Safe Harbor - eine schrittweise Annäherung

Fünf Schritte zur Neuordnung des Inter-Datenaustauschs

| Autor / Redakteur: Michael Hack * / Rainer Graefen

Michael Hack, Senior Vice President EMEA Operations bei Ipswitch
Michael Hack, Senior Vice President EMEA Operations bei Ipswitch (Ipswitch)

Im Oktober hat der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen zwischen den USA und der EU, das Unternehmen eine einfache Möglichkeit zum Austausch von Daten bot, für ungültig erklärt. Somit stellt sich die Frage, wem man seine Kundendaten noch in die Hand geben darf.

Im Oktober hat der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen zwischen den USA und der EU, das Unternehmen eine einfache Möglichkeit zum Austausch von Daten bot, für ungültig erklärt. Die seit 15 Jahren bestehende Regelung wurde als direkte Folge der Anfechtungsklage des österreichischen Jurastudenten Max Schrems aufgehoben.

Europäischer Gerichtshof: Datenschutzaktivist verklagt Facebook

Aussetzung des Safe-Harbor-Abkommens gefordert

Europäischer Gerichtshof: Datenschutzaktivist verklagt Facebook

26.03.15 - Mit einer Klage gegen Facebook vor dem EuGH versucht ein Datenschutzaktivist, der Datensammelwut von US-Internetriesen, im konkreten Fall Facebook, Einhalt zu gebieten. In der Hauptsache geht es um den Datenschutz und undifferenzierten Zugriff der von Facebook gesammelten Nutzerdaten in den USA. Eine Verletzung der EU-Grundrechtecharta? lesen

Die von Unternehmen wie Google oder Facebook gesammelten Nutzerdaten seien in den USA nicht ausreichend geschützt, da US-Behörden und -Geheimdienste darauf Zugriff hätten, befanden die Richter des EuGH.

Rückblick auf Safe Harbor

Dafür, dass Schrems den Kampf mit scheinbar unangreifbaren Technologieunternehmen aufgenommen und einen Sieg für die Rechte von Benutzern davongetragen hat, erntete er viel Beifall, insbesondere von Edward Snowden, der mit seinen Enthüllungen über die Online-Überwachung der EU durch den US-Geheimdienst als Erster für transatlantische Spannungen gesorgt hatte.

Der EuGH-Beschluss mag zunächst überrascht haben, passt jedoch in das jüngste Vorgehen der Verschärfung von Datenschutzbestimmungen seitens der EU. Die Datenschutzgesetze der USA sind weitaus weniger streng als die der EU.

Bislang stellte Safe Harbor einen Rahmen für eine Kompromisslösung zwischen US- und EU-Datenschutzverfahren dar. Seit 2000 ermöglichte Safe Harbor in den USA ansässigen Unternehmen die Übertragung von Daten europäischer Bürger in die USA, sofern dabei die Datenschutzvorschriften der EU eingehalten wurden.

Ergänzendes zum Thema
 
Special „Rechtssicheres Cloud Computing“

Dazu genügte es, eine Erklärung zu unterzeichnen, mit der das Unternehmen die europäischen Vorschriften für die Datenverarbeitung anerkennt. Mit seinem Urteil setzt der EuGH jedoch das deutliche Signal, dass Datenschutzrechte von Benutzern gesetzlich verankert werden müssen, statt praktisch der Selbstzertifizierung überlassen zu werden.

Unternehmen auf beiden Seiten des Atlantiks sind nunmehr dazu angehalten, ihre Methoden zur Sammlung, Speicherung, Verarbeitung und Übertragung von Daten bezüglich EU-Bürgern einer Prüfung unterziehen.

Was bedeutet das für Unternehmen?

Etwa die Hälfte aller Daten weltweit wird zwischen Europa und den USA ausgetauscht. Unternehmen, bei denen die uneingeschränkte Datenübertragung zwischen der EU und den USA Grundlage zahlreicher Geschäftsprozesse ist, zum Beispiel Cloud-Dienstleister, werden sich auf Veränderungen einstellen müssen.

