Safe Harbor wurde gekündigt – das ist auch gut so!

WP_20151011_16_49_34_Pro

Vorab noch der Hinweis zu zwei Exkursen am Ende des Kommentars die das Thema vertiefen:

Exkurs 1: Safe Harbor wurde gekündigt – was bedeutet das konkret?

Exkurs 2: Was ist eigentlich dieses „Datenschutz“?

 

Aber nun:
Darum ist es gut, dass Safe Harbor gekündigt wurde – und dadurch eine Diskussion geführt wird.

Viele Unternehmen nutzen Dienstleister mit Sitz in den USA für digitale Dienste und übertragen Daten dorthin um diese dann dort verarbeiten zu lassen. Gerade in Bereichen des Marketings bzw. der sozialen Netze und Collaboration-Tools. Oft ist jedoch völlig ungeregelt, wie diese Daten dort verarbeitet und genutzt werden.

Insbesondere durch die Digitalisierung ergeben sich ganz neue Möglichkeiten der Datengewinnung- und Nutzung. Das ist grundsätzlich auch sehr positiv und innovativ. Hier müssen aber auch die Datenschutzgrundwerte der Selbstbestimmung gewahrt werden und dürfen nicht, einfach weil es geht, geopfert werden oder als „Innovationsbremse“ betitelt werden. Datenschutz kann hier Leitplanke sein oder Sperre – je nach Positionierung.

Dabei geht es mir nicht primär um die scheinbar großen Dienstleister und Anwendungen wie Google Docs, Microsoft Office 365, Salesforce, Dropbox, Trello etc.

Hier liegen natürlich viele, oftmals auch sehr sensible Daten. Mitarbeiterdaten, Gesundheitsdaten, Kundendaten im CRM inkl. Bonitätsauskünfte, etc. Gerade bei den sehr sensiblen Daten ist eine Übertragung in die USA auch bisher schon weitestgehend ausgeschlossen oder, wenn es sich um Kundendaten handelt wie bspw. CAD-Zeichnungen, per Geheimhaltungsklausel im Vertrag verboten.

Dabei sehe ich dies gar nicht aktuell im Zusammenhang mit der Safe Harbor Aufkündigung, denn diese Daten durften und dürfen teils gar nicht in die USA (und andere Länder) übermittelt werden und eine Übertragung lies und lässt sich nur schwer umsetzen. Es hat sich also an der Illegalität nicht wirklich etwas geändert. Was schlimm genug ist und auch geändert gehört.

Andererseits bieten die großen Unternehmen durchaus Lösungen an. Teilweise aber erst durch den jetzt aufgebauten Druck bieten einige Unternehmen nun EU-Standardverträge an. Auch wenn diese mittlerweile ebenso in Frage gestellt sind wie Safe Harbor.
Einige große Anbieter mieten jetzt Rechenzentrumsdienstleistungen in Europa an – und zwar inklusive Wartung. Dadurch können wirksame Verträge zur Auftragsdatenverarbeitung abgeschlossen werden.

Aber auch hier muss geprüft werden, dass die Datenverarbeitung in den europäischen Rechenzentren den Datenschutz-Verträgen entspricht, die man mit diesem Unternehmen abgeschlossen hat.

Genau das ist der Punkt, der auch bei Safe Harbor zu bemängeln war. Viele kleine Unternehmen sind zwar Safe Harbor beigetreten, bieten aber keine Verträge zur Auftragsdatenverarbeitung an oder schließen Vorgaben zur Verarbeitung oder die Kontrolle der selbigen aus.

Somit bleibt es bei einer Übermittlung von Daten – und nicht bei einer Übertragung zur Verarbeitung von Daten im Auftrag. Zumindest aber sind keine ausreichenden Verträge zur Auftragsdatenverarbeitung abgeschlossen, was ein erhebliches Bußgeld nach sich ziehen kann, wie die aktuellen Bußgeldbescheide in Bayern zeigen.

 

Warum sind prüfbare Vereinbarungen in Verträgen so wichtig?

Weil klar sein muss, was mit diesen übertragenen Daten geschieht. Zu diesen gesammelten Daten gehören auch Daten, wie sie bspw. durch das Einbinden eines externen Scriptes auf einer Internetseite übertragen werden. Beispielsweise der Facebook Gefällt-mir Button, ein Video von YouTube oder ein Werbebanner welcher von einem zentralen Server ausgespielt wird. Hier wird nicht nur die IP-Adresse übermittelt (und es ist eigentlich egal ob diese als personenbezogen gilt oder nicht) , der Anbieter dieses extern gelagerten Scriptes (Datei) kann einen DigitalFingerPrint erzeugen oder kann ein Cookie setzen, somit werden Personen getrackt, die mit den entsprechenden Unternehmen keinerlei Vertrag geschlossen haben und dies teilweise nicht einmal erfahren. Verantwortlich für die Datenverarbeitung wäre dann das Unternehmen, welche solche Scripte in der eigenen Internetseite einbindet. Ob und wie der Dienstleister externen Scripte diese Daten tatsächlich zu einem Profil zusammenführt ist unklar. Ich kann auch nicht sagen ob die Anbieter von externen Diensten so etwas machen. Am Beispiel Facebook und dem „datr Cookie“ sieht man aber, dass dies wahrscheinlich ziemlich sicher so ist.

