Safe-Harbor-Frist läuft ab Sturm über dem sicheren Hafen

Nachdem der Europäische Gerichtshof das Safe-Harbor-Prinzip für ungültig erklärt hat, endet die Schonfrist für Unternehmen, die Daten in die USA übertragen. Betroffen sind nicht nur IT-Konzerne, sondern fast alle Firmen.
Kommentieren
Wohin mit den Daten: Die EU-Kommission verhandelt mit den USA über einen neues Safe-Harbor-Abkommen. Quelle: dpa
Sturm über Deutschland

Wohin mit den Daten: Die EU-Kommission verhandelt mit den USA über einen neues Safe-Harbor-Abkommen.

(Foto: dpa)

DüsseldorfVon wegen sicherer Hafen: Der Europäische Gerichtshof (EuGH) kippte im Oktober das Safe-Harbor-Prinzip. Da die Geheimdienste in den USA das Internet intensiv überwachen, seien die Daten der Europäer dort nicht ausreichend geschützt, argumentierten die Richter. Die Folgen des Urteils sind weitreichend, nicht nur für Facebook, Google oder Microsoft: Auch deutsche Firmen, die beispielsweise mit IT-Dienstleistern aus dem Silicon Valley zusammenarbeiten, sind betroffen. Was man jetzt zu den Folgen von Safe Harbor wissen muss.

Warum braucht es überhaupt eine Genehmigung?
Keiner ist so streng wie die Europäische Union (EU): Die Gemeinschaft beschloss 1995 eine Datenschutzrichtlinie mit hohen Standards. Die immer noch gültige Regelung erlaubt Unternehmen die Verarbeitung personenbezogener Daten wie Name, Geburtsdatum oder Kreditkartennummer nur mit Zustimmung der Betroffenen. Zudem verbietet sie die Übertragung der Informationen in Länder mit geringerem Schutz. Damit der Datentransit in die USA erlaubt ist, bedarf es daher einer ausdrücklichen Zustimmung der Betroffenen. Daran ändert auch die Datenschutz-Grundverordnung der EU nichts, die bald in Kraft treten soll.

Was ist Safe Harbor?
Schon um die Jahrtausendwende herrschten rege digitale Wirtschaftsbeziehungen zwischen EU und USA. Um diese nicht zu unterbrechen, beschloss die Europäische Kommission 2000 das Safe-Harbor-Prinzip: Wenn sich amerikanische Unternehmen verpflichteten, bestimmte Grundsätze einzuhalten, galten sie als sicherer Hafen für Daten – man nahm also an, dass sie das Schutzniveau der EU einhielten. Dazu betraf beispielsweise die Sicherheit: Die Unternehmen mussten angemessene Vorkehrungen treffen, um die Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch zu schützen. Mehr als 5000 Firmen ließen sich auf einer Liste des US-Handelsministeriums für Safe Harbor registrieren.

Was ist das Problem mit Safe Harbor?
Schon früh monierten deutsche Datenschützer, dass die Selbstverpflichtung der Unternehmen nicht überprüft werde. Nach den Snowden-Enthüllungen sahen sie sich erst recht bestätigt: Die Dokumente des früheren US-Geheimdienstmitarbeiters belegten, dass NSA, CIA & Co dauer- und massenhaft persönliche Daten erfassen. Eine juristische Handhabe haben Europäer dagegen nicht. Daher sahen viele den sicheren Hafen spätestens jetzt als eine Illusion an.

Wer sich keine Sorgen machen muss

So erschweren Sie den Datensammlern die Arbeit
Schutz gegen die Sammelwut
1 von 5

Wer sich im Internet bewegt, hinterlässt beinahe zwangsläufig digitale Spuren. Viele Dienste im Netz sammeln Daten über ihre Nutzer – allen voran der Internetgigant Google. Was mit diesen Daten alles angestellt wird und wo sie wie lange gespeichert werden, lässt sich meist nicht nachvollziehen. Doch ein gewisser Schutz gegen die Sammelwut der Datenkraken ist durchaus möglich.

Logins
2 von 5

Bei aktivem Login ins Google-Konto ist die Datensammlung besonders einfach. Deswegen sollte man sich nur anmelden, wenn es wirklich nötig ist. Das gilt auch für Logins bei anderen Diensten wie etwa Facebook.

Tracker und Cookies
3 von 5

Die Verfolgung durch Tracking-Dienste und die Identifikation des Rechners durch Cookies lässt sich einschränken. Dabei helfen die richtigen Browser-Einstellungen im Bereich „Datenschutz“ sowie Add-ons wie „BetterPrivacy“, „Privacy Badger“, „Ghostery“ oder „Disconnect“. Sie lassen sich in den Browsern Firefox und Chrome installieren.

