23. Juli 2020 Der Europäische Gerichtshof kippt nach Safe Harbor nun auch Privacy Shield – höchste Zeit für Datensicherheit!

Bereits zum zweiten Mal nach 2015 haben die Luxemburger Richter dem Datentransfer in die USA eine legale Basis entzogen. Doch dieses Mal ist das Urteil noch härter ausgefallen: Denn nicht nur das Datenschutzabkommen Privacy Shield wurde für unzulässig erklärt. Auch die sogenannten Standardvertragsklauseln stehen auf der Kippe. Für die über 5.000 Firmen und Institutionen, die derzeit den Privacy Shield nutzen, stellt sich die Frage: Wie geht es nun weiter?

Der Europäische Gerichtshof (EuGH) hat die EU-US-Datenschutzvereinbarung Privacy Shield gekippt. Im Rechtsstreit des österreichischen Juristen Max Schrems gegen Facebook erklärten die Luxemburger Richter das 2016 geschlossene Abkommen für nichtig. Hintergrund ist eine Beschwerde des Datenschutzaktivisten Schrems. Dieser hatte bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet.

Bereits Safe Harbor eine Mogelpackung

privacy_shield_800

Das neuerliche Aus für das Datenschutzabkommen zwischen der EU und den USA kommt jedoch wenig überraschend. Datenschützer wie der damalige Vorsitzende des Vereins Digitale Gesellschaft Alexander Sander hatten den Nachfolger des Safe-Harbor-Abkommens von Anfang an als Mogelpackung und schlechten Witz bezeichnet. Denn das Grundproblem bleibt beziehungsweise blieb das gleiche und auch der Privacy Shield konnte dies nicht beheben.

Noch immer haben die US-Geheimdienste einen uneingeschränkten Zugriff auf die personenbezogenen Daten von EU-Bürgern. Der EuGH vermisst in den US-Überwachungsprogrammen zum Zweck der Auslandsaufklärung entsprechende Einschränkungen. Genauso wenig sei erkennbar, „dass für potenziell von diesen Programmen erfasste Nicht-US-Personen Garantien existieren“, heißt es in dem Urteil. Daher könne nicht angenommen werden, dass die „Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt sind“.

Keine gesetzliche Verpflichtung zum Datenschutz

Auch den im Privacy Shield vereinbarten Rechtsbehelf für EU-Bürger hält der EuGH für unzureichend. Das Abkommen enthalte „keinen Hinweis darauf, dass die Ombudsperson ermächtigt wäre, gegenüber den Nachrichtendiensten verbindliche Entscheidungen zu treffen“. Zudem würden in diesem Beschluss „keine gesetzlichen Garantien angeführt, die mit dieser Verpflichtung einhergingen und auf die sich die betroffenen Personen berufen könnten“. Kein Zufall, dass die europäischen Datenschutzbehörden in ihrer ersten Evaluierung des Abkommens genau diese Punkte bereits moniert und Nachbesserungen gefordert hatten. Diese Nachbesserungen gab es jedoch nie.

Zugleich hat der EuGH jedoch entschieden, dass die Standardvertragsklauseln prinzipiell eine Alternative zu Abkommen wie Safe Harbor oder dem Privacy Shield darstellen können. Ein entsprechender Beschluss der EU-Kommission sei nicht zu beanstanden. Das bedeutet jedoch keinen Freibrief für aktuell gültige Standardvertragsklauseln. Denn im Grunde müssen diese ebenfalls ein angemessenes Schutzniveau europäischer Daten in einem Drittland garantieren. Und genau das hat der EuGH im Falle der USA gerade verneint.

Cloud Act kommt erschwerend hinzu

Auch das gerne angeführte Argument, dass die großen US-Konzerne ihre Rechenzentren auf europäischem Boden betreiben, zählt in diesem Zusammenhang nicht viel: Durch den sogenannten Cloud Act vom März 2018 haben US-Sicherheitsbehörden weltweiten Zugriff auf Server, die US-Firmen gehören.

Die Berliner Datenschutzbeauftragten Maja Smoltczyk verlangt konsequenterweise „in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern“? Smoltczyk fordert, „sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten“. Unternehmen und Institutionen, die insbesondere bei der Nutzung von Cloud-Diensten personenbezogene Daten in die USA übermitteln, „sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln“.

