Über unsMediaKontaktImpressum
Martin Gasper 30. August 2016

Privacy Shield – Datenschutzmanagement am besten selbst in die Hand nehmen

Unternehmen, die einen transnationalen Datenaustausch pflegen, haben mit Blick auf die USA jetzt Rechtssicherheit. Die EU und die USA haben sich mit dem Privacy Shield verbindlich auf Regeln geeinigt. Die nächste Verschärfung steht Organisationen aber bereits von europäischer Seite aus ins Haus. Allerdings gibt es Optionen für Unternehmen und Öffentliche Hand, um Risiken in Bezug auf Datenschutzverstöße zu verringern.

Seit dem 12. Juli 2016 ist die "Privacy Shield"-Vereinbarung offiziell in Kraft. Damit betrachtet die EU-Kommission die Vorgaben dieser Vereinbarung zum Schutz der personenbezogenen Daten von EU-Bürgern in den USA als angemessen. Die neue Übereinkunft war notwendig geworden, weil der Europäische Gerichtshof die Vorgängerregelung "Safe Harbor" im vergangenen Jahr gekippt hatte.

Wie lange die politische Einigung Bestand hat, ist allerdings derzeit unklar. Datenschutzverbände haben angekündigt, die Möglichkeit der jährlichen Überprüfung nutzen zu wollen und faktisch zu Beschwerden aufgerufen. Außerdem steht die Überprüfung durch den Europäischen Gerichtshof noch an. Reicht ein Bürger Klage ein und gewinnt vor dem Europäischen Gerichtshof, droht das Abkommen erneut zu kippen.

Die Kritikpunkte: Nutzer und Verbraucher können der kommerziellen Nutzung ihrer Daten durch US-amerikanische Unternehmen grundsätzlich nicht widersprechen. Auch ist nach Ansicht von Kritikern nicht ausreichend klar gefasst, welche Grenzen für Unternehmen gelten, die Daten nicht erheben, sondern ausschließlich verarbeiten. Ebenfalls nicht hinreichend geregelt sehen sie den staatlichen Zugriff auf in den USA gespeicherten personenbezogenen Daten, die US-Geheimdienste nach wie vor massenhaft erheben dürfen. Darüber hinaus ist nicht geklärt, wie die im US-Außenministerium angesiedelte Ombudsperson, die bei Streitfragen vermitteln und bei der Durchsetzung der Rechte europäischer Bürger helfen soll, ihre Unabhängigkeit und Neutralität wahrt.

Die Entstehung des "Privacy Shield"
Die Übermittlung, Verarbeitung und Speicherung personenbezogener Daten vor Ort in den USA in Übereinstimmung mit der europäischen Datenschutzrichtlinie aus einem Land der EU – das war seit 2000 der Kern des Safe Harbor-Abkommens. Im Oktober 2015 hatte der Europäische Gerichtshof (EuGH) das Abkommen für nichtig erklärt. Der Grund: Der EuGH sah die Interessen der europäischen Bürger nicht ausreichend berücksichtigt und die Gefahr einer dauerhaften "Bespitzelung" durch einen der amerikanischen Geheimdienste als gegeben an. Der Grundkonflikt ist ein unterschiedliches Verständnis des Begriffs "Überwachung" auf beiden Seiten: Während amerikanische Behörden im massenhaften Sammeln von Nutzerdaten keine Überwachung sehen, sieht der Europäische Gerichtshof darin bereits einen Eingriff in die Grundrechte. Seitdem befanden sich mehrere tausend Unternehmen, die regelmäßig personenbezogene Daten aus Europa in die USA übermitteln, dort speichern und verarbeiten, in einem Status der Rechtsunsicherheit, verbunden mit dem Risiko hoher Bußgelder gemäß EU-Recht. In den vergangenen Monaten hatte die EU bereits Bußgelder verhängt.

