesetzgebungsprozess. Ob das “EU US Privacy Shield” dann einer gerichtlichen Überprüfung standhalten wird oder das EuGH hier erneut einen Strich durch die Rechnung macht, ist derzeit noch offen.
Offenkundig ist jedoch, dass das “Privacy Shield” zu noch mehr Verunsicherung geführt hat. Die Kritik von Datenschützern ist heftig und lässt vermuten, dass die EU und die USA keineswegs gleichwertige Verhandlungspartner sind. Unternehmen können es sich jedoch nicht leisten, auf der Basis eines rechtlichen Vakuums zu arbeiten und dabei nicht nur Bußgelder sondern auch das Vertrauen ihrer Kunden zu riskieren.
Es gibt Alternativen. Das Mindeste, was Datenschutzbehörden derzeit von den Unternehmen erwarten, ist eine Bestandsaufnahme und eine kritische Beurteilung des transatlantischen Datentransfers personenbezogener Daten. Dort, wo Safe Harbor greift, müssen Unternehmen handeln.
Wer zu lange zögert, geht unüberschaubare Risiken ein. Die Situation ist eine Gelegenheit, die Datentransfer- und Datenverarbeitungsprozesse jetzt auf eine langfristig rechtssichere Grundlage zu stellen. Eindeutig ist die Lage, wenn Unternehmen und Dienstleister den denselben Datenschutzbestimmungen unterliegen, weil sie etwa beide ihren Hauptsitz in Deutschland haben. Denn der Datenschutz sollte nicht als Experimentierfeld mit unzuverlässigen und rechtlich schwer zu belangenden Partnern dienen.