Passwort vergessen?  |  Anmelden
 |  Passwort vergessen?  |  Anmelden
Suche

Donnerstag, 21. März 2019

Datenschutz

Chance für „Privacy by Design“

Von Christiane Schulzki-Haddouti | 16. Oktober 2015 | Ausgabe 42

Nachdem der Europäische Gerichtshof das Safe-Harbor-Abkommen für ungültig erklärt hat, suchen Unternehmen nach Wegen, dennoch den Datenaustausch mit den USA aufrecht zu erhalten und den Wegfall des Abkommens zu reparieren.

Safe Harbor (2)
Foto: Imago/Christian Ohde

Gekappt? Das Urteil zum transatlantischen Datentransfer lässt Firmen über Abhilfe nachsinnen.

Anfang Oktober erklärte der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen, das bisher den Datenverkehr von Unternehmen mit den USA regelte, für ungültig. Ein grundsätzlicher Einwand bezog sich darauf, dass europäische Bürger in den USA keinen Rechtsbehelf einlegen können. Außerdem könne kein adäquater Datenschutz in den USA durchgesetzt werden, weil er nicht kontrolliert werde. Entsprechend strahlt das Urteil jetzt auch international aus: Auch in Asien etwa verfügen europäische Bürger über keine Rechtsbehelfe und es fehlen Kontrollstrukturen.

Der Rechtsbehelf muss gesetzlich verankert werden. Dabei genügt es nicht, wenn ausländische Unternehmen europäische Tochterfirmen gründen: In einem noch immer nicht abgeschlossenen Präzedenzverfahren gegen Microsoft hatte die US-Justiz verlangt, dass das Unternehmen Daten, die auf den Servern einer irischen Tochtergesellschaft gespeichert waren, für die Strafverfolgung in den USA zugänglich machen sollte. Mit der einfachen Einwilligung des Nutzers ist das Problem nicht zu lösen. Solange der Zugriff der US-Behörden rechtlich nicht ausgeschlossen ist, können die Aufsichtsbehörden von den Unternehmen verlangen, diesen mit zuverlässigen technischen Mitteln zu verhindern – also mit „Privacy by Design“: Die Daten müssten so verschlüsselt werden, dass nicht einmal das Unternehmen bzw. seine Administratoren Zugriff auf die Daten haben. Möglich wäre das mit Ende-zu-Ende-Verschlüsselung. Dafür müssten die Unternehmen teilweise kräftig nachrüsten, einige müssten ihr Geschäfte in Europa aber auch ganz aufgeben.

Große Unternehmen haben zum Teil Hunderte Verträge auf der Basis von Safe Harbor geschlossen, die nach dem Urteil des EuGH hinfällig werden. Jedes Geschäftsmodell hat andere Datenprozesse, deshalb lässt sich nicht pauschal feststellen, ob nun alle transatlantischen Datenflüsse, die personenbeziehbare Daten enthalten, zu kappen sind. Wie der Wegfall des Abkommens zu reparieren ist, wird derzeit diskutiert.

Verbände wie der Branchenverband Bitkom oder der Berufsverband der Datenschutzbeauftragten glauben, dass man etwa über die von der EU-Kommission freigegebenen Standardvertragsklauseln und die sogenannten Corporate Binding Rules den Weg für die Datenübermittlung wieder frei machen kann. Letztere regeln konzernintern einen einheitlichen Datenschutz und müssen von einer europäischen Datenschutzbehörde genehmigt werden.

Der Bitkom geht davon aus, dass Unternehmen außerdem die Einwilligung ihrer Nutzer für die Datenübermittlung individuell einholen werden und damit das Problem lösen können. Diese unternehmensfreundliche Ansicht vertritt auch Justiz-Kommissarin Vera Jourovà. Sie verwies darauf, dass die transatlantischen Datenflüsse „das Rückgrat unserer Wirtschaft“ seien.

Auch Facebook zeigte sich in einer ersten Reaktion optimistisch – hinter den Kulissen denkt man aber offenbar anders: Ein Facebook-Manager deutete gegenüber dem irischen News-Portal independent.ie an, dass eine Trennung von europäischen und nichteuropäischen Daten die US-Internetkonzerne Milliarden Dollar kosten könnte, da sie neue Rechenzentren in Europa bauen müssten.

Wie sich die Datenschutz-Aufsichtsbehörden nun entscheiden werden, war zu Redaktionsschluss unklar. Sicher ist, dass sie ihr Vorgehen koordinieren werden. In der vergangenen Woche trafen sich bereits acht der insgesamt siebzehn deutschen Aufsichtsbehörden. Dabei stellten sie fest, dass das Urteil wegen des fehlenden Rechtsbehelfs nicht nur Auswirkung auf Safe Harbor, sondern auch auf die anderen Instrumente für grenzüberschreitenden Datenverkehr hat.

Eine rechtliche Reparatur ohne begleitende technische Maßnahmen scheint ausgeschlossen zu sein. Strittig ist, ob die Behörden den betroffenen Unternehmen ein Ultimatum für die Umsetzung setzen. Die Bremer Aufsichtsbehörde teilte jedenfalls mit, dass sie eine unmittelbare Umsetzung erwarte. Noch in dieser Woche wollten sich die Aufsichtsbehörden auf europäischer Ebene auf ein weiteres Vorgehen verständigen.