Schlagwort: Safe-Harbor
16. Oktober 2015
Vielen Unternehmen mag das Safe-Harbor-Urteil des Europäischen Gerichtshofs (EuGH) Kopfschmerzen bereitet haben. So manches Geschäftsmodell wird in diesen Tagen mit Sicherheit einer kritischen Betrachtung standhalten müssen, an deren Ende es Wege zu finden gilt, Datenflüsse in die USA weiterhin zu legitimieren. Dass Verbraucher und Geschäftspartner betroffene Unternehmen mit Anfragen zum Datenschutz überhäuften, war ein zu erwartender Effekt der EuGH-Entscheidung und nicht zuletzt deren medialer Aufbereitung.
Wie man sich allerdings die öffentliche Aufmerksamkeit auch zu Nutze machen kann, zeigt zum Beispiel der in Köln ansässige Anbieter für Umfrage-Software Questback GmbH. Auf der Homepage des Unternehmens erscheint vorab ein Overlay, über welches zu einer Informationsseite verlinkt wird. Darin wirbt das Unternehmen mit der Tatsache, gerade nicht von den Safe-Harbor-Turbulenzen betroffen zu sein, da Datenverarbeitungen nur innerhalb Deutschland und Europas erfolgen. In der gezielten Ansprache an Auftraggeber, Geschäftspartner und potentielle Neukunden stellt sich Questback insgesamt als zertifizierten, professionellen und vertrauenswürdigen Datenverarbeiter und Dienstleister vor.
Eine gelungene Veranschaulichung, dass gelebter Datenschutz immer auch eine Visitenkarte des Unternehmens darstellt und damit durchaus wertschöpfend genutzt werden kann.
Nach dem Safe-Harbor-Urteil des EuGH vom 06. Oktober 2015 tönt es im transatlischen Verhältnis wie in einem schlechten Western. Die USA reagieren verschnupft, die deutschen Behörden übertreffen sich untereinander gegenseitig mit immer neuen Forderungen und Einschätzungen. So stellt die Landesdatenschutzbeauftragte aus Schleswig-Holsteins, Marit Hansen in einem Interview mit dem Deutschlandfunk schon einmal in Frage, ob künftig Übermittlungen von Daten in die USA überhaupt noch zulässig sein sollen. Zwar vergisst sie zu erwähnen, dass es nicht in Ihre Zuständigkeit fällt, etwa die EU-Standardvertragsklauseln für hinfällig zu erklären, immerhin fordert sie aber Übergangsfristen.
Fraglich bleibt aber, was man erreichen will, wenn man solche Datentransfers wirklich untersagen möchte. Würde man das kurzfristig tun, könnte wohl die Mehrzahl der Unternehmen in Deutschland ihre Marketingabteilungen entlassen und wieder zur Kommunikation mit Rohrpost zurückkehren. Sicher – große Unternehmen wie Microsoft werden es wohl schaffen, ihre Datenbanken relativ kurzfristig nach Europa zu verlagern. Gerade dieses Unternehmen streitet sich aber momentan mit der US-Regierung, ob es nicht auch Daten aus Rechenzentren in Irland an US-Geheimdienste übergeben muss. Aber selbst wenn Europa hier einer harten Linie folgen sollte und US-Unternehmen sich offen gegen ihre Regierung stellen, erscheint es doch zumindest naiv zu glauben, Daten seien vor US-Behörden sicher, nur weil sie physisch in Europa lagern.
Bleibt aber die Frage, was denn passieren soll, wenn Microsoft, Google, Facebook und Co. nicht ihr komplettes Geschäftsmodell an die Vorstellungen der Europäer anpassen wollen. Man wird wohl mit Bußgeldern drohen – diese sollen ja nach der neuen EU-Grundverordnung durchaus schmerzhaft ausfallen (im Gespräch sind bis zu 5 % des weltweiten Jahresumsatzes). Vielleicht wird man es sogar schaffen, das ein oder andere Unternehmen komplett aus Europa zu vertreiben. Nur werden ihre Dienste und Produkte – sofern man nicht nach chinesischem Vorbild eine große Datenmauer um Europa errichten möchte – ja für europäische Nutzer über das Internet weiter verfügbar sein. Der Datenschutz und die Datensicherheit von EU-Bürgern würden sich also sicher nicht verbessern.
