Compliance & Datenschutz
EuGH-Urteil zu Safe Harbor: Den Daten ist das Gesetz egal
Der Europäische Gerichtshof (EuGH) hat das Datenschutzabkommen Safe Harbor für ungültig erklärt – und eine Lösung ist noch immer nicht gefunden. Die 15 Jahre alte Vereinbarung zwischen den EU-Staaten und der USA wurde gekippt, weil nach Ansicht des Gerichts US-Gesetze im Zweifel immer Vorrang vor den Richtlinien des Abkommens haben und der Schutz personenbezogener Daten deshalb nicht gewährleistet ist. Was nun angesichts des NSA-Skandals auf den ersten Blick wie ein starkes europäisches Statement oder ein positives Signal für mehr DatenschutzDatenschutz aussieht, erweist sich auf den zweiten Blick schon heute als extrem problematisch für die Praxis der global agierenden deutschen Wirtschaft. Alles zu Datenschutz auf CIO.de
Datenaustausch mit den USA: Keine Rechtssicherheit
Zum einen beziehen sich die Richter in ihrem Urteilsspruch überhaupt nicht auf die Methoden der NSA oder auf die Ausspionierung von Datensätzen durch andere Geheimdienste, sondern lediglich auf den Patriot Act, der in den USA als höchster juristischer Standard alle anderen Regelungen außer Kraft setzen kann. Zweitens, und das ist der eigentliche Knackpunkt, hinterlässt die faktische Aufhebung des Abkommens ein Feld der Unsicherheit in der europäischen Unternehmenslandschaft.
Denn die schnell formulierten Alternativen wie die sogenannten Standardvertragsklauseln oder die Binding Corporate Rules (BCR), die den Umgang mit personenbezogenen Daten in Drittländern regeln, greifen natürlich ebenso wenig, wenn der Patriot Act sie wie das Safe-Harbor-Abkommen aushebeln kann. Das hat zur Folge, dass es seit dem Urteil keine Rechtssicherheit für den Datenaustausch mit den USA mehr gibt.
Nun betrifft das Abkommen aber bei weitem nicht nur die gern zitierten Facebook-Daten deutscher Bürger, welche sich die NSA auf den US-Servern vornehmen kann. Die Tragweite ist von größerem Ausmaß. Hierzulande und in ganz Europa müssen Unternehmen die digitale Transformation schaffen. Der Weg in die Cloud ist für viele Unternehmen der erste Schritt dahin. Während früher sämtliche Daten im unternehmenseigenen Rechenzentrum gespeichert und verarbeitet wurden, passen sich die als zögerlich verschrienen deutschen Unternehmen dem dynamisch agierenden Wettbewerb an.
Safe Harbor: Das Ende und die Folgen
Rechenleistung, Speicherkapazität und Software werden zunehmend als Dienstleistung bezogen. Und das verändert den Markt: Nicht die im eigenen Haus vorhandenen Technologien und das interne Know-how stellen das Differenzierungsmerkmal der Unternehmen dar, sondern die Art und Weise wie diese die Möglichkeiten der global verfügbaren, technologischen Ressourcen ausschöpfen. Dieser Umstand wirkt sich auf sämtliche Unternehmensbereiche aus, der Geschäftserfolg steht und fällt mit der Fähigkeit Silostrukturen aufzubrechen, das eigene Angebot durch globale Ressourcen zu optimieren und Prozesse agil und flexibel zu halten. Dafür braucht es dynamische IT-Infrastrukturen – und einen gigantischen Austausch an Daten.
Dieser Datenfluss wird nicht, wie das EuGH-Urteil vermuten lassen könnte, plötzlich unterbrochen. Der cloudbasierte weltweite Datenaustausch wird selbstverständlich auch weiterhin fortgesetzt, denn Daten kennen weder Grenzen noch Gesetze. Die einzige Folge ist, dass die Unternehmen für das Prozedere keine gültige Rechtsbasis mehr haben. Der Branchenverband Bitkom geht davon aus, dass große Unternehmen mitunter hunderte Verträge auf Basis von Safe Harbor abgeschlossen haben, die nun plötzlich hinfällig sind.
Rechtsstandard gesucht: EU & Bundesregierung müssen handeln
Verheerend ist vor allem, dass sich die EU und auch die Bundesregierung darauf verlassen haben, dass das Safe-Harbor-Abkommen Bestand hat. Gekippt von einem klagenden Studenten ist es mehr als peinlich, hier nicht für ausreichende Alternativen und ein Mindestmaß an Sicherheit gesorgt zu haben. Auch das seit längerem verhandelte Safe Harbor 2, das laut EU-Kommission bereits Anfang kommenden Jahres auf den Weg gebracht werden soll, ist eigentlich hinfällig, weil die Voraussetzungen nun andere sind.
EU und Bundesregierung müssen schnellstmöglich dafür sorgen, dass ein Rechtsstandard hergestellt wird, der sowohl nationalen wie auch internationalen Anforderungen an den Datenschutz genügt – nicht nur wegen der Rechtssicherheit, sondern vor allem um Vertrauen aufzubauen. In Deutschland hat man gerade damit begonnen, die Skepsis gegenüber der Digitalisierung abzulegen und die Unternehmenstransformation anzupacken. Dieser mühsam erarbeitete Fortschritt im globalen Kampf um Marktanteile ist schnell dahin, wenn noch nicht einmal klar ist, dass sich ein Unternehmen auf bestehende Abmachungen verlassen kann.