Doch auch weltweit tätige Einzelhändler mit Käufern in der EU sowie sämtliche US-Unternehmen, die personenbezogene Daten von EU-Bürgern verwalten und verarbeiten, sind davon betroffen. Datenschutzbeauftragte in weltweit tätigen Unternehmen suchen nun nach Möglichkeiten, sich auf strengere Datenschutzverordnungen einzustellen.

Noch ist nicht klar, welche Verordnung Safe Harbor ersetzen und welche Bestimmungen sie enthalten wird. Doch es ist abzusehen, dass die Bereitstellung von Daten und Dienstleistungen über Kontinente hinweg sich schwieriger gestalten und Auswirkungen auf das laufende Geschäft mit sich bringen wird. Es versteht sich von selbst, dass der Schutz von Benutzerdaten von großer Bedeutung ist und ein grundlegendes Recht sein sollte.

Doch die Entscheidung des EuGH betrifft nicht nur Facebook und Google, bei denen davon auszugehen ist, dass sie über genügend Kapazitäten verfügen, um umgehend adäquate Maßnahmen zu ergreifen. Auch kleine und mittelständische Unternehmen könnten von dieser Regelung betroffen sein und würden von neuen Datenschutzauflagen womöglich deutlich empfindlicher getroffen.

Welche Regelungen bestehen außerdem?

Die Europäische Union hat deutlich gemacht, dass sie dem Datenschutz einen bedeutenden Stellenwert einräumt. Dies zeigt sich auch in der geplanten Einführung einer einheitlichen Datenschutzrichtlinie für die Europäische Union. Die endgültige Fassung der Datenschutz-Grundverordnung (DSGV) wird derzeit noch verhandelt und ist derzeit für Ende 2015 angestrebt.

Eine kürzlich von Ipswitch durchgeführte europaweite Umfrage unter 300 Führungskräften in der Unternehmens-IT zeigte, dass Unternehmen zwar Maßnahmen zur Vorbereitung ergreifen, dies jedoch ein langsamer Prozess ist. Seit fast vier Jahren wird über die DSGV beraten.

Trotzdem ergab die Befragung vom September 2015, dass jedes fünfte befragte Unternehmen noch immer keine Vorstellung davon hat, ob sie von den Veränderungen betroffen sein werden, obwohl sie angaben, personenbezogene Daten zu speichern und zu verarbeiten.

69 Prozent der befragten Unternehmen waren der Ansicht, dass sie in Technologien investieren müssen, die sie bei der Verarbeitung und Speicherung von Daten im Einklang mit den neuen Vorschriften unterstützen.

Was können Unternehmen gegenwärtig tun, um sich vorzubereiten?

Unternehmen sollten die Konsequenzen durch die geänderte Gesetzgebung nicht unterschätzen. In Abhängigkeit von den derzeitigen Datenübertragungsmethoden eines Unternehmens könnte die Safe-Harbor-Entscheidung weitreichende Änderungen für viele Abteilungen nach sich ziehen.

Folgende fünf Schritte helfen der IT dabei, sich auf die neuen Datenschutzrichtlinien einzustellen:

Schritt 1: Klare Zuständigkeiten

Angesichts der steigenden Anforderungen für die Gewährleistung des Datenschutzes kann die Ernennung eines Datenschutzbeauftragten ein erster Schritt in die richtige Richtung sein. Viele Unternehmen haben dies bereits getan, und es ist wahrscheinlich, dass nach Inkrafttreten der DSGV zahlreiche weitere folgen werden.

Ein Vorgehen, zu dem Gartner-Analyst Carsten Casper ohnehin raten würde, oder in seinen Worten: „Die Beschäftigung eines Datenschutzbeauftragten ist sinnvoll, ungeachtet gesetzlicher Vorgaben.“ Der Compliance-Prozess wird jedoch die Unterstützung der obersten Führungsebene, die Zusammenarbeit zwischen den Abteilungen, die Bereitstellung von Ressourcen, die Genehmigung eines Budgets und Technologieinvestitionen erfordern.

Egal wie Unternehmen es angehen: Es muss klar sein, wer innerhalb der Organisation für das Projekt zuständig ist.