Hinzuweisen bleibt in diesem Zusammenhang auch auf das Beispiel “Recht auf Vergessen” bei Google. Zwar entfernt Google Ergebnisse nun tatsächlich aus seinen europäischen Angeboten, auf den internationalen Seiten sind sie aber weiter zu finden. Jeder der sich auch nur etwas Mühe gibt, kann sie also weiter finden. An diesem Beispiel erkennt man sehr gut, dass es faktisch nicht zielführend ist, zu erwarten, dass die Welt am europäischen Wesen genesen möge.
Letztlich werden nur multinationale Lösungen auf politischer Ebene zu Erfolgen führen. Die EU hat durchaus, etwa im Hinblick auf Verhandlungen wie zu TTIP, Trümpfe in der Hand um die Amerikaner zu Zugeständnissen zu bewegen. Strafandrohungen und dergleichen werden wohl kaum zu einem Einlenken führen. Eine rethorische Abrüstung würde der Diskussion sicherlich gut tun, es ist nicht High Noon und wir werden unsere unterschiedlichen Anschauungen zum Datenschutz nicht durch Konfrontation lösen können.
8. Oktober 2014
Der ehemalige Premierminister Estlands und designierte EU-Kommissar für den digitalen Binnenmarkt Ansip hat sich Medienberichten zufolge für einen starken Datenschutz ausgesprochen, zugleich jedoch das Safe Habor Abkommen – ein Abkommen zwischen der Europäischen Union und den USA, das die Übermittlung personenbezogener Daten in die USA regelt – im Rahmen einer Anhörung des Europäischen Parlaments stark kritisiert. Es sei nicht hinreichend sicher und müsse sich seinen Namen “noch verdienen”. Er fordere die US-Regierung auf, genauere Angaben zu einer Ausnahmeklausel, die Einschränkungen des Datenschutzes aus Gründen der nationalen Sicherheit erlaubt, zu tätigen. Ohne klare Ansagen, müsse man die die Aussetzung des Abkommens in Betracht ziehen, so Ansip.
21. März 2014
On 12th March 2014, the European Parliament adopted the Draft of a Proposal for a New Data Protection Regulation from 25th January 2012 that published the European Commission. This Proposal aims at adapting the existing EU Data Protection Directive 95/46/EC to the new threats and risks, as well as to establish stronger measures and higher fines in case of data breaches.
The most important consequence for Non-European companies is that they will also be subject to the same rules as these in force in the EU when operating in EU markets. In some cases, it may be also mandatory to appoint a representative in the EU for the companies that are located outside the EU but offer services in the EU.
The Committee on Civil Liberties, Justice and Home Affairs, a standing committee from the European Parliament, published a report on 21st February 2014, in which it recognizes the necessity to find new mechanisms to protect the private sphere of individuals, as U.S. Data Protection legal Framework and U.S. Safe Harbor are considered not to provide an adequate level of protection.
Additionally, the European Commission already stated in the “Communication from 27th November 2013 on the Functioning of the Safe Harbor from the Perspective of EU Citizens and Companies established in the EU”, that it is an essential aspect to restore trust in data transfers between the U.S.A. and the EU/EEA. To achieve this, U.S. companies will have to act according to European legislation, as well as provide adequate safeguards regarding Data Processing.
All these aspects will have an impact on the EU-U.S. Safe Harbor Framework. For example, U.S.-based companies will have to search for alternative means to carry out international data transfers, if the Commission Decision 520/2000, which declared the adequacy of the Safe Harbor Privacy Principles, is suspended.