 

Man weiß nicht was ….  Aber es wird was kommen!

Solche Daten können zu einem späteren Zeitpunkt, wenn ich mich dann vielleicht bei diesem Dienst anmelde, mit meiner E-Mail-Adresse oder anderen identifizierenden Daten zusammengeführt werden. Alles Daten die gesammelt worden sind, bevor ich den Nutzungsbedingungen zugestimmt habe.

So erhält ein Stalker plötzlich meine Informationen, nur weil wir über eine dritte Person miteinander verknüpft sind und diese meine eigene und die E-Mailadresse des Stalkers in einem Adressbuch führt oder ein Unternehmen seine Kundendaten zu einem Anbieter hochgeladen hat. Hierbei spielt es auch keine Rolle ob die Daten anonymisiert (gehasht) werden, es kommt rein auf die, eventuell spätere, Verknüpfung an.

Will ich das? Kommt drauf an….

Habe ich die Entscheidung über meine Daten? Offensichtlich nicht…

 

Sehr viel Konjunktiv?

Ja, aber die (US-)Unternehmen können klarstellen und vertraglich vereinbaren, dass sie genau das nicht machen. Transparenz der Daten ist hier wichtig. Hier ist auch seitens der Nutzer und der nutzenden Unternehmen wichtig, entsprechende Forderungen an die anbietenden Unternehmen zu stellen.

Wie schizophren ist es, dass wir gegen den Staat und seine Vorratsdatenspeicherung sind, aber wesentlich mehr und genauere Daten nicht nur über uns selbst, sondern über andere Personen, mit denen wir zum Teil nicht einmal einen Vertrag haben, an Wirtschaftsunternehmen in den USA oder anderen Ländern übermitteln.

Für seine eigenen Daten kann und soll man dies entscheiden dürfen – und auch eine Datenübermittlung zulassen können. Ich selbst nutze Fitnesstracker, Facebook und collaborative Tools für MEINE Daten.

Diese Entscheidungsfreiheit sichert mir die informationelle Selbstbestimmung. Diese nehme ich gerne und bewusst wahr. Aber dazu gehört, dass eben keine Daten von mir übermittelt werden wenn ich dies nicht möchte oder nicht weiß.

Deshalb ist es wichtig, dass die Politik das Safe Harbor Abkommen (oder wie auch immer das dann heissen mag) neu diskutiert. Es ist wichtig, dass Druck gegen die Unternehmen aufgebaut wird welche diese Daten einfach so verarbeiten. Wenn hierbei erst Druck auf die Unternehmen ausgeführt werden muss, welche diese Dienste nutzen, so ist das der unschöne aber sicherlich richtige Weg.

Hierbei geht es mir nicht darum, dass die Daten gegen den Zugriff der Geheimdienste zu schützen sind. Das sollte auf politischer Ebene natürlich geregelt und verhindert werden. Es geht mir aber darum, dass die Unternehmen eben nicht die übertragenen Daten für eigene Zwecke verwenden dürfen.

Hierzu gehören gesellschaftliche Diskussionen. Denn ein Grundproblem ist das unterschiedliche Verständnis von Datenschutz in Europa und den USA.
Die USA kennen das „Right to be let alone“. Ein Recht darauf, „allein gelassen zu werden“ im eigenen Haus. Dadurch ergibt sich dort ein Verständnis zum Opt-Out. Es dürfen Daten weitestgehend solange genutzt werden, bis man der weiteren Nutzung widerspricht. In der EU benötigen wir in der Regel eine Einverständniserklärung (oder eine andere gesetzliche Grundlage), also ein Opt-In.

 

Wie geht Ihr mit euren Daten und den Daten eurer Freunde und Kunden um?

 

 

kurze Ergänzung: Es gibt ein interessantes Podcast genau zu diesem Thema bei Thomas Schwenke.

 

Exkurs 1: Safe Harbor wurde gekündigt – was bedeutet das konkret?

Mit dem Urteil EuGH C 362-/14 wurde das “Safe Harbor” Abkommen für ungültig erklärt.

Nun hat sich die Artikel 29 Gruppe sowie die Datenschutzkonferenz geäußert.

Das Positionspapier der Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder ist hier in voller Länge abrufbar.

Am Ende heißt es: „Insoweit begrüßt die DSK die von der Art. 29-Gruppe gesetzte Frist bis zum 31. Januar 2016.“

Entsprechend sollten Unternehmen die Entscheidung und die Positionspapiere ernst nehmen.

