Online Banking mittels TAN-Apps in der Kritik

23. Oktober 2015

Wie Forscher der Uni Erlangen in einem Angriff zeigen konnten, ist die Kombination der Sparkassen-Apps Sparkasse+ und pushTAN für Angreifer ausnutzbar. Bei Nutzung beider Apps auf einem Gerät genügt es Angreifern, einen Trojaner auf das Gerät zu installieren, um Transaktionen durchzuführen. Dieser Versuch entblößt zwar mit der Sparkasse vordergründig nur ein Bankhaus. Die Apps der Sparkasse wurden hier jedoch nur exemplarisch gewählt. Die Forscher weisen ausdrücklich darauf hin, dass die Sicherheitslücke bei allen Banken bestehen dürfte, die auf diese Weise vorgehen.

Der Nachteil eines Systems, welches nur auf ein Gerät abstellt, liegt auf der Hand. Ist dieses Gerät einmal kompromitiert, stehen dem Angreifer die Tore zum Konto des Betroffenen offen. Das in dieser Hinsicht sicherlich vorzugswürdige System mittels ChipTan ist in der Praxis unbeliebt, da es für Transaktionen erfordert, dass man einen TAN-Generator zur Verfügung hat.

Grund sofort das Online-Banking einzustellen und wieder auf den Sparstrumpf zu setzen besteht aber vorerst nicht unbedingt. Wie heise online ausführt ist der vorgeführte Angriff auf das Android-Betriebssystem (mittels Root Exploit) durchaus komplex. Die Forscher hätten allein mehrere Wochen benötigt um die App genau zu analysieren. Die Forscher halten einen Angriff von professionellen Online-Banking-Betrügern auf diese Weise aber für wiederholbar. Ein vollends sicheres System, welches gleichzeitig auch größtmögliche Benutzerfreundlichkeit bietet, ist also noch nicht gefunden.

Oberstes Irisches Gericht ordnet Überprüfung von Facebook an

21. Oktober 2015

Die Grundsatzentscheidung des EuGH vom 6. Oktober 2015 führt zu ersten praktischen Konsequenzen für Facebook Ireland Ltd., dem europäischen Hauptquartier des amerikanischen Unternehmens Facebook Inc.

So urteilte der irische High Court nunmehr, dass die irische Datenschutzbeauftragte verpflichtet sei, die Beschwerde von Max Schremms, die Gegenstand des EuGH-Urteils war, vollumfänglich zu prüfen. Bei dieser Überprüfung werden insbesondere die Schutzmaßnahmen, die bei der Übermittlung personenbezogener Daten von Facebook Ireland Ltd. an Facebook Inc. in den USA gelten, unter die Lupe genommen werden. Facebook küdigte dabei seine „kontruktive Mitarbeit“ an.

Die irische Datenschutzaufsicht hatte die Einleitung von Ermittlungen zunächst abgelehnt. Wie genau der Prüfungsprozess ablaufen wird, steht noch nicht fest.

Artikel-29-Datenschutzgruppe: Datenübermittlungen in die USA auf Grundlage von Standardvertragsklauseln und Binding Corporate Rules vorläufig zulässig

19. Oktober 2015

In der Pressemitteilung vom 16. Oktober 2015 nimmt die Artikel-29-Datenschutzgruppe zu den Konsequenzen und Folgen des Safe-Harbor-Urteils Stellung.

Die Entwicklung politischer, rechtlicher und technischer Lösungen um einen Datentransfer in die USA, der die Grundrechte der EU-Bürger gewährleistet, zu ermöglichen sei nun von hoher Dringlichkeit. Die bereits seit 2013 laufenden Verhandlungen über ein neues Safe-Harbor-Abkommen könnten hierbei die Grundlage bilden bzw. Teil einer neuen Vereinbarung werden.

