Seit 1. August 2016 ist das Privacy Shield Grundlage für den rechtmäßigen Datenaustausch zwischen EU und USA. Am 19. Dezember 2018 wurde das Abkommen nun zum zweiten Mal verlängert. Das wirkt schon fast wie eine Randnotiz – denn alles andere wäre eine Überraschung gewesen. Schließlich wäre der Schaden groß, könnten sich die westlichen Nationen nicht mehr auf die Einhaltung eines gemeinsamen Datenschutzniveaus einigen.
Allerdings bleibt festzuhalten, dass der Weg dahin steinig und die Zukunftsfähigkeit der Vereinbarung in der Zwischenzeit fragwürdig war. Denn nachdem die Verlängerung 2017 fast unbesehen erfolgte, legte die EU bzw. das EU-Parlament 2018 die Daumenschrauben an und forderte für die Gewährleistung eines angemessenen Schutzniveaus von den USA ultimativ die Umsetzung verschiedener Maßnahmen bis Anfang September, wie beispielsweise die Bestellung des von Anfang an vorgesehenen Ombudsmanns in Streitfällen.
Die USA kam dieser und weiteren Forderungen nach, da das Privacy Shield andernfalls offiziell ausgesetzt worden wäre. Doch bleibt es vor allem in diesem Jahr abzuwarten, wie lange die US-Administration die Geduld ihrer Anbieter und der EU noch weiter strapazieren kann. Denn neben den verlauteten Verbesserungen des Datenschutzschilds, fordert die EU in ihrem aktuellen Bericht ebenfalls die Ernennung einer ständigen Ombudsperson bis zum 28. Februar. Diese soll an die Stelle der derzeit amtierenden treten, um sicherzustellen, dass Beschwerden über den Zugriff von US-Behörden auf personenbezogene Daten sorgfältig behandelt werden. Um wettbewerbsfähig zu bleiben, unterwerfen sich die meisten US-Anbieter inzwischen sogar freiwillig den höheren europäischen Datenschutzbestimmungen und bieten entsprechende Standardvertragsklauseln an.
Globale Entwicklungen
Interessant ist in diesem Zusammenhang auch die aktuelle globale Gemengelage in puncto Datenschutz und Informationssicherheit, die sich in den letzten Wochen und Monaten fundamental geändert hat.
Taktgeber: DSGVO und Microsoft
Durch die DSGVO-Einführung hat sich der Druck auf US-Anbieter zur Einhaltung von Datenschutzstandards ohnehin erhöht – ganz unabhängig von der nun erneuerten Rahmenvereinbarung. Doch Datenschutz als Exportprodukt? Das wäre vor ein paar Jahren so noch nicht denkbar gewesen und spricht für den globalen Stellenwert der Gesetzgebung in Europa. Diese Leistung ist beachtlich und bleibt auch nicht ohne Auswirkungen auf die Anbieter weltweit.
Microsoft gibt dabei den globalen Takt vor. Das Unternehmen veröffentlichte kürzlich sechs Prinzipien, an denen sich internationale Abkommen orientieren sollten:
- Kontrolle: User behalten mithilfe einfacher Tools und eindeutiger Auswahlmöglichkeiten die volle Kontrolle über ihre Daten.
- Transparenz: User treffen dank der Transparenz in Bezug auf die Erfassung und Verwendung von Daten jederzeit informierte Entscheidungen.
- Sicherheit: Daten werden mit hohen Sicherheits- und Verschlüsselungsmaßnahmen geschützt.
- Starker rechtlicher Schutz: Microsoft respektiert die jeweils gültige Datenschutzgesetzgebung und setzt sich für den Schutz der Privatsphäre als fundamentales Menschenrecht ein.
- Keine inhaltsbezogene Werbung: Microsoft nutzt die Inhalte von E-Mails, Chatprotokollen, Dateien oder sonstige persönliche Inhalte nicht für gezielte Werbung.
- Vorteilsbasiert: Werden Daten erfasst, werden diese im Interesse des Users zur Verbesserung des Angebots genutzt.
Das zeigt: Vor allem international agierende Unternehmen haben die Notwendigkeit, sich auf gemeinsame Standards zu einigen. Und das wiederum ist ein weiteres Indiz dafür, dass Datenschutz nicht allein Ländersache, sondern auf dem besten Wege ist, sich zu einem globalen Anliegen zu entwickeln – ähnlich wie der Klimaschutz und andere Themen.
Internationale Strafverfolgung
Im Widerspruch dazu steht allerdings eine andere Entwicklung der EU-Gesetzgebung. So scheitert die Herausgabe von Daten an internationale Behörden aktuell an der lokalen Gesetzgebung und der Kooperation zwischen den Behörden. Das will die EU jetzt ändern. Deshalb bemüht sie sich derzeit um eine E-Evidence-Verordnung. Ziel der EU-Kommission ist es, damit eine Alternative zum förmlichen Rechtshilfeverfahren zu schaffen und den Ermittlungsbehörden einen schnelleren Zugang zu Kommunikationsdaten zu ermöglichen. Die Strafverfolgungsbehörden der EU-Mitgliedstaaten sollen die Befugnis erhalten, Anbieter von Telekommunikations- und Internetdienstleistungen in anderen Mitgliedstaaten der EU und auch in Staaten außerhalb der EU (Drittstaaten) unmittelbar zur Herausgabe von Bestands-, Zugangs-, Transaktions- und Inhaltsdaten zu verpflichten. Dies ruft bereits Kritik der deutschen Datenschutzbehörden auf den Plan. Die Tatsache, dass eine solche Regelung scheinbar im Schnellverfahren geschaffen werden soll, kann nur verwundern – zu sehr drohen Anbieter dabei in Konflikt mit der lokalen Gesetzgebung anderer Länder zu geraten.
Unverrückbare Grundsätze
Die Datenschutzdebatte bleibt damit weiterhin spannend. Doch unabhängig von den globalen Strömungen dürften folgende Grundsätze beim Schutz von sensiblen und personenbezogenen Daten weiterhin außer Frage stehen:
- Lokale Datenspeicherung: Die Speicherung in Ländern mit einem angemessenen Datenschutzniveau – wie in der EU oder der Schweiz – ist zu empfehlen.
- Sicherheit in der Datenverarbeitung und Abschirmung: Die technischen und organisatorischen Anforderungen müssen die DSGVO erfüllen, das können verschiedene Zertifikate belegen. Außerdem darf der Dienstanbieter selbst keinen Zugriff auf die Daten haben.
- Verschlüsselung: Solange Daten verschlüsselt sind, können sie nicht gelesen werden – von keiner Partei.
- Vertragliche Transparenz: Die Absicherungen sollten vertraglich geregelt und transparent sowie nachvollziehbar sein.
- Need-to-Know-Prinzip: Jeder Mitarbeiter bekommt nur die wirklich benötigten Zugriffe und Berechtigungen für seine Arbeit.
Geschrieben von Thomas Deutschmann