Die EU-Datenschutz-Grundverordnung verstärkt den Druck auf die europäische Wirtschaft, den transatlantischen Datentransfer rechtssicher zu gestalten. Da die US-amerikanische Gesetzeslage jedoch extrem unsicher ist, sollten alle personenbezogenen Daten verschlüsselt und pseudonymisiert werden, bevor sie den EU-Raum verlassen.
Die Bedeutung des Datenverkehrs mit den USA ist für die EU-Unternehmen unbestritten hoch. So nutzen viele Firmen Cloud-Computing-Lösungen von Anbietern, die ihren Sitz in den Vereinigten Staaten haben oder dort Server betreiben. Mit dem Inkrafttreten der EU-DSGVO verschärft sich das Problem, dass das US-amerikanische Datenschutzrecht die Vorgaben aus der EU nicht erfüllen kann.
Safe Harbor nicht sicher genug
Dieses Problem zeigte sich bereits bei der Verabschiedung des Safe Harbor-Abkommens im Jahr 2000, mit dem sich Unternehmen in den USA verpflichten konnten, bestimmte Prinzipien des Datenschutzes einzuhalten. 2015 wurde dieses Abkommen vom Europäischen Gerichtshof (EuGH) endgültig gekippt, da die USA nicht als sicheres Drittland für die Datenverarbeitung galten. Ausschlaggebend dafür waren die viel zu weitreichenden Befugnisse der US-Behörden, auch ohne Anlass die Datenströme und Kommunikation zu überwachen, Stichwort: USA PATRIOT Act. Hinzu kamen die eingeschränkten Rechte der EU-Bürger, was die Berichtigung oder Löschung ihrer Daten betraf. Nach Aussetzung von Safe Harbor war zunächst jede Übertragung von personenbezogenen Informationen aus dem EU-Raum in die USA unzulässig, in der Folgezeit wurden gegen einige Unternehmen auch Bußgelder verhängt.
Starke Kritik auch an Nachfolge-Modell
Seit 2016 gilt nun als Nachfolge-Abkommen der EU-US Privacy Shield. Zwar wurden darin strengere Datenschutzvorgaben für US-Firmen formuliert sowie die Datenzugriffe durch US-Behörden, die Rechtsdurchsetzung Betroffener in den USA und bestimmte Review-Mechanismen neu geregelt. Doch steht auch der EU-US Privacy Shield von Beginn an stark in der Kritik, vor allem Datenschutzorganisationen, aber auch EU-Parlamentarier und die Zivilgesellschaft äußern erhebliche rechtliche Bedenken.
Denn obwohl sich die am EU-US Privacy Shield teilnehmenden US-Unternehmen auf die Einhaltung bestimmter Datenschutz-Standards verpflichten, sind sie weiterhin dem US-Recht unterstellt und den Behörden im Zweifelsfall gegenüber auskunftspflichtig. Das heißt konkret, dass die Geheimdienste der USA noch immer massenhaft und faktisch unkontrolliert auf personenbezogene Daten von EU-Bürgerinnen und -Bürger zugreifen und diese speichern und verarbeiten können.
Trump macht Datenschutzgarantien zweifelhaft
Doch damit nicht genug: Als eine seiner ersten Amtshandlungen erließ US-Präsident Donald Trump Anfang 2017 die Anordnung zur „Verbesserung der öffentlichen Sicherheit in den USA“, die die bis dahin gegebenen Datenschutzgarantien gegenüber Nicht-US-Bürgern außer Kraft setzen kann. So ist es durchaus möglich, dass die Trump-Anordnung den von der Obama-Administration noch kurz vor dem Ende der Amtszeit bestätigten „Judical Redress Act“ aufhebt. Dieses Gesetz erlaubt es den EU-Bürgern, sich an die US-Behörden zu wenden, wenn US-Unternehmen gegen Datenschutzrechte verstoßen. Trumps „Executive Order“ könnte nun auch das Aus für den EU-US Privacy Shield bedeuten.
EU-Datenschützer beobachten die Entwicklung seit langem mit Sorge. Sie legen eine umfangreiche Liste von Mängeln des EU-US Privacy Shields vor und kritisieren unter anderem, dass die US-Regierung bis heute noch nicht die versprochene Stelle einer Ombudsperson besetzt hat, die sich um die Datenschutzanliegen europäischer Bürger kümmert. Sie fordern die EU-Kommission und die US-Administration auf, unverzüglich Verhandlungen zu beginnen, wie die lange Liste der Kritikpunkte bearbeitet werden könnte. Sollte in zentralen Punkten bis Mai 2018 – also zum Inkrafttreten der EU-DSGVO – keine Besserung erfolgen, wollen sie das Thema vor den Europäischen Gerichtshof bringen.
Ausweg durch Verschlüsselung und Pseudonymisierung
Wie aber können europäische Unternehmen den wachsenden Spagat meistern, der sich zwischen den strengen EU-Datenschutzauflagen und dem sinkenden Datenschutzniveau in den USA ergibt? Als einzig praktikabler Ansatz bietet es sich an, dafür zu sorgen, dass personenbezogene Daten erst gar nicht das Unternehmen und den EU-Raum verlassen. Dies hat den Vorteil, dass kein Cloud-Anbieter – ob in den USA oder anderswo – darauf zugreifen kann. Technisch möglich wird dies durch Lösungen wie das eperi Gateway, das sensible Personendaten durch Verschlüsselung und Pseudonymisierung unlesbar macht, bevor sie die Unternehmensgrenzen in Richtung Cloud verlassen. Die Informationen werden erst dann wieder entschlüsselt, wenn sie zurück ins Unternehmen zum Anwender übermittelt werden. Dabei behält der Nutzer die Kontrolle über die kryptografischen Schlüssel und Prozesse über den gesamten Lebenszyklus der Daten hinweg. Für ihn gestalten sich diese Prozesse transparent, er arbeitet wie gewohnt mit der Cloud-Anwendung weiter.
Da auf diese Weise verschlüsselte oder pseudonymisierte Daten nicht mehr als personenbezogen gelten, unterliegen sie auch nicht den strengen EU-Datenschutzregularien. Gleichzeitig entfallen für die Unternehmen erhebliche Aufwände, um die Konformität mit Datenschutzgesetzen wie der EU-DSGVO nachzuweisen – vor allem, wenn sie Cloud-Services und die Unterstützung externer Dienstleister bei der Auftragsdatenverarbeitung in Anspruch nehmen.
Mit der Verschlüsselung und Pseudonymisierung personenbezogener Informationen können EU-Unternehmen ihrer Verantwortung gerecht werden, den sie für den Schutz der Daten ihrer Kunden, Lieferanten und Mitarbeiter tragen. Bei Verstößen drohen künftig hohe Bußgelder und Imageverlust.
Auch interessant:
