Skip to main content

13.10.2015 | IT-Sicherheit | Schwerpunkt | Online-Artikel

Safe Harbor: Kein sicherer Hafen

4:30 Min. Lesedauer

Aktivieren Sie unsere intelligente Suche um passende Fachinhalte oder Patente zu finden.

search-config
print
DRUCKEN
insite
SUCHEN
loading …

Der EuGH hat die sogenannte Safe-Harbor-Entscheidung der Europäischen Kommission aus dem Jahr 2000 für ungültig erklärt. Die meisten Kommentatoren haben das Urteil als Meilenstein des Datenschutzes in der EU gefeiert. Doch worum geht es wirklich? Ein Kommentar.

Der Schutz von personenbezogenen Daten genießt in der EU den Rang eines Grundrechts. Deshalb gelten in der EU strenge Richtlinien, um einen Missbrauch wirksam zu verhindern. Unternehmen dürfen personenbezogene Daten nicht in Drittländer übertragen, ohne sicherzustellen zu überzeugen, dass die Regeln des EU-Datenschutzes dort eingehalten werden. In den USA gelten geringere Standards, also dürfen EU-Unternehmen keine US-Firmen mit IT-Dienstleistungen beauftragen, wenn dabei geschützte Daten in die USA übertragen werden. Leider sitzen aber viele Anbieter von wichtigen IT-Services in den USA, so dass EU-Unternehmen um ihre Konkurrenzfähigkeit fürchten müssten, wenn sie deren Dienste nicht nutzen dürften.

Um dieses Dilemma zu beseitigen, hat die EU-Kommission im Jahr 2000 die sogenannte Safe-Harbor-Entscheidung veröffentlicht, nach der US-Unternehmen von sich aus verbindlich erklären können, dass sie die ihnen anvertrauten Daten nach den Richtlinien der EU behandeln. Das amerikanische Handelsministerium führt eine Liste über diese Unternehmen. Diese Übereinkunft brachte Rechtssicherheit und alle waren zufrieden.

Spätestens seit den Enthüllungen von Edward Snowden ist aber allgemein bekannt, dass die NSA und ihre befreundeten Dienste aus Kanada, England, Australien und Neuseeland (auch bekannt als Five Eyes) alle verfügbaren digitalen Daten abgreifen und analysieren. US-Firmen sind außerdem gesetzlich verpflichtet, ihren Behörden auf Verlangen beliebige Daten auszuliefern. Eine Klage von Microsoft gegen diese Praxis war in zwei Instanzen erfolglos. Ausländische E-Mails auf ausländischen Servern seien auszuliefern, weil sie nicht etwa treuhänderisch verwaltete Dokumente Dritter, sondern Geschäftsdokumente des Hosters (des Betreibers der Serverfarm) seien, urteilten die Gerichte.

Verpflichtung zum Datenschutz unwirksam

Seit dem 6. Oktober 2015 gilt die Safe Harbor Entscheidung der EU-Kommission nicht mehr: Der Europäische Gerichtshof hat sie mit sofortiger Wirkung für ungültig erklärt. Das massenhafte und ungezielte Abgreifen von Daten, wie es in den USA praktiziert werde, sei mit den Datenschutzrichtlinien der EU nicht vereinbar, erklärten die Richter. US-Firmen können sich dagegen nicht wehren, also ist ihre Verpflichtung zum Datenschutz unwirksam. Das hört sich ziemlich sensationell an, aber letztlich stellte das Gericht damit lediglich die bekannten Tatsachen fest. Die Richter rissen eine aus wirtschaftlichen Gründen aufrechterhaltene Fassade ein, hinter der längst kein Gebäude mehr stand. Die meisten Journalisten und alle größeren Parteien fanden das spontan richtig gut (Eine erschöpfende Übersicht findet sich bei Netzpolitik.org).

Weitere Artikel zum Thema Safe Habor

US-Unternehmen wie Facebook und Microsoft beeilten sich zu versichern, dass sich für sie nicht ändern werde, sie schlössen mit allen Nutzern individuelle Verträge, in denen der Transfer von Daten in die USA ausdrücklich erlaubt wird. Aber damit ist das Thema keineswegs vom Tisch. Der Gerichtshof hat eindeutig festgestellt, dass US-Unternehmen sich nicht gegen Eingriffe des amerikanischen Staats wehren dürfen. Damit ist jegliche vertragliche Absicherung eines Datentransfers in die USA nichtig, weil ein EU-Bürger nicht wirksam auf ein Grundrecht verzichten kann. EU-Unternehmen machen sich eventuell strafbar, wenn sie amerikanische Firmen mit IT-Dienstleistungen beauftragen, die personenbezogene Daten betreffen.

Die NSA macht relativ ungehindert weiter

Die EU-Kommission hat bereits verlauten lassen, dass die Sache sooo schlimm nun auch nicht sei, erst einmal ändere sich nichts. Ein neuer Vertrag werde bereits verhandelt. Das EuGH-Urteil hat die Messlatte dafür aber sehr hoch gelegt und die Verhandlungen werden sich wohl jahrelang hinziehen. Erst einmal eröffnet sich den Datenschützern in der EU ein ganz neues Betätigungsfeld, und die Wirtschaft leidet unter der fehlenden Rechtssicherheit.

Sind unsere Daten jetzt wenigstens besser geschützt? Die traurige Antwort lautet: Eher nein. Die NSA kann ihren Datenhunger weiterhin relativ ungehindert stillen, denn der befreundete britische Geheimdienst GCHQ greift seine Daten bereits auf britischem Boden ab. Überhaupt gilt die Faustregel, dass jeder nationale Geheimdienst so viele Daten sammelt, wie er mit vertretbarem Aufwand bekommen kann. Ausnahmen sind eher selten.

Selbstständige und Unternehmen bleiben letztlich selbst auf der Verantwortung für den Schutz ihrer Daten sitzen. Soll man also Buchhaltung, Rechnungslegung und Kundeninformationen von Dienstleistern abwickeln lassen oder besser im Haus behalten? Wenn es um wirksamen Datenschutz geht, kann das leicht zur Entscheidung zwischen Pest und Cholera werden. Wer IT-Dienste auslagert, verliert die Kontrolle über Wege und Speicherorte. Andererseits ist der Sicherheitsstandard der hauseigenen IT-Abteilungen von kleinen und mittelständische Unternehmen oft so jämmerlich, dass jedes Skriptkiddie in die Server einbrechen kann. Am besten ist es, die eigene IT-Sicherheit von einem professionellen Dienstleister ab und zu überprüfen zu lassen. Das Getöse in der Politik dagegen kann man getrost ignorieren.

Zur Person
Dr. Thomas Grüter ist Mediziner und Geschäftsführer seines eigenes Softwareunternehmens. Seit 2009 ist er Affiliate am Lehrstuhl für Allgemeine Psychologie und Methodenlehre der Universität Bamberg.

Die Hintergründe zu diesem Inhalt