Gestärkter Datenschutz – und Rückbesinnung auf Schweizer Cloud Service Provider?
Ein Sturm fegt durch die (europäische) Welt: In seinem Urteil vom 6. Oktober 2015 hat der Europäische Gerichtshof das Safe-Harbor-Abkommen zur Übermittlung von personenbezogenen Daten von der EU in die USA für ungültig erklärt.
Mit der Erklärung des EuGH ist Safe Harbor – der sichere Hafen (für Daten) – also gefallen? Ein etwas drastisches Bild, zugegeben, doch auch irgendwie zutreffend. Denn in einer Stellungnahme zum Urteil des EuGH macht der EDÖB (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) deutlich, dass mit dem Wanken des Safe-Harbor-Abkommens auch das entsprechende „U.S.-Swiss Safe Harbor Framework“ zwischen der Schweiz und den USA in Frage gestellt wird. Im Rahmen neuer Verhandlungen wird die Schweiz ein international koordiniertes Vorgehen anstreben, unter Einbezug der EU. Neue Bestimmungen und Regularien müssen aufgesetzt werden, um bei der Weitergabe personenbezogener Daten an die USA dem Schweizer Datenschutzgesetz gerecht zu werden. Ein Bekenntnis der beteiligten Unternehmen zu den Bestimmungen des Safe-Harbor-Abkommens reicht nicht mehr aus.
Das Safe-Harbor-Abkommen wurde im Jahr 2000 von der Europäischen Kommission in Absprache mit den USA getroffen. Dieses Abkommen sollte es Unternehmen ermöglichen, personenbezogene Daten aus einem Land der EU an Unternehmen in den USA zu übermitteln – in Übereinstimmung mit der europäischen Datenschutzrichtlinie 95/46/EG. Diese Richtlinie verbietet die Übertragung personenbezogener Daten aus Mitgliedstaaten der Europäischen Union in Staaten, deren Datenschutz kein dem EU-Recht vergleichbares Schutzniveau aufweist. Und dazu zählen auch die Vereinigten Staaten.
Eine ganz ähnliche Vereinbarung besteht auch zwischen der Schweiz und USA, mit demselben Ziel: einen gesetzeskonformen Datenverkehr hinsichtlich Datenschutz zwischen den Staaten zu gewährleisten. Sie basiert auf einem Regelwerk – dem „U.S.-Swiss Safe Harbor Framework“ – das die EDÖB gemeinsam mit dem Staatssekretariat für Wirtschaft (SECO) in enger Anlehnung an das Safe-Harbor-Abkommen ausgearbeitet hat. Allen unter dieser Vereinbarung zertifizierten Unternehmen wird ein ausreichendes Datenschutzniveau gewährleistet.
US-Unternehmen konnten sich beim Handelsministerium der USA unter dem Safe-Harbor-Abkommen zertifizieren und sich damit verpflichten, die darin festgehaltenen Datenschutzgrundsätze („Safe Harbor Principles“) einzuhalten. Bis September 2015 waren dem Abkommen ca. 5500 amerikanische Unternehmen beigetreten, darunter IBM, Microsoft, General Motors, Amazon.com, Google, Hewlett-Packard, Dropbox und Facebook. Unternehmen in der Schweiz müssen mit zertifizierten US-Unternehmen weder einen Vertrag aushandeln noch den EDÖB über den Datentransfer informieren. Damit wurde der Datenverkehr zwischen Schweizer und US-Unternehmen immens erleichtert. Mit dem EuGH Urteil vom 6. Oktober 2015 zieht über diese Erleichterung jedoch ein schwerer Sturm auf.
Unzählige Unternehmen nutzen hierzulande beispielsweise Facebook für Marketingzwecke und Dienste wie Azure oder AWS für ihre Unternehmens-IT. Bis es in der Schweiz ein neues Regelwerk gibt, sollten Unternehmen sich genau überlegen, welche Daten wohin weitergegeben werden. Für die Auslagerung lautet die eindeutige Empfehlung: Wenn Daten ausgelagert werden, dann mindestens bei europäischen Anbietern, deren Server im EU-Raum gehostet werden! Oder besser noch in der Schweiz.
Völlig unabhängig vom neuen EuGH-Urteil hat der eidgenössische Datenschützer Hanspeter Thür bereits vor einiger Zeit vor der Datenauslagerung in grosse Rechenzentren im Ausland gewarnt und rein schweizerische Lösungen empfohlen. Sensible Daten seien in den grossen Clouds viel zu wenig geschützt. Auch der Fall Snowden habe eindrucksvoll bestätigt, dass die grossen externen Rechenzentren von Microsoft, Google, etc. von unberechtigtem Zugriff nicht sicher seien. Mit einer Cloud Lösung vom Schweizer Anbieter wie z.B. der netrics hosting AG herrscht zumindest dahingehend Sicherheit, dass Personendaten dem Schweizer Datenschutzgesetz unterstehen und die entsprechenden Vorkehrungen für die Datensicherheit getroffen werden.
