Safe Harbor 2.0: Was an Safe Harbor 2.0 so schwierig ist

Seit 1. Februar ist die Duldungsfrist für Datentransfers nach dem alten Safe-Harbor-Abkommen abgelaufen, jetzt müssen Unternehmen mit Bußgeldern und Strafzahlungen rechnen. Die Angst geht um, und das Geschrei ist groß: Europa als Dateninsel! Das Problem, sagt Oliver Schonschek, ist aber ein ganz anderes.

Ein neues Datenschutzabkommen reicht nicht

Von Oliver Schonschek

„Europa darf keine Dateninsel werden. Deutsche Unternehmen sind international tätig und haben Töchter und Geschäftspartner in aller Welt. Wie sollen sie mit Niederlassungen und Kunden zusammen­arbeiten, wenn sie kaum noch Daten austauschen dürfen?“, so Susanne Dehmel, Bitkom-Geschäfts­leiterin Datenschutz und Sicherheit. Eine Regulierung der internationalen Datenübermittlung „würde nicht nur die Digitalbranche schwer treffen, sondern die deutsche Wirtschaft insgesamt“.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Die Frist ist am 31. Januar 2016 abgelaufen, die es Unternehmen ermöglichte, auf Grundlage des Safe-Harbor-Abkommens personenbezogene Daten aus der EU in die USA zu übermitteln. Alle Unternehmen, die noch keine Alternativlösung gefunden haben und sich auch nach Ablauf der Frist noch auf das Safe-Harbor-Abkommen stützen, müssen jetzt mit Bußgeldern und Strafzahlungen durch die Datenschutzaufsichtsbehörden rechnen, meldet auch der Verband der Internetwirtschaft eco.

Der Datenschutz wird nicht zur Blockade führen

Neben den genannten Branchenverbänden haben sich viele weitere Unternehmen und Organisationen zu Wort gemeldet. Mitunter konnte durch die Meldungen der Eindruck entstehen, der Datenschutz werde nun so gut wie jeden Datentransfer verbieten, der zwischen Unternehmen in der EU und in den USA stattfinden soll. Man braucht allerdings keine prophetischen Gaben, um zu wissen, dass es zu keiner völligen Blockade kommen wird.

Schließlich geht es den Datenschützern nicht um die Bildung von Dateninseln, sondern um ein ausreichendes Datenschutzniveau, ganz gleich, wo sich die Daten befinden. Auch für Übertragungen innerhalb der EU gilt der Datenschutz. Zudem sollte klar sein, dass zwar konkret über den Datenaustausch mit US-Unternehmen gesprochen wird, dass es aber letztlich um Datenübermittlungen mit Drittstaaten generell geht, wie zum Beispiel der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz klarstellte:

„Zwar hat sich der EuGH in seinem Urteil nur mit Datenübermittlungen in die USA befasst. Die Maßstäbe, die aus den europäischen Grundrechten folgen, sind aber generell anwendbar einschließlich der Bewertung eines angemessenen Datenschutzniveaus in Drittstaaten.“

Die Frage ist: Wer setzt die Einhaltung durch?

Wer also behauptet, der Datenschutz würde den Austausch zwischen der EU und den USA blockieren, müsste rundheraus behaupten, dass bald nur noch Daten innerhalb der EU ausgetauscht werden dürfen. Das ist natürlich nicht zu erwarten. Vielmehr sollte man jede Form von „Panikmache“ vermeiden. Richtig ist es aber, dass es den Datenschützern ernst ist mit strengen Auflagen. Diese Auflagen sind aber für Datentransfers in Drittstaaten und speziell in die USA nicht strenger als in der EU selbst. Es geht also nicht darum, in den USA nun strengere Datenschutzvorgaben zu erfüllen, sondern die gleichen wie in der EU.

Das eigentliche Problem sind nicht die Auflagen, die das Safe-Harbor-Folgeabkommen regelt, sondern die Kontrolle der Einhaltung. Dieses Problem der Datenschutzkontrolle besteht aber nicht nur für Transfers in die USA oder einen anderen Drittstaat, sondern ganz generell.

Fazit: Datenschutz muss nachweisbar und kontrollierbar sein

Es gilt ganz grundsätzlich, dass Datenübertragungen eine Rechtsgrundlage benötigen, und es gilt ebenfalls ganz grundsätzlich, dass sich die Unternehmen als verantwortliche Stelle davon überzeugen müssen, ob die Rechtsgrundlage erfüllt ist. Alleine ein Safe Harbor 2.0 als Nachfolgeabkommen löst also das Problem des internationalen Datenverkehrs nicht.

Das Datenschutzniveau muss immer und überall kontrollierbar und nachweisbar sein. Das beginnt nicht erst mit der Frage, ob Daten in die USA übermittelt werden können, sondern das gilt bereits bei jeder anderen Datenverarbeitung und Datenübertragung, zum Beispiel in eine beliebige Cloud. Was wir aus dem Warten auf Safe Harbor 2.0 lernen, ist, dass es ein Problem damit gibt, den Datenschutz kontrollierbar und nachweisbar zu machen. Dies ist die eigentliche Kernaufgabe des Datenschutzes. Safe Harbor 2.0 ist dabei nur eine Facette von vielen.

News Analyst Oliver Schonschek.JPG

Oliver Schonschek bewertet als News Analyst auf MittelstandsWiki.de aktuelle Vorfälle und Entwicklungen. Der Fokus liegt auf den wirtschaftlichen Aspekten von Datenschutz und IT-Sicherheit aus dem Blickwinkel des Mittelstands. Er ist Herausgeber und Fachautor zahlreicher Fachpublikationen, insbesondere in seinem Spezialgebiet Datenschutz und Datensicherheit.


Oliver Schonschek, Tel.: 02603-936116, www.schonschek.de

Nützliche Links