Die Artikel-29-Datenschutzgruppe werde die Auswirkungen des Urteils auf die Standardvertragsklauseln und die Binding Corporate Rules weiter untersuchen. Bis auf Weiteres werde der Datentransfer auf Grundlage der genannten Regelungen ausdrücklich als zulässig betrachtet. Standardvertragsklauseln und Binding Corporate Rules seien daher bei Datenübermittlungen weiterhin verwendbar. Dies bedeute jedoch nicht, dass die Aufsichtsbehörden gehindert seien, Datenübermittlungen im Einzelfall, beispielsweise aufgrund von Beschwerden, zu überprüfen.

Bundestag beschließt Gesetz zur Wiedereinführung der Vorratsdatenspeicherung

Am Freitag wurde im Bundestag die Wiedereinführung der Vorratsdatenspeicherung beschlossen. Mit 404 Ja-Stimmen, 148-Nein-Stimmen und 7 Enthaltungen stimmten die Abgeordneten für den Gesetzesentwurf der Bundesregierung (BT-DS 18/5088).

Damit versucht die Bundesregierung erneut die Vorratsdatenspeicherung in Deutschland einzuführen. Bereits im Jahre 2007 hatte die Große Koalition ein Gesetz verabschiedet, welches Telekommunikationsanbieter verpflichtete, sogenannte Verkehrsdaten für einen Zeitraum von sechs Monaten zu speichern. Die Vorschriften zur Vorratsdatenspeicherung waren schon damals auf scharfe Kritik gestoßen und vom Bundesverfassungsgericht für verfassungswidrig erklärt (BVerfG, 1BvR 256/08 vom 02.03.2010, Rn. 1-345). Im Jahr 2014 urteilte der EuGH (EuGH, 08.04.2014 C-293/12 und C-594/12), dass die Richtlinie 2006/24/EG, welche als europarechtliche Grundlage der Vorratsdatenspeicherung diente, gegen die Charta der Grundrechte der Europäischen Union verstößt.

Aus den Urteilen des EuGH und Bundesverfassungsgerichts ergibt sich, dass eine anlasslose verdachtsunabhängige Speicherung von Verkehrsdaten nicht per se unzulässig ist. Nach den Vorgaben von EuGH und Bundesverfassungsgericht kann eine Vorratsdatenspeicherung zulässig sein, wenn rechtliche Vorgaben zur Datensicherheit, Form und Zeit der Speicherdauer sowie Verpflichtungen zur Löschung und Ausnahmen für Berufsgeheimnisträger geregelt sind. Trotz des Umstands, dass der Gesetzgeber die höchstrichterlichen Vorgaben bei der Neufassung der §§ 113a ff. des Telekommunikationsgesetzes (TKG) und §§ 100g f. der Strafprozessordnung (StPO) bedacht hat, erscheint der aktuelle Gesetzesentwurf aus verfassungsrechtlicher Sicht bedenklich.