Dass Chrome von Google stammt, ist dabei kein Widerspruch. Der Browser lässt zahlreiche Erweiterungen zu, die vor übertriebener Datensammelei schützen.

Internetsuche
4 von 5

Die Google-Suche ist der Marktstandard. Allerdings fließen alle Sucheingaben und Klickauswertungen in den Datenschatz des Unternehmens. Es gibt aber zahlreiche Suchdienste, die keine Eingaben ihrer Nutzer speichern oder auswerten, etwa die deutschsprachige Meta-Suchmaschine „OneSeek.de“. Weitere Angebote sind etwa „startpage.com“, „ixquick.com“, „metager.de“ oder „duckduckgo.com“.

Alternativen nutzen
5 von 5

Für so ziemlich alle Dienste gibt es im Netz mehrere Alternativangebote. Einige davon sind nicht kommerziell wie etwa der Kartendienst „OpenStreetMap“ statt Google Maps, Preisvergleichsportale sind eine Alternative zum Shopping-Dienst des Internetriesen. Kostenlose Übersetzungen ohne Datensammlung liefern etwa „leo.org“ oder „dict.cc“.

Wie hat der Europäische Gerichtshof geurteilt?
Der Europäische Gerichtshof erklärte das Safe-Harbor-Prinzip für ungültig. Die Argumentation: Wenn Behörden wie in den USA generell auf elektronische Kommunikationsdaten zugreifen könnten und es dabei keine wirksame Kontrolle gebe, verletzte das „den Wesensgehalt des Grundrechts auf Achtung des Privatlebens“, erklärten die Richter. Da in den USA kein angemessenes Schutzniveau herrsche, könne die EU-Kommission die Datenübertragung nicht genehmigen.

Was bedeutet das für Unternehmen?
Das Safe-Harbor-Abkommen sollte es vereinfachen, mit US-Unternehmen zu kooperieren und transatlantische Geschäfte zu führen. Trotz aller Kritik wurde diese Grundlage vielfach genutzt. Organisationen, die das immer noch tun, drohen nun bis zu 300.000 Euro Strafe. Ob die Datenschutzbehörden tatsächlich ermitteln und Bußgelder verhängen, ist noch nicht klar, nicht zuletzt, weil dies hohe personelle Anforderungen an die unterbesetzten Behörden mit sich bringt. Um Strafen zu vermeiden, sollten die Unternehmen in jedem Fall ihre Datenspeicherpraxis überarbeiten.

Wer ist nicht betroffen?
Auf der sicheren Seite ist, wer Daten innerhalb der Europäischen Union speichert. Große US-Konzerne wie Amazon und Microsoft betreiben längst eigene Serverfarmen in Europa. Zudem überschlagen sich hiesige Anbieter derzeit bei der Kundenwerbung. Auch das hat jedoch seinen Preis: Wer den Anbieter wechselt, muss dafür erhebliche Kosten in Kauf nehmen.

Welche Alternativen zu Safe Harbor erlauben Juristen?
Schon bislang gibt es Alternativen zu Safe Harbor. So gibt es Corporate Binding Rules, also festgelegte Regeln für den Datenaustausch innerhalb eines Unternehmens. Diese werden von den Firmen festgelegt und von Datenschützern abgenommen. Gerade in Konzernen kommt dieses Instrument oft zum Einsatz. Auch Standardvertragsklauseln, die die EU für den Datenschutz in Drittstaaten vor Jahren entwickelt hat, sind eine Möglichkeit. Viele Unternehmen stellen derzeit auf dieses Instrument um.

Welche Auswege bietet die Technik?
Unproblematisch ist der Transfer, wenn die Daten vor dem Versand anonymisiert oder verschlüsselt werden. „Die Verschlüsselung nach anerkanntem Stand der Technik führt dazu, dass Daten in den USA nicht deanonymisiert werden können“, sagt Datenschutz Experte bei Bitkom Consult, Andreas Schulz. Für die reine Datenspeicherung bei US-Cloud-Anbietern sei eine Verschlüsselung aus Sicht von Datenschutz und Datensicherheit daher sinnvoll. Allerdings sei es oftmals keine praktikable Lösung – etwa wenn die Daten später bearbeitet werden sollen.