Europaweit gleiche Standards

Dennoch: Bis zu einer möglichen Klage haben Organisationen erst einmal Rechtssicherheit und damit Schutz gegenüber saftigen Sanktionen, etwa im Zusammenhang mit dem in Deutschland gültigen Bundesdatenschutzgesetz, das Strafzahlungen von bis zu 300.000 Euro vorsieht. Mit der EU-Datenschutzgrundverordnung, die im Mai 2018 in Kraft tritt, steigt die Obergrenze für Verstöße auf 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes des Unternehmens oder der Unternehmensgruppe. Zur Einordnung: Der Privacy Shield ist kompatibel mit dem Bundesdatenschutzgesetz, löst es aber nicht ab – im Gegensatz zur EU-Datenschutzgrundverordnung, die das BDSG 2018 ersetzt. Der Privacy Shield ist per Beschluss als angemessen zur noch gültigen EU-Datenschutzrichtlinie Directive 95/46/EC definiert (die dann durch die neue DGSVO abgelöst werden wird). Das BDSG ist wiederum von der EU-Datenschutzrichtlinie abgeleitet.

EU-Standardvertragsklauseln: Bestimmungen müssen unverändert übernommen werden

TÜV Rheinland bietet, unabhängig vom Herkunftsland, Kunden innerhalb und außerhalb Europas Orientierung im Dickicht der Verordnungen und berät Firmen, die beim Thema Datenschutz auf Nummer Sicher gehen wollen, unter anderem in Konzeption und Implementierung eines Datenschutz-Management-Systems.

Der wichtigste Rat der Experten in Bezug auf den Privacy Shield ist: Unternehmen sollten sich unabhängig machen von Vereinbarungen und sich schnellstmöglich selbst um eine datenschutzrechtliche Absicherung ihrer Geschäfte kümmern. Eine Option sind die EU-Standardvertragsklauseln (EU standard contractual clauses). Bereits 2001 von der Europäischen Kommission herausgegeben und seitdem regelmäßig aktualisiert und angepasst, regeln die Klauseln sowohl die Auftragsdatenverarbeitung als auch die Datenübermittlung personenbezogener Daten in Drittstaaten außerhalb der EU.

EU-Standardvertragsklauseln geben den Verträgen eine einheitliche Struktur und einheitliche Inhalte. Darüber hinaus schreiben sie einheitliche Prinzipien des Datenschutzes für den Umgang mit Ländern vor, die die EU in Bezug auf den Schutz personenbezogener Daten als "nicht sicher" einstuft, z. B. USA oder Japan.

Einige US-Unternehmen haben ihren Kunden direkt nach dem Ende von Safe Harbor bereits entsprechende Verträge angeboten. Das Wichtigste ist: Diese Bestimmungen darf das Unternehmen nicht selbst anpassen, sondern muss sie unverändert als Ergänzung zum Dienstleistungsvertrag übernehmen. Diese EU-Standardvertragsklauseln sind TÜV Rheinland schon lange eine relevante Anforderung, wenn es darum geht, die Umsetzung des Datenschutzes in Unternehmen zu prüfen. Im Rahmen des "Certified Cloud Service", der Zertifizierung von Cloud Service Providern sowie bei der Zertifizierung "Geprüfter Datenschutz und Datensicherheit" wird geprüft, ob diese Klauseln tatsächlich so übernommen wurden und das Unternehmen den Geist der Vorgaben in der Realität auch lebt, z. B. durch die Umsetzung technischer wie organisatorischer Sicherheitsmaßnahmen.

Argumente für den Privacy Shield

Die US-Regierung hat der EU-Kommission schriftlich zugesichert, dass sie die massenhafte Sammlung von Daten der EU-Bürger durch ihre Geheimdienste so beschränkt, dass die gezielte Überwachung von Einzelnen nicht machbar ist.