Bezüglich Datentransfer in die USA sollen laut EDÖB sowohl Schweizer Firmen als auch Behörden entsprechende Zusatzvereinbarungen mit US-Unternehmen treffen, von denen sie Dienstleistungen oder Produkte beziehen – mit dem Ziel, die Personendaten und somit auch die Personen selbst angemessen zu schützen.
Ähnliches empfiehlt auch Ursula Widmer, die Präsidentin des Informatiksicherheitsverbandes Information Security Switzerland (ISSS). Wenn im Land des Datenempfängers kein gesetzlicher Datenschutz vorhanden ist, der mit dem in der Schweiz gültigen Datenschutz vergleichbar ist, sollte die Schweizer Unternehmen mit dem jeweiligen Anbieter vertragliche Garantien vereinbaren, die einen angemessenen Datenschutz sicherstellen. Nur wenn solche Garantieren vertraglich zwischen den Unternehmen festgelegt wurden, dürfen laut schweizerischem Datenschutzgesetz Personendaten ins Ausland weitergegeben werden.
Eine Lösung für die derzeitige Situation könnten neue Grundlagen sein, die von den US-Anbietern geschaffen werden. Die EU-Kommission habe hierfür bereits Standardklauseln publiziert, so Widmer. Wie im Schweizer Datenschutzgesetz gibt es auch im EU-Recht die Möglichkeit, mit Datenempfängern in den USA vertragliche Datenschutzgarantien zu vereinbaren. Grosse Konzerne haben es da noch leichter, denn in „Binding Corporate Rules“ können konzernweite Regeln definiert werden, die ein ausreichendes Datenschutzniveau gewährleisten.
Das Gewicht von US-Unternehmen in der ICT ist unbestreitbar und aus dem Schweizer Wirtschaftsgeschehen nicht mehr wegzudenken. Folge dessen ist es unumgänglich, mit den USA eine gemeinsame Grundlage auszuarbeiten. Für den Moment sieht Jean-Marc Hensch, Geschäftsführer des Verbands für die digitale Schweiz Swico, die Situation jedoch noch recht gelassen: „Für die Schweizer ICT-Wirtschaft sehen wir keine unmittelbaren Konsequenzen. Zuerst wird es ja einige Zeit brauchen, bevor klar ist, was nun in der EU effektiv passiert“.
Er hält es beispielwiese nicht für ausgeschlossen, dass die irischen Richter bei der Prüfung des konkreten Falls Safe Harbor doch noch als ausreichend bewerten. Oder ein EU-Mitgliedsland könnte einen Alleingang beim Datenschutz wagen und so noch mehr Bewegung in die Sache bringen.
„Das Urteil stärkt zweifellos den Datenschutz“, so die ISSS-Präsidentin Widmer. Doch sie betont auch, dass es für viele Unternehmen wichtig sei, Personendaten mit den USA auf einer „verlässlichen und einfachen Grundlage“ austauschen zu können. Ihr Fazit zum Urteil des EuGH macht klar, dass ein Ersatz für das Safe-Harbor-Abkommen notwendig ist. Dabei sieht Widmer die Entwicklungen zugleich äusserst realistisch: „Ob es aber möglich sein wird, mit den USA die aus europäischer Sicht notwendigen Datenschutzanforderungen umzusetzen, wird die Zukunft erst noch zeigen.“
Wie sich das Urteil des EuGH auswirken wird, darüber wird derzeit weltweit diskutiert – schliesslich ist die Rechtslage sehr komplex. Klarheit besteht lediglich darin, dass dem Ort der Datenablage in Zukunft noch mehr Aufmerksamkeit zukommen muss, so Swico. Neben der Stärkung des Datenschutzes sieht Hensch auch Chancen für „Schweizer Nischenplayer“, Business in die Schweiz zu holen, wenn das Safe-Harbor-Abkommen tatsächlich nichtig würde.
Auch Peter Grütter, Präsident von Asut, dem Schweizerischen Verband der Telekommunikation, befürwortet „einen griffigen und vertrauensstiftenden Datenschutz“ uns sieht darin einen Standortvorteil für die Schweiz. Der bessere Schutz der Integrität persönlicher Daten ist wünschenswert – vor allem im Hinblick auf die immer intensiver werdende Datenbewirtschaftung.
Es bleibt nun zunächst abzuwarten, wie die irischen Richter, die EU-Kommission und die Schweizer Politik reagieren werden. Dementsprechend will Asut zunächst die Reaktionen und Auswirkungen im europäischen Umfeld aufmerksam verfolgen. Dennoch gibt Grütter den Schweizer Unternehmenskunden den Rat, die Datenschutzbestimmungen von US-amerikanischen IT- und Cloud -Anbietern zu detailliert zu prüfen.
Abschliessend kann ich allen Unternehmen, die personenbezogenen Daten speichern und verwalten, nur einen Rat geben: Behalten Sie die Daten wann immer es möglich ist im eigenen Land und beschränken Sie sich bei einer Datenauslagerung auf Schweizer Rechenzentrumslösungen. Nur dann gehen Sie auf Nummer (sturm-)sicher, agieren datenschutzkonform – und schützen die Rechte Menschen, die letztendlich hinter den Daten stehen.