Safe Harbor bietet Chancen
Es folgt die Einschätzung von Michael Hack, Senior Vice President of EMEA Operations, Ipswitch: Im Oktober hat der Europäische Gerichtshof (EuGH) das Safe-Harbor-Abkommen zwischen den USA und der EU, das Unternehmen eine einfache Möglichkeit zum Austausch von Daten bot, für ungültig erklärt. Die seit 15 Jahren bestehende Regelung wurde als direkte Folge der Anfechtungsklage des österreichischen Jurastudenten Max Schrems aufgehoben. Die von Unternehmen wie Google oder Facebook gesammelten Nutzerdaten seien in den USA nicht ausreichend geschützt, da US-Behörden und -Geheimdienste darauf Zugriff hätten, befanden die Richter des EuGH.
Dafür, dass Schrems den Kampf mit scheinbar unangreifbaren Technologieunternehmen aufgenommen und einen Sieg für die Rechte von Benutzern davongetragen hat, erntete er viel Beifall, insbesondere von Edward Snowden, der mit seinen Enthüllungen über die Online-Überwachung der EU durch den US-Geheimdienst als Erster für transatlantische Spannungen gesorgt hatte. Der EuGH-Beschluss mag zunächst überrascht haben, passt jedoch in das jüngste Vorgehen der Verschärfung von Datenschutzbestimmungen seitens der EU.
Die Datenschutzgesetze der USA sind weitaus weniger streng als die der EU. Bislang stellte Safe Harbor einen Rahmen für eine Kompromisslösung zwischen US- und EU-Datenschutzverfahren dar. Seit 2000 ermöglichte Safe Harbor in den USA ansässigen Unternehmen die Übertragung von Daten europäischer Bürger in die USA, sofern dabei die Datenschutzvorschriften der EU eingehalten wurden. Dazu genügte es, eine Erklärung zu unterzeichnen, mit der das Unternehmen die europäischen Vorschriften für die Datenverarbeitung anerkennt. Mit seinem Urteil setzt der EuGH jedoch das deutliche Signal, dass Datenschutzrechte von Benutzern gesetzlich verankert werden müssen, statt praktisch der Selbstzertifizierung überlassen zu werden. Unternehmen auf beiden Seiten des Atlantiks sind nunmehr dazu angehalten, ihre Methoden zur Sammlung, Speicherung, Verarbeitung und Übertragung von Daten bezüglich EU-Bürgern einer Prüfung unterziehen.
Was bedeutet das für Unternehmen?
Etwa die Hälfte aller Daten weltweit wird zwischen Europa und den USA ausgetauscht. Unternehmen, bei denen die uneingeschränkte Datenübertragung zwischen der EU und den USA Grundlage zahlreicher Geschäftsprozesse ist, zum Beispiel Cloud-Dienstleister, werden sich auf Veränderungen einstellen müssen. Doch auch weltweit tätige Einzelhändler mit Käufern in der EU sowie sämtliche US-Unternehmen, die personenbezogene Daten von EU-Bürgern verwalten und verarbeiten, sind davon betroffen.
Datenschutzbeauftragte in weltweit tätigen Unternehmen suchen nun nach Möglichkeiten, sich auf strengere Datenschutzverordnungen einzustellen. Noch ist nicht klar, welche Verordnung Safe Harbor ersetzen und welche Bestimmungen sie enthalten wird. Doch es ist abzusehen, dass die Bereitstellung von Daten und Dienstleistungen über Kontinente hinweg sich schwieriger gestalten und Auswirkungen auf das laufende Geschäft mit sich bringen wird. Es versteht sich von selbst, dass der Schutz von Benutzerdaten von großer Bedeutung ist und ein grundlegendes Recht sein sollte. Doch die Entscheidung des EuGH betrifft nicht nur Facebook und Google, bei denen davon auszugehen ist, dass sie über genügend Kapazitäten verfügen, um umgehend adäquate Maßnahmen zu ergreifen. Auch kleine und mittelständische Unternehmen könnten von dieser Regelung betroffen sein und würden von neuen Datenschutzauflagen womöglich deutlich empfindlicher getroffen.
Welche Regelungen bestehen außerdem?
Die Europäische Union hat deutlich gemacht, dass sie dem Datenschutz einen bedeutenden Stellenwert einräumt. Dies zeigt sich auch in der geplanten Einführung einer einheitlichen Datenschutzrichtlinie für die Europäische Union. Die endgültige Fassung der Datenschutz-Grundverordnung (DSGV) wird derzeit noch verhandelt und ist derzeit für Ende des Jahres angestrebt.
Eine kürzlich von Ipswitch durchgeführte europaweite Umfrage unter 300 Führungskräften in der Unternehmens-IT zeigte, dass Unternehmen zwar Maßnahmen zur Vorbereitung ergreifen, dies jedoch ein langsamer Prozess ist. Seit fast vier Jahren wird über die DSGV beraten. Trotzdem ergab die Befragung vom September 2015, dass jedes fünfte befragte Unternehmen noch immer keine Vorstellung davon hat, ob sie von den Veränderungen betroffen sein werden, obwohl sie angaben, personenbezogene Daten zu speichern und zu verarbeiten. 69 Prozent der befragten Unternehmen waren der Ansicht, dass sie in Technologien investieren müssen, die sie bei der Verarbeitung und Speicherung von Daten im Einklang mit den neuen Vorschriften unterstützen.
Was können Unternehmen gegenwärtig tun, um sich vorzubereiten?