Unternehmen sollten nun:

  • die Datenflüsse in die USA (oder andere Drittstaaten) ermitteln und die Rechtsgrundlage hierfür erfassen (ein Blick in das hoffentlich vorhandene Verfahrensverzeichnis sollte genügen). Gibt es Verträge, BCRs oder Safe Harbour?
  • Cloud- und Softwareanbieter/Dienstleister dahingehend prüfen, ob diese ausschließlich Daten innerhalb Europas verarbeiten oder nicht.
  • wenn nötig die Anbieter wechseln. Eine Kündigung “aus wichtigem Grund” sollte wahrscheinlich möglich sein.
  • für Fälle bei denen Sie nicht einfach wechseln können weil die Kosten hierbei wesentlich zu hoch sind oder Ihr Geschäftsmodell direkt betroffen ist, Pläne entwickeln und mittelfristig (besser kurzfristig) Lösungen erarbeiten.

 

Fazit: Ruhig bleiben aber tätig werden!

Basics im Datenschutz abarbeiten wenn noch nicht geschehen. Wenn sie keinerlei Datenschutzkonzept haben und Ihre Mitarbeiter von Datenschutz noch nichts gehört haben brauchen Sie wegen Safe Harbor gar nicht erst argumentieren.

Der Bitkom hat in einem Leitfaden die wichtigsten Punkte und Folgen sehr schön zusammengefasst.

Exkurs 1 Ende

 

Exkurs 2: Was ist eigentlich dieses „Datenschutz“?

Das Bundesdatenschutzgesetz stammt aus den 70er Jahren des letzten Jahrtausend und ist somit ein ziemlich altes Gesetz (zumindest wenn es um Daten geht).

Aber das ist egal. Es ist kein Gesetz zum Schutz von Computern oder Computerdaten.

Es geht um den Schutz personenbezogener Daten. Es ist dabei egal wo und wie diese Daten gespeichert sind. So sind auch personenbezogene Daten geschützt, wenn diese auf Papier stehen. Beispielsweise einer klassischen Personal- oder Krankenakte.

Datenschutz kommt vom Grundrecht auf Selbstbestimmung. Das bedeutet: Ich allein entscheide über meine Daten – das ist auch im Grundgesetz und der Grundrechtecharta der EU geregelt.

Deshalb besagt das Bundesdatenschutzgesetz auch, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist.

Ausnahmen gibt es, wenn das Datenschutzgesetz selbst diese Verarbeitung erlaubt, beispielsweise durch die Zweckbindung, ein anderes Gesetz die Datenverarbeitung erlaubt, oder eine Einwilligung durch den Betroffenen mit Angabe über Zweck und Umfang der Datenverarbeitung vorliegt.

Das Datenschutzgesetz regelt auch die Verantwortlichkeiten für die Datenverarbeitung. Daher sind Verträge zur Auftragsdatenverarbeitung wichtig.

Durch Verträge zur Auftragsdatenverarbeitung wird der Auftragnehmer, welcher in meinem Auftrag Daten verarbeitet, zur internen Stelle. Die Daten werden also nicht an einen Dritten übermittelt. Das bedeutet aber auch, dass die Kontrolle über die Datenverarbeitung der Auftraggeber hat. Dieser ist und bleibt datenschutzrechtlich verantwortlich. In vielen Fällen, wo Daten beispielsweise an Unternehmen in die USA übermittelt werden, ist eine solche Kontrolle nicht möglich, vertraglich teilweise sogar ausgeschlossen.

Somit handelt es sich nicht um eine Bearbeitung von Daten im Auftrag sondern um eine Datenübermittlung an Dritte welche nicht einfach ohne gesetzliche Grundlage geschehen darf.

Denn, wie oben schon beschrieben, bestimmt jeder selbst über seine eigenen Daten.

Das Bundesdatenschutzgesetz gilt für alle Unternehmen (und Vereine) in Deutschland. Die Einhaltung wird von 16 Aufsichtsbehörden auf Landesebene kontrolliert und ggfls. sanktioniert.

Das Bundesdatenschutzgesetz fordert auch ein paar konkrete Umsetzungen:

Es ist ein Verfahrensverzeichnis zu führen über alle Verfahren, welche personenbezogene Daten verarbeiten.

Es ist ein Datenschutzbeauftragter zu bestellen, wenn mehr als neun Personen personenbezogene Daten verarbeiten.

Die technisch-organisatorischen Maßnahmen (beschrieben in der Anlage zu §9 des Bundesdatenschutzgesetzes) sind umzusetzen und zu dokumentieren.

Diese Vorgaben, insbesondere auch die technisch-organisatorischen Maßnahmen, sind auch im Vertrag zur Auftragsdatenverarbeitung aufzunehmen und vom Auftraggeber zu kontrollieren.

Exkurs 2 – Ende