Wem Bußgelder drohen

Wer beim Datenschutz gute Noten bekommt
Kontrolleure des Überwachungsstaats
1 von 18

Ist Datenschutz schon in Deutschland eine heikle Sache, sieht es in den USA noch viel kritischer aus: Die dortigen Ermittlungsbehörden wie die NSA haben durch den Patriot Act, der nach den Anschlägen des 11. September 2001 erlassen und kürzlich leicht abgemildert wurde, viel umfassendere Rechte und Befugnisse zur Abfrage von Daten von Privatpersonen. Und diese nutzen sie auch, während die Gesetze und Regulierungen im Bereich Datenmanagement und Datenschutz mit den technologischen Entwicklungen nicht mithalten können. Die Nichtregierungsorganisation Electronic Frontier Foundation (EFF) will mit ihrem regelmäßigen Datenschutz-Report „Who has your back“ auf dieses Problem aufmerksam machen. EFF untersucht 24 große IT- und Telekomunternehmen daraufhin, wie sie mit dem Thema Datenschutz umgehen.

Den Ermittlern ihre Grenzen aufweisen
2 von 18

Der Report bewertet einerseits, ob sich Firmen gegen teils willkürliche staatliche Überwachung wehren. Zudem wird die Transparenz bewertet, die Firmen darüber herstellen, ob und wie staatlichen Ermittlungsbehörden bei ihnen Zugriff auf Nutzerdaten fordern. Die EFF hat über vier Jahre die Praktiken großer Internet- und IT-Konzerne beobachtet und analysiert, ob die Firmen ihren Fokus eher auf den Schutz der Nutzerdaten oder eher auf die Kooperation mit staatlichen Ermittlern legen. Dabei konnten sie in den vergangenen vier Jahren eine Entwicklung feststellen.

Er stieß Veränderungen mit an
3 von 18

Während das Thema Datenschutz vor vier Jahren bei kaum einem Unternehmen auf der Agenda stand, hat nun – einige Snowden-, Wikileaks-Enthüllungen und Spähaffären später – laut EFF ein Umdenken eingesetzt: Viele Firmen veröffentlichen Reports über ihren Umgang mit Nutzerdaten und über Regierungsanfragen nach Nutzerdaten.

Aktuelle Anforderungen
4 von 18

Die EFF hat die Entwicklungen damit aufgefangen, dass sie die Firmen nun unter anderem in der Kategorie des industrieweiten Standards vorbildlicher Praktiken bewerten.

Ihre Kriterien im Überblick:

1. Unter dem erwähnten industrieweiten Standard verstehen die Aktivisten etwa, dass die Firma den Staat bei einer Datenanfrage nach einer offiziellen Vollmacht für den spezifischen Fall fragt. Außerdem wird erwartet, dass das Unternehmen einen Transparenzreport über staatliche Anfragen veröffentlicht und dass die Firma deutlich macht, wie sie mit den Regierungsanfragen formell verfährt.

2. In einer weiteren Kategorie wird geprüft, ob Internetfirmen die jeweiligen Nutzer einzeln informieren, wenn sie beziehungsweise ihre Daten von Regierungsanfragen betroffen waren. Als Best Practice Beispiel gelten die Firmen, die ihre Nutzer schon vor der Weitergabe über solche staatlichen Anfragen informieren, sodass diese sich juristisch zur Wehr setzen können.

Facebook sperrte unliebsame Nutzer
5 von 18

3. Die Aktivisten checkten auch, ob Firmen bekannt machen, wie lange sie Nutzerdaten speichern. Es wurde dabei nicht bewertet, wie lange die Unternehmen IP-Logins, Übersichten über individuellen Datentransfer und auch eigentlich bereits gelöschte Daten speichern und für Ermittlungen verfügbar halten – es geht nur um die Transparenz.

4. Regierungen und staatliche Ermittlungsstellen fragen nicht nur Nutzerdaten an, teils verlangen sie von Internet- und Telekomkonzernen auch, unliebsame Nutzer zu blockieren oder Nutzeraccounts zu schließen. Für diese Praxis war zuletzt insbesondere Facebook kritisiert worden, das einige Insassen von Gefängnissen an der Eröffnung eines Accounts hinderte. Auch Informationen darüber honorierten die Aktivisten mit einer positiven Bewertung, wobei ihnen besonders Twitter in dieser Kategorie mit einem umfangreichen Report über Lösch-Gesuche positiv auffiel.

5. Unternehmen bekamen auch eine positive Bewertung, wenn sie sich im öffentlichen Diskurs gegen staatlich geduldete oder gar intendierte Hintertüren in Software und Netzwerken stellen. 21 von 24 untersuchten Firmen nehmen mittlerweile eine solche kritische Position gegenüber dem Überwachungsstaat ein.