  1. Die Daten dürfen nur verwendet werden, wenn es um die "nationale Sicherheit" der USA geht, also z. B. im Kontext der Bekämpfung von Terrorismus, Spionage, Massenvernichtungswaffen, Bedrohungen für das Militär sowie vergleichbar schwerwiegender "transnationaler krimineller Bedrohungen".
  2. Wer glaubt, unrechtmäßig überwacht worden zu sein, der kann bei einer unabhängigen Ombudsperson im US-Außenministerium Beschwerde einlegen. Die muss den Fall prüfen und dem Antragsteller mitteilen, ob die US-Regierung im jeweiligen Fall gegen Gesetze verstoßen hat oder nicht.
  3. US-Unternehmen verpflichten sich, Daten von EU-Bürgern nur so lange zu speichern, wie sie für den Zweck verwendet werden, zu dem sie ursprünglich gesammelt worden sind.
  4. Einer der wichtigsten Punkte: Der Privacy Shield wird einmal jährlich überprüft und gegebenenfalls angepasst, wenn die Entwicklungen in Technik, Recht und Datenverarbeitungspraktiken das erfordern.

Argumente gegen den Privacy Shield

Gegner sind überzeugt, dass die aktuelle Übereinkunft vor dem Europäischen Gerichtshof keinen Bestand hat. Ihre Argumente:

  1. Der Privacy Shield ändert nichts an der Überwachungspraxis der USA, deshalb könne von einem angemessenen Datenschutzniveau keine Rede sein.
  2. Die Ombudsperson ist machtlos, EU-Bürger werden sich in den USA in der Praxis kaum durchsetzen können.
  3. US-Unternehmen müssen sich nicht an die Prinzipien von Privacy Shield halten, wenn diese nicht im Einklang mit US-Gesetzen stehen oder den nationalen US-Interessen entgegenstehen.
  4. Es gibt kein binationales Abkommen oder einen Vertrag, sondern nur eine Reihe von Schreiben mit Zusicherungen. Noch ist nicht klar, welche Verbindlichkeit die Schreiben der US-Behörden aus US-Sicht tatsächlich haben.

Warum der Privacy Shield auch für Cloud-Provider wichtig ist
Ein wesentlicher Teil des transatlantischen Datenaustauschs findet via Cloud-Diensten statt. Bis Ende 2019 soll sich das Volumen des Cloud-Traffic von 2,1 auf 8,6 Milliarden Terabyte erhöhen und damit um mehr als das Vierfache zulegen. Das prognostiziert der Cisco Global Cloud Index. Ein Großteil des Datenverkehrs entfällt auf die Kommunikation zwischen Unternehmen und hier tickt ein Datenschutzproblem. Denn der Ort der Datenspeicherung ist von zentraler Bedeutung, da die Datenspeicherung in einer Cloud eine Datenübermittlung darstellt und diese in Drittstaaten eben nicht ohne weitere Sicherheitsgarantien erfolgen darf. Cloud-Anbieter haben das Problem der Datenübermittlung in Drittstaaten erkannt und bieten inzwischen Cloud-Lösungen an, die entweder eine Datenhaltung komplett in Deutschland realisieren oder zumindest eine Lösung, bei der die Datenhaltung in der EU erfolgt. Damit sind selbst amerikanische Anbieter auf der sicheren Seite. Nach dem sogenannten Microsoft-Urteil ist es jetzt auch amtlich: Der Software-Gigant muss Daten aus seinem EU-Rechenzentrum in Irland nicht an die US-Regierung übergeben. Daten, die US-Unternehmen in europäischen Niederlassungen hosten, unterliegen nach dieser Entscheidung nicht US-Gesetzen wie dem Patriot Act: Das US-amerikanische Bundesgesetz war am 25. Oktober 2001 vom Kongress im Zuge des Krieges gegen den Terrorismus verabschiedet worden. Es war eine direkte Reaktion unter anderem auf die Terroranschläge am 11. September 2001 und gewährt US-Behörden einen weitreichenden Datenzugriff.

Zeit bis Mai 2018 nutzen

Die nächste Verschärfung des Datenschutzes wirft auf EU-Ebene bereits ihre Schatten voraus. In der Europäischen Union regelt die im Mai 2016 in Kraft gesetzte EU-Datenschutz-grundverordnung den Umgang mit personenbezogenen Daten. Mit dieser Verordnung soll das Datenschutzrecht innerhalb Europas weiter vereinheitlicht und verbessert werden. Im Mittelpunkt stehen die planmäßige Datenverarbeitung und Pflichten im Falle möglicher Datenschutzverletzungen. Meldepflichten über Verfahren automatisierter Verarbeitung und Informationspflichten bei so genannter "unrechtmäßiger Kenntniserlangung von Daten" – sprich: im Falle einer Datenpanne – werden verschärft. Unternehmen werden stärker beraten durch die Aufsichtsbehörden, aber auch stärker kontrolliert. Kommen Unternehmen ihren Meldepflichten gegenüber Betroffenen und Aufsichtsbehörden nicht nach, drohen Strafzahlungen.