Die jüngst verabschiedeten Regelungen verpflichten TK-Anbieter, Verkehrsdaten ihrer Nutzer für einen Zeitraum von zehn Wochen und Standortdaten für einen Zeitraum von vier Wochen zu speichern. Verkehrsdaten sind unter anderem die Nummern der beteiligten Anschlüsse sowie Beginn und Ende der Verbindung nach Datum und Uhrzeit. Bei Nutzung des Mobilfunks gehören ebenfalls die Standortdaten sowie die IP-Adresse zu den zu speichernden Daten. Nach Ablauf der genannten Speicherfristen müssen die TK-Unternehmen die Daten innerhalb von einer Woche löschen. Die Speicherung der Daten darf nur in Deutschland erfolgen und die Unternehmen sind verpflichtet, durch modernste Technik den höchstmöglichen Sicherheitsstandart der Daten zu gewährleisten. Strafverfolgungsbehörden können grundsätzlich unter Beachtung des Richtervorbehalts und zum Zwecke der Strafverfolgung bestimmter Straftaten auf die Daten zugreifen. Ein Zugriff auf Verkehrsdaten von Personen, die nach § 53 StPO zeugnisverweigerungsberechtigt sind – wie beispielsweise Ärzten, Rechtsanwälten, Steuerberatern oder Seelsorgern – ist unzulässig. Im Einzelfall ist ein weitergehender Zugriff der Strafverfolgungsbehörden als in den genannten Fällen zulässig. Für die durch die einzelnen Anfragen entstandenen Unkosten sind die TK-Anbieter berechtigt eine Entschädigung zu verlangen.
Auch die der höchstrichterlichen Rechtsprechung angepassten Regelungen zur Vorratsdatenspeicherung stoßen aus verfassungsrechtlicher Sicht auf Bedenken. Auch bei einer Verminderung der Speicherfrist von sechs Monaten auf zehn bzw. vier Wochen, stellt eine anlasslose und verdachtsunabhängige Speicherung von Verkehrs- und Standortdaten einen Eingriff in das Fernmeldegeheimnis nach Art. 10 Abs. 1 Grundgesetz (GG) sowie einen Eingriff in das Recht auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG dar. Ob diese Grundrechtseingriffe nach Durchführung einer Interessenabwägung unter Berücksichtigung der Erforderlichkeit, Geeignetheit und Angemessenheit der Vorratsdatenspeicherung verfassungsrechtlich gerechtfertigt sind, ist fraglich.

Aus technischen Gründen müssen bei der Speicherung von SMS auch deren Inhalte gespeichert werden. Damit liegt ein besonders intensiver Grundrechtseingriff vor. Auch der Umfang der zu speichernden Daten ist immens. Wie der Verband der deutschen Internetwirtschaft feststellt, ist es wegen der herrschenden Knappheit von IPv4-Adressen zur Individualisierung eines Anschlusses erforderlich, weitere Daten als allein die Verkehrsdaten zu speichern. Damit besteht die Gefahr, dass immer präzisere Profile der Nutzer erstellt werden können. Der im Datenschutzrecht geltende Grundsatz der Datensparsamkeit, hat an dieser Stelle keine Bedeutung mehr. Eine weitere Folge der umfassenden TK-Überwachung sind sogenannte chilling-effects. Diese beschreiben das Phänomen, dass in Folge der Überwachung die Nutzer ihr ursprüngliches freies Kommunikationsverhalten in ein gehemmtes Verhalten verändern. Unter diesem Kritikpunkt ist auch die Regelung zu betrachten, nach der zwar auf die Verkehrsdaten von Berufsgeheimnisträgern nicht zugergriffen werden darf, diese gleichwohl erst einmal gespeichert werden.

Neben einer Einschränkung von Freiheitsgrundrechten der Nutzer ist die Umsetzung der Speicherpflichten für die TK-Unternehmen mit wesentlichen Nachteilen verbunden. TK-Anbieter müssen nun neue Datenbanken anlegen und pflegen und dabei den gesetzlichen Sicherheitsvorgaben entsprechen. Wie hoch die Kosten für TK-Anbieter sein werden, kann die Bundesregierung bislang nicht abschätzen. Eine Entschädigung der TK-Anbieter für die Investitionen ist jedenfalls nicht vorgesehen. Erst sobald die Investitionen eine erdrosselnde Wirkung entfalten, können TK-Anbieter Hilfen beantragen. Die Kostenpflicht der TK-Anbieter ist insbesondere auch vor dem Hintergrund kritisch zu betrachten, als dass die Strafverfolgung eine originäre Aufgabe des Staates ist und nicht eine von Unternehmen.

Schließlich ist auch der erhoffte Nutzen von besseren Erfolgen bei der Strafverfolgung fraglich. Beweise, dass tatsächlich Ermittlungserfolge auf die Vorratsdatenspeicherung zurückzuführen sind, konnte bislang nicht erbracht werden. Nach Berichten der Süddeutschen Zeitung habe sich die Aufklärungsquote durch die Vorratsdatenspeicherung laut Bundeskriminalamt lediglich um 0,006 Prozent verbessert.

