Security is a process!

„EU-US Privacy Shield“: Weder Schutz noch Schild!

Vor zwei Tagen hat die EU-Kommission den „erfolgreichen“ Abschluss der Verhandlungen mit den USA über eine Folgevereinbarung zum Safe-Harbor-Abkommen verkündet. Nach Ansicht des Bundesverband IT-Sicherheit e.V. (kurz: TeleTrusT) sei bereits jetzt klar, dass die neue Vereinbarung geltendes EU-Recht brechen werde.

Künftig sollen Daten in die USA datenschutzkonform auf Basis des sogenannten EU-US Privacy Shield übermittelt werden dürfen.  TeleTrusT bezeichnet das als „inkonsequenten Schnellschuss“ und einen „erneuten Bruch geltenden EU-Rechtes“. Die vom EuGH aufgezeigten Missstände seien nicht ausreichend berücksichtigt, weil auch die Nachfolgeregelung keinen ausreichenden Schutz der Daten vorsehe. Inhalt der Vereinbarung soll insbesondere die Zusage der US-Regierung werden, den massenhaften Datenzugriff der US-Behörden auf das erforderliche Maß zu beschränken. Das war bei Safe Harbour nicht anders. Dass dieses erforderliche Maß durch die USA festgelegt wurde, hatte — verkürzt gesprochen — auch das Safe-Harbor-Abkommen zu Fall gebracht.

Nur ein Provisorium
Alter Wein in neuen Schläuchen: Das sogenannte EU-US Privacy Shield als Safe-Harbor-Nachfolger.

„Bereits vor Veröffentlichung des vollständigen Vertragstextes ist klar, dass die Forderungen des EuGH aus dem „Schrems-Urteil“ so nicht erfüllt werden können. Statt staatlicher Regeln zur Begrenzung des Datenzugriffs seitens der USA bleibt es bei einseitigen Absichtserklärungen. Statt eines wirksamen gerichtlichen Rechtsschutzes richten die USA lediglich Kummerkästen ein. Völlig außer Acht lässt die Kommission, dass die Sammelwut der USA bis zum nächsten Snowden wieder im streng Geheimen stattfindet. Die Wahrung des europäischen Grundrechts auf Schutz der personenbezogenen Daten würde dagegen ein radikales Umdenken der USA beim Thema Datenschutz, insbesondere beim Zugriff der Geheimdienste, voraussetzen. Das ist aber keineswegs in Sicht. Dies zeigen nicht zuletzt auch die aktuellen Gesetzgebungsverfahren zum USA Freedom Act und dem Judicial Redress Act. Beide werden die vom EuGH aufgezeigten Missstände nicht beseitigen.“
Karsten U. Bartels, Rechtsanwalt bei HK2 RAe, Berlin
TeleTrusT-Vorstand und Leiter der AG „Recht“

Die Annahme, die USA werden allein aufgrund des Privacy Shield das Datenschutzniveau angemessen anheben können, sei nicht vertretbar. Das hieße nicht weniger als den Europäern ein höheres Schutzniveau zu gewähren als den US-Bürgern gegenüber. Tatsächlich sei die Einhaltung eines EU-grundrechtskonformen Schutzniveaus auch weiterhin alleine in das Ermessen der USA gestellt. Dies sei eine Kapitulation in Sachen Datenschutz und IT-Sicherheit. Es sei zudem davon auszugehen, dass der EuGH auch das neue Abkommen für unwirksam erklären werde. Dadurch ist das Abkommen nicht mehr als ein politischer Zeitgewinn um das transatlantische Verhältnis nicht weiter zu belasten — eine Lösung für betroffene Unternehmen ist es nicht und diese ist auch nicht in Sicht.

„Für Unternehmen, die Daten in die USA übermitteln, stellt sich damit weiterhin die Frage, ob dies auf einer derart unsicheren Grundlage erfolgen kann. Unternehmen sollten sich nicht auf das neue Abkommen verlassen und konsequent an einer Verlagerung der Datenverarbeitung nach Europa weiterarbeiten. Besonders international tätige Konzern-Unternehmen stehen weiter vor einem Scherbenhaufen, der bereits Jahre zuvor abzusehen war.“
Sebastian Klipper, CycleSEC Gründer und Geschäftsführer

Das Unabhängige Landeszentrums für Datenschutz in Schleswig-Holstein vertrat bereits 2011 die Ansicht, dass Safe Harbor das Papier nicht wert sei, auf dem es geschrieben stehe. Das Abkommen wurde am 6. Oktober 2015 vom Europäischen Gerichtshof (EuGH) für ungültig erklärt. Eine Übergangsfrist europäischen Datenschutzbehörden für eine Neuregelung der Datenübertragung in die USA durch die EU-Kommission verstrich Ende Januar 2016.

Link zur TeleTrusT Pressemitteilung.


Kontakt zu CycleSEC

Sie möchten Ihren „Safe-Harbor-Scherbenhaufen“ aufräumen? Natürlich beraten wir Sie gerne zu Lösungswegen und beantworten Ihre Fragen rund um das Thema. Nehmen Sie noch heute Kontakt zu uns auf. Hierzu können Sie auch das folgende Kontakt-Formular nutzen:

Kontaktformular

Senden Sie uns vertrauliche Informationen bitte ausschließlich als verschlüsselte E-Mail und nicht mit diesem Formular. Sie können beim Ausfüllen des Formulars Pseudonyme verwenden. Bitte nutzen Sie alle mit * gekennzeichneten Felder.

    Ihr Name*:

    Ihre E-Mail-Adresse*:

    Rückruf gewünscht?

    Bitte geben Sie Ihre Telefonnummer an:

    Betreff*:

    Ihre Nachricht an CycleSEC*:

    Durch Klicken auf "Absenden" bestätigen Sie, unsere Datenschutzbestimmungen zur Kenntnis genommen zu haben.

    Veröffentlicht am

    Foto des Autors

    Dieser Beitrag kommt von

    Sebastian Klipper

    Sebastian Klipper ist Geschäftsführer und Eigentümer der CycleSEC GmbH. Er ist Autor mehrerer Fachbücher zu den Themen Cyber Security, ISMS-Implementierung mit ISO/IEC 27001 und Risikomanagement.

    Sie haben noch Fragen?

    Nehmen Sie Kontakt zu uns auf:

    Hier geht's zum Kontaktformular

    Bitte stimmen Sie der Benutzung von Cookies durch diese Webseite zu. Weitere Informationen

    Informationen zu Coockies

    Diese Webseite verwendet so genannte Cookies. Sie dienen dazu, die Webseite, insbesondere die Kommentarfunktion nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren.

    Wenn Sie auf "Akzeptieren" klicken, erklären Sie sich mit der Nutzung von Cookies einverstanden.

    Schließen