Schritt 2: Aktuelle Praktiken prüfen

Auch wenn Unternehmen etwas Zeit haben werden, um Compliance zu erreichen, sollten sie bereits jetzt damit beginnen, ihre Datenübertragungsmethoden - darunter die Nutzung von Datenfreigabe-Diensten wie Dropbox - zu überprüfen, um sich ein genaues Bild vom Stand der Dinge zu machen und handlungsfähig zu sein, wenn weitere Richtlinien erlassen werden.

Dabei sollte zudem ermittelt werden, wer im Unternehmen von den Veränderungen betroffen sein und inwiefern Unterstützung benötigt werden wird. Es zeugt von gutem Geschäftssinn, über die derzeitige Compliance-Herausforderung hinaus zu planen. Die Verantwortlichen sollten sich fragen, welche Prozesse, Richtlinien oder Technologien jetzt zur Unterstützung bei bevorstehenden Projekten eingeführt werden können.

Was ein reifes, agiles Unternehmen auszeichnet, sind Lösungen, die den heutigen Anforderungen gerecht werden, sich jedoch flexibel an zukünftige Veränderungen anpassen lassen.

Schritt 3: Wo ist das Unternehmen am empfindlichsten?

Mit der Aufhebung des Safe-Harbor-Abkommens ist die sichere und zuverlässige Dateiübertragung bei geschäftskritischen Prozessen ins Rampenlicht gerückt. Nie war es wichtiger für Unternehmer, über die Grundsätze ihres Unternehmens für den Dateiaustausch Bescheid zu wissen. Da noch keine neuen Richtlinien vorliegen, die das Safe-Harbor-System ersetzen, sollte damit gerechnet werden, dass alle kommenden Vorschriften strikter sein werden und ein Prüfpfad verlangt wird. Eine hilfreiche Technologie ist in diesem Zusammenhang Managed File Transfer . Dies bietet der IT-Abteilung vollständige Kontrolle und Transparenz bei der Dateiübertragung.

Schritt 4: Die Mitarbeiter ins Boot holen

Unternehmen sollten gewährleisten, dass sie über die für sicheren Datentransfer notwendigen Dateiübertragungstechnologien, Sicherheitssysteme, Verfahren sowie einen vollständigen Prüfpfad verfügen, und – was vielleicht am wichtigsten ist – diesbezüglich Mitarbeiterschulungen durchführen.

Damit die implementierten Lösungen ihren Zweck erfüllen, ist es entscheidend, dass auch den Mitarbeitern klargemacht wird, was von ihnen verlangt wird. Man kann alle Lösungen der Welt implementiert haben, doch wenn die Mitarbeiter nicht wissen, was von ihnen verlangt wird, werden sie scheitern.

Die Vorbereitung der Mitarbeiter auf die neuen Datenschutz-Anforderungen ist genauso wichtig wie die Anpassung der Technologie.

Schritt 5: Bereit für Taten

Die nationalen Datenschutzbehörden in den EU-Mitgliedsstaaten haben sich beeilt, Unternehmen Empfehlungen zu geben, wie sie sich nach Aufhebung des Safe-Harbor-Abkommens im Alltag verhalten sollten. Ein von ihnen heftig diskutiertes Thema ist die Verwendung von Musterklauseln in Verträgen, wofür sich einige Experten in derzeitiger Ermangelung einer Richtlinie aussprechen. Andere wiederum, darunter das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein, vertreten die Auffassung, dass es keinen Ersatz für Safe Harbor gibt.

Manchen mag dies als lästige und zeitaufwändige Hürde erscheinen, die von Unternehmen überwunden werden muss, doch darf man nicht vergessen, was der Safe-Harbor-Beschluss für die Bürger bedeutet: Er ist ein wichtiger Sieg für den Schutz persönlicher Daten, der sich zudem als großer Gewinn fürs Geschäft erweisen kann.

Um ein Prinzip der Physik zu paraphrasieren: Innovation verabscheut Vakuum, genauer gesagt: Das durch den Safe Harbor-Beschluss hinterlassene Vakuum bietet enorme Chancen für Weiterentwicklung Unternehmen können dies nutzen, um bessere Lösungen zu entwickeln, die das Verantwortungsbewusstsein im Zeitalter der digitalen Wirtschaft abbilden.

* Michael Hack ist Senior Vice President of EMEA Operations bei Ipswitch

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43819728 / Recht und Datenschutz )