Der nur minimale Nutzen der Vorratsdatenspeicherung zum Zwecke der Strafverfolgung vermag die oben dargestellten Grundrechtseingriffe nicht verfassungsrechtlich rechtfertigen. Wenig überraschend ist es daher, dass bereits jetzt Politiker der Opposition und Bürgerrechtsaktivisten diesen Gesetzesentwurf durch das Bundesverfassungsgericht überprüfen lassen wollen.

Albrecht: Datenschutz-Grundverordnung ist auf dem richtigen Weg

16. Oktober 2015

Einem Beitrag der International Association of Privacy Professionals (IAPP) zufolge, lieferte Jan Philipp Albrecht, stellvertretender Vorsitzender des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres (LIBE), grüne Europaabgeordnete und Berichterstatter im Rahmen der Verhandlungen zur Datenschutz-Grundverordnung, am 12. Oktober 2015 einen aktuellen Bericht zum Status Quo der Trilog-Verhandlungen zur Datenschutz-Grundverordnung. In diesem gab er bekannt, dass der Text zu Kapitel 5 (Übermittlung personenbezogener Daten in Drittländer oder an internationale Organisationen) bereits finalisiert und die Kapitel II, III und IV (allgemeine Grundsätze, Betroffenenrechte und Regelungen für die Verarbeitung Verantwortlicher und Auftragsverarbeiter) zumindest weitestgehend fertiggestellt seien. Sein Eindruck sei, dass insgesamt eine Einigung über – geschätzte – 70 bis 80 Prozent des Verordungstextes erzielt worden sei. Nichts desto trotz gäbe es noch offene, zumeist politische, Themen, auf die noch einmal zurückzukommen sei.

Insbesondere seien noch folgende Themen zu klären:

  • Die Form und die Bedingungen unter denen die betroffenen Personen eine Einwilligung zu erteilen haben.
  • Wie weit und auf welche Weise die Prinzipien der Datensparsamkeit und Datenvermeidbarkeit im Verordnungstext definiert und reguliert werden sollen.
  • Die konkrete Formulierung in Hinsicht auf die für die Betroffenen notwendigen und dem Transparenzgebot entsprechenden Informationen.
  • Die Rechte und Pflichten von verantwortlichen Stellen und Auftragsdatenverarbeitern, einschließlich der Notwendigkeit zur Bestellung eines Datenschutzbeauftragten (Verpflichtung zur Bestellung); derzeit vertritt der Rat die Auffassung, die Entscheidung über eine verpflichtende Bestellung des Datenschutzbeauftragte den Mitgliedstaaten zu überlassen.

Trotz dieser noch offenen Themen ist Albrecht positiv gestimmt. Er gibt an, eine realistische Chance zu sehen, die Trilog-Verhandlungen – so wie vorgesehen – noch bis Ende dieses Jahres zu beenden. Bis November sollen nicht nur die genannten offenen Themen und Fragen geklärt, sondern es soll sich auch mit den Kapiteln VI und VII beschäftigt werden. Ein weiteres Problem, das noch in Angriff genommen werden muss, sei die Frage – so Albrecht – wie eine bessere und einheitlichere Durchsetzung der Regelungen erreicht werden könne. Auch hier seien sie jedoch zu einer baldigen Entscheidung in der Lage.

 

 

Chance zur positiven Unternehmensdarstellung nach Safe-Harbor-Urteil: Datenschutz als Visitenkarte

Vielen Unternehmen mag das Safe-Harbor-Urteil des Europäischen Gerichtshofs (EuGH) Kopfschmerzen bereitet haben. So manches Geschäftsmodell wird in diesen Tagen mit Sicherheit einer kritischen Betrachtung standhalten müssen, an deren Ende es Wege zu finden gilt, Datenflüsse in die USA weiterhin zu legitimieren. Dass Verbraucher und Geschäftspartner betroffene Unternehmen mit Anfragen zum Datenschutz überhäuften, war ein zu erwartender Effekt der EuGH-Entscheidung und nicht zuletzt deren medialer Aufbereitung.

