Digitale Privatsphäre

Zwischen Safe Harbor und Privacy Shield: Wie österreichische Firmen Nutzerdaten richtig schützen

Daten im Fluss. Über den Atlantik zum Beispiel. © Fotolia/Tomasz Zajda
Daten im Fluss. Über den Atlantik zum Beispiel. © Fotolia/Tomasz Zajda

Am Morgen des 1. März saß Max Schrems schon wieder im Flugzeug nach Brüssel, einen Tag, nachdem die EU den Abschluss eines neuen Datenschutzabkommens mit den USA verkündet hatte. Mit „Privacy Shield“ sei nun gewährleistet, so die Kommission, dass Daten von EU-Bürgern ­sicher über den Atlantik fließen könnten. Doch der Wiener Jurist und Datenschutzaktivist Schrems, der fast im Alleingang das alte Abkommen „Safe Harbor“ vor dem Europäischen Gerichtshof zu Fall gebracht hatte, ist damit nicht zufrieden und sieht lediglich „kosmetische Verbesserungen“. Er und andere seien bereit, gegen Privacy Shield vorzugehen. Im Februar endete die alte Regelung, während die neue noch nicht in Kraft ist. Das Ergebnis ist eine Rechtslücke, die für viele Unternehmen zum ernsten Problem werden könnte. Bis Privacy Shield gilt, müssten auch einige tausend österreichische Firmen, die US-Dienste nutzen, auf spezielle Verträge zurückgreifen, um einen sicheren Datentransfer zu gewährleisten. Ansonsten könnten im schlimmsten Fall Anzeigen und Klagen drohen. Offen ist auch, wie lange die Lücke noch bestehen bleibt.

Ein löchriger Schild

„Es ist sehr fraglich, ob Privacy Shield hält“, sagt Andreas Krisch, Geschäftsführer der auf Datenschutz spezialisierten Beratungsfirma mksult GmbH und Mitglied des österreichischen Datenschutzrates. „Die nationalen Daten­schutzbehörden der EU-Mitgliedsstaaten können das Abkommen aushebeln, weil das massenhafte Sammeln von Daten durch die USA nach wie vor stattfindet.“

Privacy Shield verdient seinen Namen zum jetzigen Zeitpunkt nicht. Erst in einem Monat, am 12. und 13. April, wird die wichtige Artikel-29-Datenschutzgruppe, in der Vertreter der EU-Mitgliedsstaaten sitzen, zusammenkommen und feststellen, ob das Abkommen mit den USA überhaupt den Schutz der digitalen Privatsphäre und damit Rechtssicherheit in der Datenverarbeitung gewährleistet. Das bringt Firmen auf beiden Seiten des Atlantik in eine gefährliche Situation. Denn Nutzerdaten – vom Facebook-Foto bis zu großen Kundendatenbanken – müssen ja weiter mit Servern und Cloud-Diensten von US-Firmen verarbeitet werden, laut US-Handelsministerin Penny Pritzker geht es um einen Datenmarkt in der Größenordnung von 260 Milliarden US-Dollar. Dieses Geschäft betrifft auch Firmen aus Österreich. Bis zu 4.000 sind es nach Schätzung von Hans Gerhard Zeger von der Gesellschaft für Datenschutz, Arge Daten.

Es gibt zahlreiche heimische Firmen, die mit US-amerikanischen Cloud-Diensten von Google, Microsoft oder Salesforce arbeiten und damit teilweise personenbezogene Daten von EU-Bürgern wie Namen, Adressen, Telefonnummern oder E-Mails in die USA übertragen. Wer auf Nummer sicher gehen möchte, müsste eigentlich von US-Diensten absehen und sich eine Alternative in der EU suchen – angesichts des technologischen Vorsprungs vieler US-Anbieter ist das aber kaum machbar.

Datentransfers gehen weiter

„Durch den Fall von Safe Harbor ist die Datenübermittlung in die USA komplizierter und schwieriger ­geworden, der Transfer ist allerdings weiterhin grundsätzlich möglich“, sagt Ursula Illibauer von der ­Bundessparte Information der ­Wirtschaftskammer. „Die aktuelle Situation ist allerdings sehr risikobehaftet“, erklärt Andreas Krisch. Denn theoretisch müssten die Unternehmen Übergangsverträge abschließen, die von der Datenschutzbehörde einzeln genehmigt werden müssen. Eine solche Genehmigung kann bis zu sechs Monate dauern. Aber noch ist diesbezüglich in Österreich nichts passiert – denn wo kein Kläger, da kein Richter.