Die besten Firmen: Adobe – 5 Sterne
6 von 18

Adobe hat laut den Aktivisten in den vergangenen Jahren alle Best Practice Standards übernommen, die in der Branche etabliert sind. Adobe verlangt von Ermittlungsbehörden eine explizite Erlaubnis, Daten von Nutzern anzufordern und bekennt sich zudem öffentlich dazu, keine Hintertüren in die eigene Software einzubauen. „Alle Regierungsanfragen für Nutzerdaten müssen bei uns durch den Vordereingang kommen“, schreibt Adobe in seinem Transparenzreport. Die EFF wertet eine solche starke Position gegen die früher gängige Praxis als bemerkenswert – unabhängig von der Wahrhaftigkeit.

Apple – 5 Sterne
7 von 18

Triumph für Tim Cook. Apple erfüllt alle Kriterien der Aktivisten für möglichst große Transparenz im Bereich Datensicherheit. Der IT-Konzern lässt allerdings einige Hintertürchen offen, neben den Verpflichtungen zur Verschwiegenheit, die ihm etwa durch Gerichte in Einzelfällen auferlegt werden können. Apple behält sich vor, Nutzer nicht über eine Datenabfrage zu informieren, wenn dies nach Einschätzung des Unternehmens gefährlich für das Leben oder die Unversehrtheit von Personen werden könnte. Dies lässt Raum zur Deutung.

Welche Probleme bergen die Alternativen?
Das Urteil des EuGH bezieht sich auf das Safe-Harbor-Prinzip. Allerdings steht die Frage im Raum, ob nicht auch die anderen rechtlichen Konstruktionen hinfällig sind – also Standardvertragsklauseln und Binding Corporate Rules (BCR). So weist die Bundesdatenschutzbeauftragte Andrea Voßhoff ausdrücklich darauf hin, „dass die Datenschutzaufsichtsbehörden Deutschlands und in Europa sorgfältig prüfen werden“, inwieweit im Lichte Entscheidung davon weiterhin Gebrauch gemacht werden könne. Hintergrund ist, dass US-Unternehmen verpflichtet sind, Daten im Zweifelsfall an die Behörden weiterzuleiten – unabhängig davon, was vertraglich festgelegt wurde.

Was sollten Unternehmen jetzt tun?
Das ist gar nicht so einfach zu beantworten. Wer Daten immer noch nach dem Safe-Harbor-Prinzip in die USA überträgt, sollte schleunigst handeln. Sonst drohen Bußgelder von bis zu 300.000 Euro. Was zu tun ist, ist allerdings umstritten. Auch nach einer Umstellung auf andere Regelungen bestehe für Unternehmen keine Rechtssicherheit, erklärt Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit.

Gibt es keinen Ausweg?
Einige Juristen, etwa Experten von der Wirtschaftsprüfungsgesellschaft Deloitte, halten die ausdrückliche Einwilligung der Betroffenen für die einzige Möglichkeit, sich rechtlich abzusichern. Allerdings bremsen auch hier die Datenschützer: In ihrem Positionspapier erklären sie, dass dies nur „unter engen Bedingungen eine tragfähige Grundlage“ sein könne: „Grundsätzlich darf der Datentransfer jedoch nicht wiederholt, massenhaft oder routinemäßig erfolgen.“

Was ist mit einer neuen Version von Safe Harbor?
Seit dem Gerichtsurteil des Europäischen Gerichtshofes arbeiten Politiker in Brüssel und Washington an einem neuen Rahmenwerk für den Transfer persönlicher Informationen mit den USA. Bisher waren die Verhandlungen schwierig, jetzt könnte aber Bewegung in die Sache kommen: Am Donnerstag hat der Justizausschuss des US-Senats den „Judicial Redress Act“ genehmigt. Dieser soll EU-Bürgern das Recht geben, bei Persönlichkeitsrechtsverletzungen direkt vor US-Gerichten zu klagen. Dies gilt als wesentlicher Punkt für die erfolgreiche Verhandlung eines neuen Safe-Harbor-Abkommens.

Wie geht es weiter?
Bislang hatten sich EU und USA für die Verhandlungen eine Frist bis Ende Januar gesetzt. Trotz der positiven Signale aus dem Senat lässt sie sich nicht mehr einhalten. Ein Sprecher der Brüsseler EU-Kommission warnte aber, es werde kein Abkommen um jeden Preis geben.

Die wichtigsten Neuigkeiten jeden Morgen in Ihrem Posteingang.
Startseite

Mehr zu: Safe-Harbor-Frist läuft ab - Sturm über dem sicheren Hafen

0 Kommentare zu "Safe-Harbor-Frist läuft ab: Sturm über dem sicheren Hafen"

Das Kommentieren dieses Artikels wurde deaktiviert.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%