Unternehmen sollten die Konsequenzen durch die geänderte Gesetzgebung nicht unterschätzen. In Abhängigkeit von den derzeitigen Datenübertragungsmethoden eines Unter-nehmens könnte die Safe-Harbor-Entscheidung weitreichende Änderungen für viele Abteilungen nach sich ziehen. Folgende fünf Schritte helfen der IT dabei, sich auf die neuen Datenschutzrichtlinien einzustellen:
Klare Zuständigkeiten
Angesichts der steigenden Anforderungen für die Gewährleistung des Datenschutzes kann die Ernennung eines Datenschutzbeauftragten ein erster Schritt in die richtige Richtung sein. Viele Unternehmen haben dies bereits getan, und es ist wahrscheinlich, dass nach Inkrafttreten der DSGV zahlreiche weitere folgen werden. Ein Vorgehen, zu dem Gartner-Analyst Carsten Casper ohnehin raten würde, oder in seinen Worten: „Die Beschäftigung eines Datenschutzbeauftragten ist sinnvoll, ungeachtet gesetzlicher Vorgaben.“
Der Compliance-Prozess wird jedoch die Unterstützung der obersten Führungsebene, die Zusammenarbeit zwischen den Abteilungen, die Bereitstellung von Ressourcen, die Genehmigung eines Budgets und Technologieinvestitionen erfordern. Egal wie Unternehmen es angehen: Es muss klar sein, wer innerhalb der Organisation für das Projekt zuständig ist.
Aktuelle Praktiken prüfen
Auch wenn Unternehmen etwas Zeit haben werden, um Compliance zu erreichen, sollten sie bereits jetzt damit beginnen, ihre Datenübertragungsmethoden – darunter die Nutzung von Datenfreigabe-Diensten wie Dropbox – zu überprüfen, um sich ein genaues Bild vom Stand der Dinge zu machen und handlungsfähig zu sein, wenn weitere Richtlinien erlassen werden. Dabei sollte zudem ermittelt werden, wer im Unternehmen von den Veränderungen betroffen sein und inwiefern Unterstützung benötigt werden wird.
Es zeugt von gutem Geschäftssinn, über die derzeitige Compliance-Herausforderung hinaus zu planen. Die Verantwortlichen sollten sich fragen, welche Prozesse, Richtlinien oder Technologien jetzt zur Unterstützung bei bevorstehenden Projekten eingeführt werden können. Was ein reifes, agiles Unternehmen auszeichnet, sind Lösungen, die den heutigen Anforderungen gerecht werden, sich jedoch flexibel an zukünftige Veränderungen anpassen lassen.
Wo ist das Unternehmen am empfindlichsten?
Mit der Aufhebung des Safe-Harbor-Abkommens ist die sichere und zuverlässige Dateiübertragung bei geschäftskritischen Prozessen ins Rampenlicht gerückt. Nie war es wichtiger für Unternehmer, über die Grundsätze ihres Unternehmens für den Dateiaustausch Bescheid zu wissen. Da noch keine neuen Richtlinien vorliegen, die das Safe-Harbor-System ersetzen, sollte damit gerechnet werden, dass alle kommenden Vorschriften strikter sein werden und ein Prüfpfad verlangt wird. Eine hilfreiche Technologie ist in diesem Zusammenhang Managed File Transfer . Dies bietet der IT-Abteilung vollständige Kontrolle und Transparenz bei der Dateiübertragung.
Die Mitarbeiter ins Boot holen
Unternehmen sollten gewährleisten, dass sie über die für sicheren Datentransfer notwendigen Dateiübertragungstechnologien, Sicherheitssysteme, Verfahren sowie einen vollständigen Prüfpfad verfügen, und – was vielleicht am wichtigsten ist – diesbezüglich Mitarbeiterschulungen durchführen.
Damit die implementierten Lösungen ihren Zweck erfüllen, ist es entscheidend, dass auch den Mitarbeitern klargemacht wird, was von ihnen verlangt wird. Man kann alle Lösungen der Welt implementiert haben, doch wenn die Mitarbeiter nicht wissen, was von ihnen verlangt wird, werden sie scheitern. Die Vorbereitung der Mitarbeiter auf die neuen Datenschutz-Anforderungen ist genauso wichtig wie die Anpassung der Technologie.
Bereit für Taten
Die nationalen Datenschutzbehörden in den EU-Mitgliedsstaaten haben sich beeilt, Unter-nehmen Empfehlungen zu geben, wie sie sich nach Aufhebung des Safe-Harbor-Abkommens im Alltag verhalten sollten. Ein von ihnen heftig diskutiertes Thema ist die Verwendung von Musterklauseln in Verträgen, wofür sich einige Experten in derzeitiger Ermangelung einer Richtlinie aussprechen. Andere wiederum, darunter das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein, vertreten die Auffassung, dass es keinen Ersatz für Safe Harbor gibt.
Manchen mag dies als lästige und zeitaufwändige Hürde erscheinen, die von Unternehmen überwunden werden muss, doch darf man nicht vergessen, was der Safe-Harbor-Beschluss für die Bürger bedeutet: Er ist ein wichtiger Sieg für den Schutz persönlicher Daten, der sich zudem als großer Gewinn fürs Geschäft erweisen kann. Um ein Prinzip der Physik zu paraphrasieren: Innovation verabscheut Vakuum, genauer gesagt: Das durch den Safe Harbor-Beschluss hinterlassene Vakuum bietet enorme Chancen für Weiterentwicklung. Unternehmen werden dies nutzen, um bessere Lösungen zu entwickeln, die das Verantwortungsbewusstsein im Zeitalter der digitalen Wirtschaft abbilden.