A safer harbor!

Die Beziehungen zwischen der EU und den USA sind ambivalent, das ist nichts Neues. Die USA würden im Zuge von Strafen bei Wirtschaftsdelikten EU Firmen über Gebühr heranziehen, die EU kündigt den Datentransfer mit den USA auf, die USA verhalten sich bei der Flüchtlingsfrage zurückhaltend, möchten aber TTIP unbedingt, die EU möchte unbedingt den Rückhalt der USA gegen Putin und so fliegen die Bälle hin und her über den großen Teich. Z.B. wird gerade im Zuge der Verfahren gegen Banken und aktuell die anstehende Aufarbeitung des VW Abgasskandals oft eingewandt, dass ausländische Firmen in den USA höhere Strafen erhalten als inländische. Das ist teilweise objektiv so. Jedoch ist es weniger die viel bemühte und groß angelegte Verschwörung. Das dürfte auch damit zu tun haben, dass US Firmen es bisweilen besser verstehen, die Verfahren im eigenen Land zu managen (positiver Ansatz) und mehr Lobbyismus betreiben (negativer Ansatz). Die Behörden dort lieben es, wenn “der Büßer” sofort zu Kreuze kriecht und um Entschuldigung bittet. Am besten im TV. Wer Kultur und Regelwerk kennt, ist im Vorteil. Die Retourkutsche auf NSA u.a., wenn man so will, war am 6.10. die Safe Harbor Entscheidung des EuGHs. Daraus resultieren jetzt massenweise Compliance Probleme. Der Datenaustausch personenbezogener Daten von der EU in die USA (außerhalb der notwendigen Erfüllung von Verträgen) ist ab sofort rechtswidrig. Faktisch war es das wohl für die meisten nach den Massstäben des EuGHs schon immer. Ein Unternehmen, das u.a. über SaaS oder die public cloud Daten transferiert, kann das spätestens jetzt nicht mehr bedenkenlos tun. Als Lösung werden auf dem Markt die Binding Corporate Rules, BCR`s oder die EU Standardvertragsklauseln angeboten bzw. verkauft. Safe Harbor war notwendig, da die USA kein sicheres Land sind, was den Datenschutz anbelangt. Wen interessiert es da, dass die Daten an den Knotenpunkten in der EU bereits abgegriffen werden und gerne auch durch eigene, kooperierende Dienste. Es gibt ohnehin nur eine Handvoll Länder, die aus unserer Sicht das EU Datenschutzniveau haben. Die USA gehören nicht dazu. Sie taten es noch nie. US Firmen konnten aber über eine Safe Harbor Zertifizierung dieses Niveau erhalten und nur dann war sukzessive die vertragliche Abmachung über den sog. Standardvertrag ausreichend. Jetzt fehlt die Zertifizierungsmöglichkeit über die FTC, somit ist der EU-Standardvertrag ebenfalls hinfällig. Bleibt im Zweifel die Einwilligung des einzelnen Berechtigten. Doch nach dem EuGH Urteil handelt es sich um einen Eingriff in ein Grundrecht, dieser Eingriff sei sogar der individuellen Einwilligung des Berechtigten entzogen. Was ist mit der Anonymisierung der Daten, damit der Personenbezug wegfällt ? Würde so Facebook funktionieren? Wie es nun weitergeht, weiß keiner so genau. Im Zweifel wie bisher? Das wird gefährlich. Die Entscheidung zeigt, dass der Datenschutz immer mehr ins Zentrum der Aufsicht rückt. Jeder Betrieb sollte sich insoweit hinterfragen, ob er dieses Thema überhaupt auf der Agenda hat. Ob Datenschutzbeauftragter oder Datenschutzerklärung inkl. die Einhaltung der Verpflichtungen. Es gibt Dinge, die kann man nicht beeinflussen und andere, die man beeinflussen kann. Um letzteres sollte man sich kümmern. Um Safe Harbor 2.0 kümmert sich die Politik. Der nächste Skandal kommt bestimmt. “They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety.” (Benjamin Franklin)