Wie man sich allerdings die öffentliche Aufmerksamkeit auch zu Nutze machen kann, zeigt zum Beispiel der in Köln ansässige Anbieter für Umfrage-Software Questback GmbH. Auf der Homepage des Unternehmens erscheint vorab ein Overlay, über welches zu einer Informationsseite verlinkt wird. Darin wirbt das Unternehmen mit der Tatsache, gerade nicht von den Safe-Harbor-Turbulenzen betroffen zu sein, da Datenverarbeitungen nur innerhalb Deutschland und Europas erfolgen. In der gezielten Ansprache an Auftraggeber, Geschäftspartner und potentielle Neukunden stellt sich Questback insgesamt als zertifizierten, professionellen und vertrauenswürdigen Datenverarbeiter und Dienstleister vor.

Eine gelungene Veranschaulichung, dass gelebter Datenschutz immer auch eine Visitenkarte des Unternehmens darstellt und damit durchaus wertschöpfend genutzt werden kann.

Datenschutz-Showdown mit den USA? Warum eine offene Konfrontation wenig hilfreich ist

Nach dem Safe-Harbor-Urteil des EuGH vom 06. Oktober 2015 tönt es im transatlischen Verhältnis wie in einem schlechten Western. Die USA reagieren verschnupft, die deutschen Behörden übertreffen sich untereinander gegenseitig mit immer neuen Forderungen und Einschätzungen. So stellt die Landesdatenschutzbeauftragte aus Schleswig-Holsteins, Marit Hansen in einem Interview mit dem Deutschlandfunk schon einmal in Frage, ob künftig Übermittlungen von Daten in die USA überhaupt noch zulässig sein sollen. Zwar vergisst sie zu erwähnen, dass es nicht in Ihre Zuständigkeit fällt, etwa die EU-Standardvertragsklauseln für hinfällig zu erklären, immerhin fordert sie aber Übergangsfristen.

Fraglich bleibt aber, was man erreichen will, wenn man solche Datentransfers wirklich untersagen möchte. Würde man das kurzfristig tun, könnte wohl die Mehrzahl der Unternehmen in Deutschland ihre Marketingabteilungen entlassen und wieder zur Kommunikation mit Rohrpost zurückkehren. Sicher – große Unternehmen wie Microsoft werden es wohl schaffen, ihre Datenbanken relativ kurzfristig nach Europa zu verlagern. Gerade dieses Unternehmen streitet sich aber momentan mit der US-Regierung, ob es nicht auch Daten aus Rechenzentren in Irland an US-Geheimdienste übergeben muss. Aber selbst wenn Europa hier einer harten Linie folgen sollte und US-Unternehmen sich offen gegen ihre Regierung stellen, erscheint es doch zumindest naiv zu glauben, Daten seien vor US-Behörden sicher, nur weil sie physisch in Europa lagern.

Bleibt aber die Frage, was denn passieren soll, wenn Microsoft, Google, Facebook und Co. nicht ihr komplettes Geschäftsmodell an die Vorstellungen der Europäer anpassen wollen. Man wird wohl mit Bußgeldern drohen – diese sollen ja nach der neuen EU-Grundverordnung durchaus schmerzhaft ausfallen (im Gespräch sind bis zu 5 % des weltweiten Jahresumsatzes). Vielleicht wird man es sogar schaffen, das ein oder andere Unternehmen komplett aus Europa zu vertreiben. Nur werden ihre Dienste und Produkte – sofern man nicht nach chinesischem Vorbild eine große Datenmauer um Europa errichten möchte – ja für europäische Nutzer über das Internet weiter verfügbar sein. Der Datenschutz und die Datensicherheit von EU-Bürgern würden sich also sicher nicht verbessern.

