Ende von Safe Harbor wirft viele Fragen auf

Der Europäische Gerichtshof hat das umstrittene Safe-Harbor-Abkommen mit den USA aufgehoben. Doch nun herrscht Unsicherheit, auf welche rechtliche Grundlagen Unternehmen künftig bauen können, was den internationalen Datenaustausch betrifft. [...]

Die persönlichen Daten europäischer Internet-Nutzer sind in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt. Das hat der Europäische Gerichtshof in Luxemburg festgestellt und deshalb wurde die Vereinbarung zur einfachen Datenübermittlung in die USA („Safe Harbor“) gekippt. Die Entscheidung des Europäischen Gerichtshofs ist weniger wegen der zu erwartenden Konsequenzen spannend, sondern vielmehr, weil ein einzelner Internetnutzer für den Schutz seiner Privatsphäre bis zum EuGH gegangen ist. 2013 reichte der damalige Jusstudent Max Schrems Beschwerde bei der irischen Datenschutzbehörde in Irland ein, wo Facebook seinen europäischen Hauptsitz hat. Das Ergebnis ist nun das Kippen des Safe-Harbor-Abkommens.

Für Endnutzer hat das Ende von Safe Harbour kaum Auswirkungen. Aber heimische Unternehmen, die sich bei ihren Datentransfers in die USA auf das Abkommen zwischen EU und Vereinigten Staaten gestützt haben, müssen bei der österreichischen Datenschutzbehörde „unverzüglich einen Antrag auf Genehmigung des Datenverkehrs stellen“. Darauf verwies Hans Zeger von der ARGE Daten in einer ORF-Radiosendung. Dieser Antrag werde genehmigt, wenn man andere Garantien vorweisen könne. „Das können zum Beispiel die EU-Standardvertragsklauseln sein, das könnte auch die Zustimmung der Einzelnen sein“, so Zeger im Ö1-Mittagsjournal: „Das könnten aber auch eigene Verträge sein, die eben den österreichischenDatenschutz- oder Datensicherheitsniveaus entsprechen.“ Die Zahl von bis zu 4.000 betroffenen Unternehmen in Österreich hält Zeger dem Bericht zufolge für realistisch, denn es gebe hierzulande viele Firmen, die Tochter eines amerikanischen Konzerns sind, und weil zahlreiche Betriebe regelmäßigen Datenaustausch mit anderen Unternehmen in den USA haben. Als Beispiele nennt Zeger „Hotelketten, Fluglinien, Reisebüros, Internet Service Provider, Telekom-Unternehmen“ bis zu „Versandhändlern und so weiter und so fort“.

NEUES ABKOMMEN BENÖTIGT

Nun brauchen die USA und die EU ein neues Abkommen. Die europäischen Datenschutzbeauftragten in der sogenannten Artikel-29-Arbeitsgruppe zeigen sich in einer ersten gemeinsamen Stellungnahme zum Safe-Harbor-Urteil des Europäischen Gerichtshofs (EuGH) einig: Die EU-Mitgliedstaaten und die europäischen Institutionen müssten „dringend“ gemeinsam mit der US-Regierung „rechtliche und technische Lösungen“ finden, damit bei den transatlantischen Datenübertragungen „die Grundrechte respektiert“ werden. Steht bis Ende Januar keine „angemessene Lösung“ zur Verfügung, wollen die Aufsichtsbehörden „alle notwendigen und angemessenen Maßnahmen“ ergreifen – möglicherweise in einer konzertierten Aktion. Ein neues Safe-Harbor-Abkommen werde aber wohl nur „Teil der Lösung“ sein. So betonen die Datenschützer, dass „klare und verbindliche Mechanismen“ sowie durchgreifende Kontrollbefugnisse und Rechtsbehelfe notwendig seien. Ohne politische Reformen in den USA wird dies kaum zu realisieren sein.

„SCHWERES ERDBEBEN“

„Die gestrige Entscheidung des Europäischen Gerichtshofs hat ein schweres Erdbeben ausgelöst. Schließlich hat das Gericht den Beschluss der EU-Kommission aus dem Jahr 2000, die von den USA vorgelegte Safe-Harbor-Regelung als mit europäischen Datenschutzstandards vereinbar anzusehen, für ungültig erklärt. Die Schockwellen dieses Erdbebens werden uns zwar erst nach und nach treffen, dafür aber umso heftiger. Denn die in der Urteilsbegründung angesprochenen Grundrechte sind nicht verhandelbar. Wenn sich also in den USA nichts Grundsätzliches ändert, dürfte es für die EU-Kommission schwierig bis unmöglich werden, eine neue, rechtssichere Safe-Harbor-Regelung oder sogar ein entsprechendes Abkommen mit den USA auszuhandeln“, meint Günter Untucht, Chefjustiziar des japanischen IT-Sicherheitsanbieters Trend Micro in Europa. Der Verband der Internet Service Provider Austria (ISPA) begrüßt das Urteil: „Das Urteil ist ein starkes Zeichen für den Schutz der Grund- und Menschrechte im Internet und zeigt, dass die Sensibilisierung für dieses Thema steigt.

GESETZGEBER GEFORDERT

Die ISPA sieht dies als ganz klares Signal gegen Massenüberwachung und Zensur und als klaren Auftrag an den Gesetzgeber; und zwar nicht nur in den USA und der EU, sondern auch in Österreich, wo beispielsweise beim Staatsschutzgesetz oder den Netzsperren speziell im Bereich des Rechtsschutzes mit mehr Sorgfalt vorgegangen werden sollte“, so Maximilian Schubert, Generalsekretär der ISPA, in einer Aussendung. Prinzipiell gebe die ISPA jedoch zu bedenken, dass das Internet auf Datenaustausch beruht. Sofern keine Nachfolgeregelung gefunden werden kann, würde die ersatzlose Streichung von Safe Harbor diesen Datenaustausch über die Grenzen der EU hinweg deutlich erschweren und könnte somit schlimmstenfalls zu einer Abkapselung der EU führen. Das würde die weitere Entwicklung der digitalen Wirtschaft sowie des Internets stark behindern beziehungsweise das damit verbundene Potential deutlich reduzieren. „Unternehmen brauchen klare und praktikable Regelungen“, so Schubert, und: „Wichtig dabei ist ein einheitliches Niveau, das einerseits den Schutz der Privatsphäre gewährleistet, auf der anderen Seite jedoch Innovation nicht verhindert. (pi/cb)


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*