Moreover, the Proposal for a Directive concerning measures to ensure a high common level of network and information security across the Union, also called “NIS – Network and Information Security”, for which the European Parliament voted on 13th March 2014, will enforce issues regarding Data Security. This implies, for example, that the EU Member States’ companies will have to improve their infrastructures and that more requirements will be demanded by the national authorities respectively Data Processing and especially network and information security.
4. Dezember 2013
Die EU-Kommission hat vergangene Woche ein Dokument zur Einschätzung der Zukunft des Safe Harbor-Abkommens, auf deren Grundlage ein Großteil der Datenströme privater Unternehmen zwischen Europa und den USA beruhen, („Rebuilding trust in EU-US data flows“) sowie eine Analyse des Safe Harbor Abkommens („Communication on the Functioning of the Safe Harbor from the Perspective of EU Citizens and Companies Established in the EU“) vorgestellt. Diesbezüglich sehe man Handlungsbedarf.
Unter anderem müsse ein höheres Augenmerk auf Transparenz gelegt werden. Die Safe-Harbor-Zertifizierung eines Unternehmens müsse einfacher nachvollziehbar sein und die entsprechenden privacy policies direkt und lesbar auf der Unternehmenswebseite zu finden sein. Auch müssten Unterauftragnehmer eingeschlossen werden. Zusätzlich soll vom Handelsministerium eine offizielle Liste von denjenigen Unternehmen geführt werden, die die Safe-Harbor-Bedingungen erfüllen oder noch nicht erfüllen.
Daneben fordere man, durch regelmäßige externe Audits und Kontrollen die Safe-Harbor-Prinzipien besser durchzusetzen. Bei Verstößen sollen Nachkontrollen durchgeführt und die EU-Datenschutzaufsicht informiert werden.
Neben der Etablierung eines effektiven Schlichtungsverfahrens fordere man des Weiteren die verbindliche Klärung, unter welchen Umständen US-Behörden Zugriff auf personenbezogene Daten von EU-Bürgen, die bei einem zertifizierten Unternehmen verarbeitet werden, erhalten. Es müsse dabei sichergestellt werden, dass sich die Ausnahmen in Fällen der nationalen Sicherheit auf ein Minimum beschränken.
Als Frist zur Ermittlung der geeigneten Abhilfemaßnahmen setzt die Kommission den Sommer 2014. Die konkrete Umsetzung und damit Änderung der Safe Harbor Entscheidung habe so schnell wie möglich zu erfolgen.
14. Dezember 2011
Nachdem der Hamburgische Beauftragte für Datenschutz bereits rechtliche Schritte gegen Facebook angekündigt hat, ist nun auch Bundesverbraucherschutzministerin Aigner aktiv geworden. Sie hat sich nach Meldung der dpa mit einem Brief an die US-Handelskommission FTC gewandt, in welchem sie moniert, dass Facebook das Safe-Harbor-Abkommen verletze.
Nach DPA-Angaben wirft Aigner Facebook insbesondere vor, in Bezug auf die Gesichtserkennung vermutlich die weltweit größte Datenbank mit biometrischen Merkmalen einzelner Personen zu erstellen, ohne über deren biometrische Erfassung klar und verständlich zu informieren
Wenig später erklärte sich Facebook gegenüber der FTC zu strengeren Datenschutzauflaugen in den USA bereit, nachdem zuvor mehrfach gegen datenschutzrechtliche Selbstverpflichtungen verstoßen worden war. Insbesondere verpflichtete sich Facebook nun dazu, neue Funktionen und Einstellungen nicht mehr automatisch freizuschalten, ohne die Einwilligung des Nutzers einzuholen. Diese Praxis hatte in der Vergangenheit vielfach für Kritik gesorgt, so auch bei der Einführung der Gesichtserkennung.
