Das europäische Datenschutzrecht steht vor einer Neuausrichtung. Lesen Sie, warum es dafür aus IT-Unternehmersicht höchste Zeit wird. [...]
Für multinationale Unternehmen ist es häufig schwierig, die unterschiedlichen Datenschutzgesetze in verschiedenen Ländern zu erfüllen. So gelten allein innerhalb der Europäischen Union (EU) 27 verschiedene nationale Rechtssprechungen – das bedeutet auch, mit einer Vielzahl von Datenschutzbehörden zusammen arbeiten zu müssen. In Deutschland hat gar jedes Bundesland seine eigene Behörde. Die Folgen sind rechtliche Unsicherheit, hohe Kosten und administrative Belastungen.
Die geplante EU-weite Reform des Datenschutzrechts soll diese Probleme lösen. Unternehmen hoffen, dass eine neue Vorschrift – und damit ein in der gesamten EU direkt anwendbares Regelwerk – Besserung bringt. Der derzeit diskutierte Vorschlag sieht unter anderem vor, dass eine Organisation mit mehrfacher Präsenz in der EU nur noch mit einer EU-Datenschutz- „Aufsichtsbehörde“ (und nur mit deren Anweisungen) zu tun haben soll. Entscheidend dafür ist der Standort der „Hauptniederlassung“ der Organisation (je nachdem, wo die Hauptentscheidungen über die Datenverarbeitung getroffen werden – oder andernfalls, wo in der EU die Hauptverarbeitungstätigkeiten stattfinden).
Eine große Herausforderung für die europäischen Datenschützer stellt das Cloud Computing dar, das Daten immer und überall verfügbar macht und Datenschutz-Richtlinien über Staats- und Unternehmensgrenzen hinweg erfordert.
Die geplante neue EU-Vorschrift sieht deshalb vor, das bestehende Rahmenwerk durch sogenannte Binding Corporate Rules (BCR) zu erweitern. Bei BCRs handelt es sich um interne Verhaltenskodizes, zu denen sich die Unternehmen innerhalb eines Konzerns bezüglich des Datenschutzes und der -sicherheit „verpflichten“ können. Sie sollen sicherstellen, dass auch die firmeninterne Übertragung persönlicher Daten ins nichteuropäische Ausland die europäischen Datenschutzvorschriften erfüllt. IT-Outsourcing-Dienstleister, Cloud-Provider und Rechenzentrumsbetreiber wären nach der Genehmigung der eigenen BCRs durch die jeweilige Aufsichtsbehörde in der Lage, Daten von europäischen Kunden zu empfangen und innerhalb ihres eigenen Konzerns auch in nichteuropäische Länder zu transferieren. Die geplante Neuregelung sieht vor, die Aufsichtsbehörden zur Genehmigung der BCRs zu verpflichten, wenn bestimmte Anforderungen erfüllt oder von der EU-Kommission genehmigte „Modellparagraphen“ verwendet werden. Eine bisher noch ungelöste Herausforderung bei der Ausarbeitung der BCR ist die häufig gesehene Doppelfunktion von Unternehmen – insbesondere von Cloud-Providern – als Datenschutzbeauftragte (in Bezug auf eigene Daten) und als Datenverarbeiter (in Bezug auf Kundendaten).
nhaltlich konzentriert sich die Debatte um ein neues europäisches Datenschutzrecht besonders auf zwei Punkte: das „Recht auf Vergessen“ und die unternehmerische Meldepflicht bei Datenverlusten. Es ist geplant, dass Privatpersonen (insbesondere Kinder und Jugendliche unter 18 Jahren) verlangen können, dass online über sie veröffentlichte Informationen dauerhaft gelöscht werden. Organisationen, bei denen ein solcher Antrag eingeht, sollen angehalten werden, „alle angemessenen Anstrengungen“ zu unternehmen, Website-Betreiber über diese Beschwerde zu informieren. Von der Pflicht, die in erster Linie die Betreiber von Social-Media-Angeboten betreffen würde, sollen Journalisten ausgenommen werden, die private Informationen über Dritte im öffentlichen Interesse ins Netz stellen. Die Krux an dem Plan: Technisch ist ein solches Gesetz kaum realisierbar, weil eine Information, die einmal im Internet steht, nicht mehr gelöscht oder überhaupt kontrolliert werden kann. Die Europäische Agentur für Netz- und Informationssicherheit ENISA hat zu diesem Thema einen Bericht mit dem Titel „Das Recht auf Vergessen – zwischen Erwartung und Praxis“ veröffentlicht.