Hinzuweisen bleibt in diesem Zusammenhang auch auf das Beispiel „Recht auf Vergessen“ bei Google. Zwar entfernt Google Ergebnisse nun tatsächlich aus seinen europäischen Angeboten, auf den internationalen Seiten sind sie aber weiter zu finden. Jeder der sich auch nur etwas Mühe gibt, kann sie also weiter finden. An diesem Beispiel erkennt man sehr gut, dass es faktisch nicht zielführend ist, zu erwarten, dass die Welt am europäischen Wesen genesen möge.

Letztlich werden nur multinationale Lösungen auf politischer Ebene zu Erfolgen führen. Die EU hat durchaus, etwa im Hinblick auf Verhandlungen wie zu TTIP, Trümpfe in der Hand um die Amerikaner zu Zugeständnissen zu bewegen. Strafandrohungen und dergleichen werden wohl kaum zu einem Einlenken führen. Eine rethorische Abrüstung würde der Diskussion sicherlich gut tun, es ist nicht High Noon und wir werden unsere unterschiedlichen Anschauungen zum Datenschutz nicht durch Konfrontation lösen können.

Deutsche Datenschutzbehörden zweifeln an der Zulässigkeit von Datenübermittlungen in die USA auf Grundlage von Standardvertragsklauseln

15. Oktober 2015

Nach der Safe-Harbor-Entscheidung des EuGH vom 06. Oktober 2015 sind Datenübermittlungen auf Grundlage des Abkommens nicht mehr zulässig.  Hintergrund der Entscheidung ist der Zugriff der amerikanischen Behörden auf der Basis des Patriot Act, der unabhängig von der gewählten rechtlichen Grundlage zur Anwendung kommen kann und europäische Daten nicht ausnimmt.

Nach wie vor in Betracht kommt indes ein Transfer auf der Basis der Standardvertragsklauseln bzw. Binding Corporate Rules, deren Zulässigkeit nicht Gegenstand des Verfahrens war. Datenschutzrechtliche Bedenken hiergegen bestanden jedoch bereits vor der Entscheidung des EuGH und werden erneut vor dem erläuterten Hintergrund der Entscheidung diskutiert.


Deutsche Datenschutzbehörden haben bereits im Jahr 2013 in einer gemeinsamen Presseerklärung erklärt, dass ihnen diese Standard-Vertragsklauseln nicht (mehr) ausreichten, solange die genauen Zugriffsmöglichkeiten der amerikanischen Geheimdienste nicht geklärt seien:

„Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird.
Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel auch zur Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens und der Standardvertragsklauseln auszusetzen sind.“


In dem Positionspapier zu dem Safe-Harbor-Urteil hält die schleswig-holsteinische Datenschutzbauftragte bei konsequenter Anwendung der Vorgaben des EuGH in seinem Urteil eine Datenübermittlung auf Basis von Standardvertragsklauseln für nicht mehr zulässig. Nichtöffentliche Stellen, die für ihren Datentransfer in die USA Standardvertragsklauseln verwenden, müssten nun in Erwägung ziehen, den zugrunde liegenden Standardvertrag mit dem Datenimporteur in den USA zu kündigen oder die Datenübermittlungen auszusetzen. Eine dauerhafte Lösung könne nur in einer Änderung des amerikanischen Rechts liegen.

Es werde nun geprüft, ob Anordnungen gegenüber nichtöffentlichen Stellen getroffen werden müssen, auf deren Basis Datenübermittlungen in die USA ausgesetzt oder verboten werden müssen.

EnBW: Ermittlungen wegen unerlaubten Mitschneidens von Kundengesprächen

14. Oktober 2015

Die Staatsanwaltschaft Karlsruhe hat Medienberichten zufolge Ermittlungen gegen den Energiekonzern EnBW eingeleitet. Konkret vorgeworfen werde dem Konzern, das nicht öffentlich gesprochene Wort von Kunden durch Mitschnitte von Servicegesprächen unerlaubt aufgezeichnet zu haben. Kundengespräche seien stets, d. h. auch wenn Kunden einen Mitschnitt abgelehnt haben, aufgezeichnet worden. Dies sei von EnBW auf rein technische Gründe zurückgeführt worden. Die Ermittlungen der Staatsanwaltschaft sollen sich gegen „namentlich bekannte Personen“ bei EnBW richten, die für die beanstandete Praxis der Aufzeichnungen verantwortlich sein könnten. Der Sachverhalt sei wegen der technischen Details rund um die von EnBW verwendete Software sehr kompliziert.