Eben diese von Aigner expliziert kritisierte Gesichtserkennung findet jedoch keinen expliziten Niederschlag in der neuen Vereinbarung mit der FTC (se).
10. Oktober 2011
Nachdem bekannt wurde, dass US-Behörden selbst dann Zugriff auf bei US-Cloud-Anbietern gespeicherte Daten erhalten, wenn sich diese auf Servern innerhalb der EU befinden, stellt sich für viele deutsche Unternehmen die Frage, ob es generell noch möglich ist, in datenschutzkonformer Weise mit US-Anbietern zusammenzuarbeiten.
Aus der Orientierungshilfe – Cloud Computing, welche die Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder veröffentlicht haben, ergibt sich, dass die deutschen Datenschutzbehörden eine Zusammenarbeit mit US-Cloud-Anbietern nicht generell für unmöglich halten.
Bei der Übermittlung von Daten außerhalb der EU und des EWR kann durch den Cloud-Anwender als verantwortliche Stelle ein ausreichendes Schutzniveau sichergestellt werden, indem Standardvertragsklauseln oder Binding Corporate Rules verwendet werden. Nach Einschätzung der Datenschützer wurden allerdings die spezifischen Regelungen der Auftragsdatenverarbeitung nicht vollständig abgebildet. Daher fordern sie, dass Cloud-Anwender über die Vereinbarung von Standardvertragsklauseln hinaus, die Anforderungen nach § 11 Abs. 2 BDSG erfüllen und entsprechend eine Auftragsdatenverarbeitung vertraglich vereinbaren. Zusammengenommen können diese Maßnahmen dazu führen, dass die Übermittlung durch den Erlaubnistatbestand des § 28 Abs. 1 Satz 1 Nr. 2 BDSG gedeckt ist. Dies alles gilt für die USA ebenso, wie für andere Drittstaat ohne angemessenes Datenschutzniveau.
Wenn eine Verarbeitung personenbezogener Daten durch einen Cloud-Anbieter in den USA erfolgt, können die Standardvertragsklauseln ebenso wie Binding Corporate Rules entbehrlich sein, falls der Cloud-Anbieter gemäß der Safe-Habor-Grundsätze zertifiziert ist. In Ermangelung einer flächendeckenden Kontrolle der Selbstzertifizierungen durch Kontrollbehörden in Europa und den USA sehen die Datenschützer die Cloud-Anwender in der Pflicht gewisse Mindestkriterien zu prüfen, bevor sie personenbezogene Daten an ein auf der Safe-Harbor-Liste geführtes US-Unternehmen übermitteln. Von den Cloud-Anwendern fordern sie dabei:
- Sich zu überzeugen, ob das Zertifikat des Cloud-Anbieters noch gültig ist und sich auf die betreffenden Daten bezieht.
- Zu prüfen, ob der Cloud-Anbieter sich gemäß FAQ 9 Frage 4 des Safe-Harbor-Abkommens zur Zusammenarbeit mit den EU-Datenschutzaufsichtsbehörden verpflichtet hat, falls Beschäftigtendaten verarbeitet werden sollen.
- Sicherzustellen, dass der Cloud-Anwender vom Cloud-Anbieter alle nötigen Informationen erhält, wenn ein Betroffener eine Anfrag an ihn richtet.
- Eine schriftliche Vereinbarung zur Auftragsdatenverarbeitung entsprechend § 11 Abs. 2 BDSG zu treffen.
Abschließend halten die Arbeitskreise fest, dass eine Safe-Harbor-Zertifizierung den Cloud-Anwender nicht von der Erfordernis einer Rechtsgrundlage für die Übermittlung (z.B. § 28 Abs. 1 Satz 1 Nr. 2 BDSG) oder seiner Kontrollpflicht analog § 11 Abs. 2 Satz 3 BDSG entbindet.
Diese Anforderungen verdeutlichen einmal mehr, dass datenschutzkonformes Cloud Computing immer noch mit vielen Fallstricken versehen ist. (se)