Was die Meldepflicht bei Verletzungen der Datensicherheit angeht, fehlt in Europa bisher eine einheitliche Regelung. Bislang gelten in den verschiedenen Staaten unterschiedliche Schwellenwerte, ab wann und wie schnell ein Datenverlust gemeldet werden muss. Zudem unterscheiden sie sich in der Frage, ob betroffene Privatpersonen, Regulierungsinstanzen oder beide Gruppen informiert werden müssen. Der neue Vorschriftenentwurf verlangt, dass Datenschutzbeauftragte aller Sektoren ihre Aufsichtsbehörde über Verletzungen der Datensicherheit bei persönlichen Daten informieren. Solch eine umfassende Regelung ist in der aktuellen Gesetzeslage bisher nur für die öffentlichen Anbieter von Telekommunikationsdiensten vorgesehen. Die Aufsichtsbehörde muss „ohne schuldhaftes Verzögern“ – in der Regel binnen 24 Stunden nach Entdeckung des Vorfalls – benachrichtigt werden. Privatpersonen sollen immer dann zu informieren sein, wenn der Datenabfluss deren Privatsphäre „wahrscheinlich“ beeinträchtigt.
Die 24-Stunden-Frist befindet sich derzeit noch auf dem Prüfstand – so hat der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments vorgeschlagen, den Zeitraum auf 72 Stunden auszuweiten. Auch die Unterrichtung von Privatpersonen ist umstritten: Privatpersonen sollten nur benachrichtigt werden müssen, wenn ihre Privatsphäre durch einen Datenverlust erheblich beeinträchtigt werden könnte – „zum Beispiel in Fällen von Identitätsdiebstahl oder Betrug, körperlichen Schäden, erheblicher Demütigung oder Rufschädigung“, wie es der Ausschuss formuliert.
Asiatisches System
Ein Blick über die EU-Grenzen hinaus zeigt, dass die Vorschläge, die in der neuen EU-Vorschrift zu finden sind, anderswo bereits umgesetzt wurden: So haben die Mitgliedsstaaten der Asia Pacific Economic Cooperation (APEC) im November 2011 ein ähnliches multinationales Modell auf die Straße gesetzt – die APEC Cross Border Privacy Rules (CBPR). Diese Vereinbarung schafft einen einheitlichen Datenschutz für Privatpersonen im gesamten APEC-Raum – sie gilt somit in Australien, Brunei, Kanada, Chile, China, Hongkong, Indonesien, Japan, Malaysia, Mexico, Neuseeland, Papua-Neuguinea, Peru, Philippinen, Russland, Singapur, Südkorea, Taiwan, Thailand, den USA und Vietnam. Laut CBPR müssen teilnehmende Unternehmen ihre eigenen, internen Geschäftsregeln zu grenzüberschreitenden Datenschutzverfahren entwickeln. Diese Regeln werden dann überprüft, genehmigt und von einem Behördenvertreter zertifiziert. Anschließend ist das Unternehmen berechtigt, persönliche Daten in andere APEC-Staaten zu übertragen, ohne sich weiter mit lokalen Gesetzen beschäftigen zu müssen.
Seit Juli sind die CBPR in den USA im Einsatz. Die Vereinigten Staaten ernannten die Federal Trade Commission (FTC) zur zuständigen Datenschutzvollzugsbehörde und kürten den FTC Act (15 USC 45) zu dem von den CBPR-Protokollen verlangten Datenschutzgesetz. Sollte die EU mit einem analog verfassten BCR-Programm nachziehen, stünde einer Vernetzung beider Regelsets nichts mehr im Weg. Damit wären viele der heutigen Datenschutzprobleme besonders zugunsten der großen Cloud-Provider gelöst.
Es gibt neben dem Cloud Computing weitere technische Entwicklungen, die eine Reform des europäischen Datenschutzrechtes erforderlich machen. Allen voran ist der Consumerization-Trend zu nennen, häufig auch als „Bring your own device“ bezeichnet, weil Mobilgeräte zunehmend gleichermaßen privaten wie beruflichen Zwecken dienen. Viele der auf den mobilen Plattformen genutzten Anwendungen entbehren jedweder Datenschutzerklärung, obwohl sie unmittelbar auf bestimmte Daten des Nutzers oder sensible Geräteinformationen zugreifen. Auch die komplexe Geräteverwaltung innerhalb eines Unternehmens – von der IT-Abteilung unter Sicherheitsaspekten nicht gerne gesehen – verlangt eine Neubewertung der Sachlage. Es gilt eine neue Balance zwischen Nutzerpräferenzen, unternehmerischen Bedürfnissen und den Anforderungen der Informationssicherheit zu finden. Auf jeden Fall bis dahin gilt weiterhin: 2013 wird ein entscheidendes Jahr für den Datenschutz – sowohl für Unternehmen, Privatanwender als auch Regulierer. Datenschutz gehört ins unternehmerische Top-Management und darf nicht den Rechts- und Compliance-Experten überlassen werden. Daran wird auch eine geänderte EU-Gesetzgebung nichts ändern.
* Yves Le Roux ist Mitglied des (ISC)² European Advisory Board und Principal Consultant bei CA Technologies. Zudem hält er die Titel des Certified Information Systems Security Professional (CISSP) und des Certified Information Security Managers (CISM).
Be the first to comment