Das Ende des Safe Harbor erfordert schnelle Maßnahmen

Anfang Oktober hat der Gerichtshof der Europäischen Union bestimmt, dass der Safe Harbor Vertrag für die Weitergabe von Daten zwischen den Ländern Europas und darüber hinaus nicht mehr ausreicht. Der Experte auf dem Gebiet von Datenschutz, Jeroen Renard, sieht viele Probleme für ICT-Firmen voraus, wenn sie nicht rechtzeitig Maßnahmen ergreifen und will sie davor warnen.

Der Safe Harbor Vertrag wurde 2000 von der Europäischen Kommission mit den USA abgeschlossen. Der Vertrag stand europäischen Organisationen zu, Personendaten mit amerikanischen Firmen auszutauschen, die sich an die im Safe Harbor Vertrag genannten Prinzipien hielten. Unter anderem durch den USA Patriot Act, der 2001 in Kraft trat und durch den NSA und FBI ohne rechtliches Verfahren Informationen von amerikanischen Firmen einfordern konnten, war der Vertrag allerdings noch in der Diskussion.

Am 6. Oktober 2015 bestimmte der Europäische Hof, dass der Vertrag nicht länger ausreichte, um eine sichere Weitergabe von Daten zu gewährleisten. Daher mussten Organisationen andere Maßnahmen treffen, um Daten nach außerhalb von Europa zu verschicken, sagt Jeroen Renard. Renard ist in seiner Rolle als CSO bei der Odin Groep für die Implementierung der benötigten Maßnahmen aufgrund der Datenschutzgesetze bei der Einrichtung von Cloud-Umgebungen und Dienstleistung für tausende Organisationen verantwortlich, die als Auftraggeber mit seinem Unternehmen verbunden sind.

Die Möglichkeit für nationale Aufsichtsbehörden, um individuelle Nachforschungen anzustellen, steht nicht im Widerspruch zu der Priorität, die die Europäische Kommission für einen Digital Single Market verkündet hat, weiß er. 'Das Interesse eines Unternehmens, das einen Kontrollrahmen und tatsächliche Partnerschaft mit Bearbeitern von firmeneigenen Personendaten wie Cloud Service Provider umfasst, wird allerdings besonders betont.'

Renard sagt, dass das Urteil des Europäischen Hofs im deutschen Bundesland Schleswig-Holstein beinahe unverzüglich in ein Verbot umgesetzt wurde. Seiner Meinung nach wird es in den Niederlanden nicht so schnell gehen, aber niederländische Organisationen müssen sich sofort daranmachen, Maßnahmen zu treffen, warnt er. 'Denn', so sagt er, 'erfordern nicht nur andere Methoden die Möglichkeit nach Austausch von Personendaten mit Ländern außerhalb der EU noch ziemlich Arbeit, es kommt auch das Gesetz über die Meldepflicht von Datenlecks.'

Drei Methoden, um Daten zu teilen

Er erklärt, dass es insgesamt vier Arten waren, um als Organisation Daten mit Ländern außerhalb der europäischen Gesetzgebung teilen zu dürfen. Als Erstes bestand die Möglichkeit, sich dem Safe Harbor Vertrag anzuschließen, der jetzt also wegfällt. Aber damit bleiben noch drei Methoden übrig.

'So kann eine Organisation die Regeln erfüllen, wenn sie jeden, der Daten an jemanden außerhalb der EU übermittelt, um individuelle Zustimmung bittet. Aber in diesem Fall hat man es mit so vielen Daten pro Person zu tun und muss neben den Daten von Kunden auch Daten von Lieferanten und Mitarbeitern berücksichtigen. Das ist eigentlich nicht machbar. Und was ist, wenn jemand seine Zustimmung nicht gibt?'

Eine zweite Art ist die Verwendung von Musterverträgen. 'Obwohl die Genehmigungspflicht hierfür abgeschafft wurde, bleibt der Nachteil, dass man es mit einem Netz von Verträgen bei Sub-Bearbeitern zu tun bekommt.

Zum Schluss können innerhalb von internationalen Organisationen Binding Corporate Rules erstellt werden. 'Diese ermöglichen die Weitergabe innerhalb dieser Organisationen weltweit, aber ihr Erstellen ist eine zeitraubende Aufgabe. Es gibt noch kein Standardmodell und soweit bekannt ist, hat das College Bescherming Persoonsgegevens (CBP) noch kein Set genehmigt. Aber Anträge sind beim CBP in Berabeitung.'

Das Gesetz über die Meldepflicht von Datenlecks gebietet Eile

Obwohl es noch nicht von heute auf morgen Pflicht wird, betont Renard, dass hierbei Eile geboten ist. 'Am 1. Januar 2016 tritt das Gesetz über die Meldepflicht von Datenlecks in Kraft. Aufgrund dieses Gesetzes muss ein 'schweres' Datenleck bei der Autoriteit Persoonsgegevens (heutige CBP) gemeldet werden und alle Datenlecks in einer Organisation müssen registriert werden. Die Nichterfüllung des Datenschutzgesetzes fällt unter die Definition von Datenlecks und davon ist auch die Rede, wenn trotz des Urteils des Gerichtshofs der Europäischen Union Personendaten unter der Safe Harbor Regelung in die USA weitergegeben werden. Dies kann dazu führen, dass die Behörde strenge Bußgelder auferlegt.'

Renard fragt sich, ob sich Organisationen darüber bewusst sind, dass sie jetzt mit den Problemstellungen an die Arbeit gehen müssen, die die EU im Bereich Datenschutz an sie herangetragen hat. 'Man spricht schnell von einem Datenleck. Ab 1. Januar 2016 muss das alles registriert werden können und - in bestimmten Fällen - der Behörde und eventuell auch den betroffenen Personen gemeldet werden.

In der Zwischenzeit haben Europa und die USA ein prinzipielles Einvernehmen über die Speicherung von europäischen Nutzerdaten in den USA erreicht. Dieser Vertrag ersetzt Safe Harbor, der Anfang Oktober vom Gerichtshof der Europäischen Union für ungültig erklärt wurde.

Media
  • safe-harbor.jpg