Kundengespräche dürfen grundsätzlich nur mit Einwilligung beider Gesprächsteilnehmer, d. h. des Kunden sowie des Mitarbeiters, aufgezeichnet werden. Ansonsten erfolgt das Aufzeichnen unbefugt im Sinne des § 201 Strafgesetzbuch. Es können wegen Verletzung der Vertraulichkeit des Wortes Freiheitsstrafen von bis zu drei Jahren oder entsprechende Geldstrafen gegen die Verantwortlichen verhängt werden. Daneben drohen dem Unternehmen erhebliche Imageschäden.

Wie US-Firmen auf das Safe-Harbor-Urteil des EuGH reagieren

Nachdem der Europäische Gerichtshof (EuGH) vergangene Woche die Ungültigkeit des Safe-Harbor-Abkommens zwischen der EU und den USA festgestellt hat, lohnt sich ein Blick auf US-Unternehmen. Denn es sind gerade die Großen der Internetbranche, die überdurchschnittlich viele Daten aus der EU erheben und verarbeiten. Und die Großen, allen voran Google, Amazon, Microsoft, Facebook und Apple sind US-Firmen mit großen Marktanteilen in der EU.

Während das Safe-Harbor-Abkommen, sei es nun die gekippte oder die seit 2013 in der Überarbeitung befindliche neue Version, allein von der Politik gestaltet wird und Alternativen wie EU-Standardvertragsklauseln und Binding Corporate Rules von Juristen und Behörden empfohlen werden, sind es die großen US-Unternehmen, die nach ganz eigenen Lösungen suchen. Diese sind – das liegt in der Natur der Sache – zumeist praxisnäher und nicht selten bereits praxiserprobt. Finanziell, organisatorisch und personell können die Unternehmen deutlich schneller, flexibler und nicht selten sogar innovativer reagieren als es nationale Datenschutzbehörden und eine überbürokratisierte EU-Politik können.

Nun stand das Safe-Harbor-Abkommen schon lange in der Kritik und das Urteil des EuGH kommt auch nicht all zu überraschend. Kernproblem war und bleibt der Patriot Act, der US-Behörden ermächtigt, nahezu uferlos auf Daten von US-Firmen zugreifen zu können. Dieses Vorgehen kritisieren nicht nur der EuGH und europäische Datenschützer. Auch US-Firmen bemängelten in der Vergangenheit das Vorgehen der eigenen Regierung, Firmen dazu zwingen zu können, Daten und Informationen gegen ihren Willen preisgeben zu müssen.

Die Summe der Probleme beim Austausch von Daten zwischen EU und USA ist gerade für die Großen der Branche Grund genug, nach eigenen, praxisnahen Lösungen zu suchen. So setzen jedenfalls die finanzstarken Unternehmen verstärkt auf den Ausbau ihrer Standorte innerhalb Europas, wie das Wall Street Journal berichtet. Insbesondere in Irland, aber auch in Belgien, Finnland, den Niederlanden, Dänemark und in Deutschland investieren Google & Co. beachtliche Summen in den Aufbau eigener Rechenzentren und Infrastrukturen. Der Vorteil: Eines der Fundamente des Datenschutzes, nämlich die Zulässigkeit der Datenverarbeitung gemäß § 11 BDSG, ist grundsätzlich gegeben. Denn innerhalb der EU bzw. des europäischen Wirtschaftsraumes wird ein angemessenes Datenschutzniveau unterstellt, während ein solches bei der Datenverarbeitung über die Grenzen der EU hinaus – oft umständlich – nachgewiesen werden muss.

1 17 18 19 20 21 131