Neu ist unter anderem, dass für Unternehmen, die Niederlassungen in mehreren EU-Mitgliedstaaten führen und dort Datenverarbeitung betreiben, bei grenzüberschreitenden Datenverarbeitungen nur die Aufsichtsbehörde an ihrem Hauptsitz verantwortlich ist.
Wie sich das für Länder der European Economic Area bzw. des europäischen Wirtschaftsraums wie Island, Norwegen oder der Schweiz verhält, ist derzeit offen.
Gültig wird diese Regelung im Mai 2018. Bis dahin haben die Mitgliedsstaaten Zeit, bestimmte Aspekte der EU-Datenschutzgrundverordnung national zu regeln, z. B. die Stellung des Datenschutzbeauftragten oder den Arbeitnehmerdatenschutz. Zusätzlich dazu müssen die vorhandenen Gesetze mit Datenschutzbezug, wie z. B. in Deutschland das Telekommunikationsgesetz und die Landesdatenschutzgesetze, an die europäische Datenschutzgrundverordnung angepasst werden.

Unternehmen sollten diese Zeit nutzen, um sich auf die neuen Vorgaben einzustellen. Wie umfangreich der Aufwand dabei ist, hängt nicht zuletzt vom aktuell implementierten Datenschutzniveau ab. Damit es 2018 keine Schwierigkeiten gibt, sollten Unternehmen die betrieblichen Vorbereitung baldmöglichst in Angriff nehmen. Sie sollten prüfen, welche Systeme im Unternehmen von der neuen Gesetzgebung betroffen sind und ob das bestehende Datenschutzmanagement-System gesetzeskonform ist.

Grundsätzlich ist jeder Geschäftsführer in der Pflicht, zu wissen, welche rechtlichen, technischen und organisatorischen Anforderungen an den Datenschutz bzw. an die Datensicherheit im Unternehmen unbedingt zu beachten sind. Führungskräfte sollten ihre Rechte, Pflichten und persönlichen Haftungsrisiken kennen und sich über die Möglichkeiten und Grenzen der Delegation von Datenschutzaufgaben an Beauftragte informieren. Sind in einem Unternehmen mehr als neun Mitarbeiter mit der automatisierten Bearbeitung personenbezogener Daten beschäftigt, so ist gemäß Bundesdatenschutzgesetz ein Datenschutzbeauftragter zu bestellen. Dieser muss außer der erforderlichen Zuverlässigkeit auch die entsprechende Fachkunde besitzen, die er z. B. in externen Weiterbildungen erwerben kann. Reichen die internen Kapazitäten nicht aus, kann es sinnvoll sein, einen externen Datenschutzbeauftragten zu beauftragen: Dieser...

  • analysiert und bewertet die Datensicherheit in Unternehmen,
  • prüft in einem Datenschutz-Checkup den aktuellen Stand des Datenschutzes in der Organisation,
  • hält die notwendigen Maßnahmen nach Dringlichkeit in einer Liste fest,
  • sorgt dafür, dass die offenen Punkte nacheinander abgearbeitet werden, damit das Unternehmen in punkto Datenschutz ein angemessenes Niveau erreicht und
  • überwacht kontinuierlich den erreichten Status des Datenschutzes und strebt danach, ihn zu verbessern.
Weitere Informationen:
  1. TÜV Rheinland: Datenschutzmanagement

Autor

Martin Gasper

Martin Gasper ist Diplom-Ingenieur und Leiter des Kompetenz-Centers Datenschutz bei TÜV Rheinland. Zu seinen fachlichen Schwerpunkten gehören unter anderem die Beratung rund um die systematische Steuerung von...
>> Weiterlesen
botMessage_toctoc_comments_9210