Die USA sind kein sicherer Hafen mehr

Personenbezogene Daten bilden das Herzstück vieler Geschäftsmodelle – etwa von Apple, Facebook, Google, Salesforce und Microsoft. Die Verarbeitung der von den Nutzern generierten personenbezogenen Daten (dazu zählen Namen, Adressen, IP- und E-Mail-Adressen) erfolgt in der Cloud – und die umspannt mittlerweile die ganze Welt. Das Internet kennt keine nationalen Grenzen und der Datenfluss via Glasfasernetz und von Knotenpunkt zu Knotenpunkt läuft voll automatisiert ab. So kann eine einfache Nachricht via E-Mail von einem deutschen Konto zu einem anderen, ebenfalls deutschen Konto durchaus um die Welt gehen, bevor sie das Postfach des Empfängers erreicht.

In der Europäischen Union schützen nationale Gesetze und europäische Verträge die Grundrechte der Bürger auf Datenschutz. In Deutschland spricht man vom „Recht auf informationelle Selbstbestimmung“. Um US-amerikanischen Unternehmen wie Apple, Facebook, Google, Microsoft und Co. die Verarbeitung von personenbezogenen Daten in den USA zu ermöglichen, wurden die sogenannten Regeln des sicheren Hafens („Safe Harbor“) initiiert. Diese sollten ein angemessenes Schutzniveau personenbezogener Daten von Europäern auch in den USA gewährleisten.

Ein angemessenes Datenschutzniveau hat die Europäische Kommission für die Schweiz, Kanada, Argentinien, Guernsey, die Isle of Man und für die Anwendung der vom US-Handelsministerium vorgelegten Grundsätze des „sicheren Hafens“ sowie die Übermittlung von Fluggastdatensätzen an die US-Zoll- und Grenzschutzbehörde (CBP) festgestellt.

Damit wurde bis zum Urteil des Europäischen Gerichtshofs (EuGH) am 6. Oktober die Datensicherheit in den USA durch die Europäische Kommission einfach unterstellt; und zwar für alle Unternehmen, die sich den Safe-Harbor-Regeln freiwillig unterworfen haben.

Dass diese Unterstellung den deutschen und europäischen Bestimmungen nicht gerecht wurde, war schon Jahre vor der NSA-Affäre und Edward Snowden bekannt. Experten und Datenschützer weisen seit Längeren auf diese Problematik hin.

Das ergangene EuGH-Urteil stellt fest, dass in den USA allein durch die Safe-Harbor-Bestimmungen kein ausreichender Datenschutz gewährleistet wird.

Im Wortlaut heißt es im Urteil: „Insbesondere verletzt eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privat­lebens [und] desgleichen verletzt eine Regelung, die keine Möglichkeit für den Bürger vorsieht, mittels eines Rechtsbehelfs Zugang zu den ihn betreffenden personenbezogenen Daten zu erlangen oder ihre Berichtigung oder Löschung zu erwirken, den Wesensgehalt des in Art. 47 der Charta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz.“

Direkte Konsequenz der Entscheidung ist, dass personenbezogene Daten ohne Weiteres nicht mehr in den USA verarbeitet werden dürfen, denn dort gibt es keine gesetzlichen Regelungen, die den europäischen Standards entsprechen.

Auf die Praxis wird das aktuelle Urteil dennoch nur beschränkte Auswirkungen haben. Zum einen wurde die Entscheidung des EuGH bereits erwartet und so haben viele Unternehmen entsprechende Vorkehrungen getroffen, die es ermöglichen, die Datenverarbeitung EU-rechtskonform durchzuführen. Einige Firmen setzen beispielsweise verstärkt auf EU-Server-Standorte.

Zum anderen gibt es zu Safe Harbor verschiedene Alternativen, die betroffene Unternehmen ins Auge fassen können:

Letztlich liegt es an der Politik, möglichst schnell eine neue Regelung zu schaffen, die den Datentransfer zwischen der EU und den USA regelt. Ein No-Spy-Abkommen wäre da hilfreich und sollte seitens der EU und den USA endlich ernsthaft angegangen werden.

In jedem Fall muss die EuGH-Entscheidung von allen Firmen beachtet werden, die personenbezogene Daten verarbeiten. Einfach eine bestehende Praxis beizubehalten wäre leichtsinnig. Ansonsten ist es nur eine Frage der Zeit, bis die erste kostenintensive Abmahnwelle erfolgt.

Unbedingt sollte daher einer Datenverarbeitung in den USA widersprochen werden. In einem zweiten Schritt ist dann dafür Sorge zu tragen, dass die Daten nicht ohne Weiteres einfach übertragen werden. Gegebenenfalls sind die internen Prozesse zur Datenverarbeitung entsprechend anzupassen.

Zwar könnte das EuGH-Urteil dazu führen, dass die Speicherung von Unternehmensdaten auf US-Servern in Zukunft vermieden wird. Manch einer spricht gar davon, dass der EuGH die Wirtschaft und die Politik vor praktisch unlösbare Probleme stellt. Angesichts der starken Vernetzung zwischen Europa und den USA mag das bezweifelt werden.

Zudem werden politische Entwicklungen und juristische Entscheidungen immer direkte Konsequenzen auf die technische Umsetzung von IT-Sicherheitsmanagement-Systemen entfalten. Das erfordert ohnehin eine ständige Anpassung – und zwar unabhängig vom konkreten Anlass.

IT-Sicherheitsmanager im Mittelstand können ohne entsprechende Planung kaum die erforderlichen ständigen Anpassungsarbeiten schultern. Darum sollte an einen externen Dienstleister gedacht werden, der das IT-Sicherheitsmanagement der Firma übernimmt, nach den organisatorischen Vorgaben des Auftraggebers umsetzt und das Regelwerk neuen Entwicklungen stets anpasst.

Die oberste Devise lautet: Ruhe bewahren. Zwar betrifft das EuGH-Urteil eine Vielzahl von Unternehmen und Personen. Diesen ist davon abzuraten, gar nichts zu unternehmen, denn das birgt hohe Rechts- und finanzielle Risiken. Die Vorgehensweise liegt auf der Hand.

Zudem sollten die Verarbeitungsprozesse für die Daten angepasst und gegebenenfalls das IT-Sicherheitsmanagement outgesourct werden.