Schadenersatz und Bußgelder drohen

Smoltczyk sieht sogar finanzielle Ansprüche der Betroffenen. Dabei verweist die Berliner Datenschutzbeauftragte auf Randnummer 143 des EuGH-Urteils, wonach bei Verstößen gegen die Standarddatenschutzklauseln den Betroffenen ein Anspruch auf Schadenersatz zusteht. „Dieser dürfte insbesondere den immateriellen Schaden (Schmerzensgeld) umfassen und muss nach dem europäischen Recht eine abschreckende Höhe aufweisen“, sagt Smoltczyk laut Pressemitteilung. Hinzu kommen zudem Bußgelder durch den so begangenen Verstoß gegen die Datenschutzgrundverordnung (DSGVO).

So fasst die Datenschutzbeauftragte denn auch zusammen: „Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei. Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.“

Datenströme und IT-Infrastruktur muss dringend überprüft werden

Unternehmen aber auch Behörden sind also gut beraten, ihre Datenströme aber vor allem Ihre Infrastruktur zu hinterfragen. Denn wenn Mitarbeiter nicht die nötigen Mittel zur Verfügung haben, um Daten sicher und DSGVO-konform zu übertragen oder zu speichern, greifen sie schnell auf aus dem privaten Umfeld bekannte Lösungen zurück. Meist kommen dann Private Clouds wie Dropbox, Google Drive oder iStore zum Einsatz – die zugehörigen Unternehmen sitzen… natürlich in den USA.

Allerdings ist es nicht völlig unmöglich, Daten sicher in die USA zu transferieren oder sichere Möglichkeiten zur Datenspeicherung zu finden. Die Vorschläge des früheren Bundesdatenschutzbeauftragten Peter Schaar nach dem Aus des Safe-Harbor-Abkommens sind auch heute wieder gültig: "Unternehmen könnten andere Serverstrukturen aufbauen, sie könnten sich andere IT-Dienstleister suchen, sie könnten in bestimmten Diensten eine Ende-zu-Ende-Verschlüsselung einrichten, sodass kein Dritter - auch sie selbst nicht - auf den Klartext zugreifen können."

Secure Content als Lösung

Die Lösung stellen sogenannte Secure Content Plattformen, wie FTAPI dar. Anhänge können hier in beliebiger Größe übertragen werden. Die Inhalte der Dateien werden zudem durch asymmetrische Verschlüsselung geschützt. Die Verifizierung von Empfängern rundet das Sicherheitskonzept ab. Die Anhänge können ausschließlich vom Absender und durch diesen berechtigte Empfänger entschlüsselt werden. Auch FTAPI hat entsprechend des „Zero-Knowledge”-Prinzips keinen Zugriff auf die Inhalte.

Der Datentransfer mit FTAPI lässt sich ohne Aufwand in bestehende Kommunikationsprozesse integrieren. Auch sehr große Dateien wie Baupläne, BIM oder Videos lassen sich einfach von der vertrauten E-Mail-Umgebung aus verschicken, direkt aus Microsoft Outlook, über plattformunabhängige Webapplikation. Eventuelle Restriktionen von E-Mail-Providern spielen dabei keine Rolle, da Ihre Empfänger die Anhänge über eine sichere Kommunikationsplattform abrufen.

In den FTAPI Datenräumen können Dateien und Dokumente Ende-zu-Ende-verschlüsselt abgelegt und für Kollegen, Partner oder Kunden freigegeben werden. Nur die Mitglieder der Datenräume können die darin sicher abgespeicherten Dateien entschlüsseln. Anders als bei üblichen Cloud-Anbietern können weder Server-Betreiber, Provider oder die US-Regierungsstellen die Dateien einsehen. Die FTAPI Mobile App ermöglicht darüber hinaus die ortsunabhängige Erreichbarkeit aller Unterlagen.

Wie Sie – unter anderem mit einer Secure Content Plattform – für mehr Datensicherheit sorgen können, erfahren Sie in unserem kostenlosen Whitepaper. Gleich runterladen!

Jetzt anfordern!
zurück