Datenschutzexperten und EU-Kommission verweisen auf zwei Instrumente, die Unternehmen in der Übergangszeit Rechtssicherheit bieten: So genannte Standardvertragsklauseln („Model Contracts“ oder auch „Standard Contractual Clauses“) sowie verbindliche unternehmensinterne Datenschutzvorschriften („Binding Corporate Rules“).

  • Standardvertragsklauseln: Diese Verträge zwischen einem österreichischen Auftraggeber und einem Dienstleister im EU-Ausland (zum Beispiel Google) gibt es in der aktuellen Fassung seit 2010. Sie vereinfachen die Weitergabe von Daten an einen Auftragsverarbeiter in einem Drittland (in diesem Fall die USA), wo das Datenschutzniveau nicht als angemessen anerkannt ist. Musterverträge können auf der Webseite der ­österreichischen Datenschutzbehörde heruntergeladen werden. US-Firmen haben den Bedarf bereits ­erkannt und bieten ihrerseits solche Standardverträge an – etwa Google (Google Apps, Google Cloud), Microsoft (Office 365, Dynamics CRM Online), der CRM-Anbieter Salesforce, die Amazon Web Services, der Datenbankriese Oracle oder der Newsletter-Service MailChimp. Referenzkunden von US-Cloud-Anbietern sind etwa die Spiegel-Gruppe (Microsoft), Lufthansa Systems (Microsoft), das Ministerium der Finanzen des Landes Sachsen-Anhalt (Microsoft), DHL (Salesforce), die FVW Mediengruppe (Salesforce), BMW (Amazon), Financial Times (Amazon), Gruner+Jahr (Amazon), Siemens (Amazon) oder der FC Barcelona (Amazon).
  • Binding Corporate Rules: Diese Richtlinien erlauben es multinationalen Konzernen, personenbezogene Daten intern in Drittstaaten, die kein angemessenes Datenschutzniveau bieten, zu übertragen und entsprechen dem österreichischen Datenschutzgesetz. Der EU-Kommission zufolge halten Unternehmen wie Airbus, BMW, Deutsche Telekom, Michelin, Novartis, Shell oder Siemens diese Richtlinien ein, ein österreichischer Konzern findet sich in der offiziellen Liste nicht.

Dass in Österreich rund 4.000 Unternehmen betroffen sind, wie Datenschutzexperte Hans Zeger schätzt, will die Wirtschaftskammer nicht bestätigen, die Schätzung sei angesichts der „zahlreichen Möglichkeiten, wie Daten im Moment verarbeitet werden“ schwierig, so Ursula Illibauer. Kammerweit hätte es bis dato relativ wenige Anfragen zum dem Thema gegeben – offenbar ist das Problembewusstsein nicht sehr ausgeprägt.

Unruhe bei US-Firmen

Auf der anderen Seite des Atlantiks, in den USA, ist derweil große Unruhe zu verspüren. „Allen Beteiligten ist klar, dass sehr viel auf dem Spiel steht. Deswegen gibt es derzeit große Ambitionen von US-Unternehmen, Rechenzentren nach Europa zu bringen“, sagt Datenschutzrat Andreas Krisch. ­Facebook etwa kündigte Ende Jänner an, in Irland sein zweites europäisches Rechenzentrum zu bauen, Microsoft nutzt seit Ende 2015 Datencenter von T-Systems, einer Tochter der Deutschen Telekom, um Cloud-Dienste wie Azure, Office 365 und Dynamics CRM Online europäischen Kunden anzubieten. Auch der Online-Speicherdienst Dropbox, der gerne von Firmen verwendet wird, speichert Nutzerdaten auf Wunsch an EU-Standorten.

Das Geschäft in der EU können sie sich keinesfalls entgehen lassen. ­Facebook etwa machte im vierten Geschäftsquartal 2015 rund 1,4 Milliarden US-Dollar Umsatz in Europa, der zweit wichtigste Markt nach den USA. Das Bedürfnis nach Rechtssicherheit wächst derweil. „Wir bemerken eine sehr stark zunehmende Nachfrage an Cloud-Lösungen aus Österreich“, sagt Alexander Windbichler, CEO der Firma Anexia, die in Österreich einer der führenden Anbietern von Rechenzentren ist. „Kunden bevorzugen nach wie vor ein greifbares ­Unternehmen, allerdings jedoch nur, wenn man vergleichbare Dienste anbieten kann.“

Überwachung geht weiter

Aus Sicht der Normalverbraucher, die Google, Facebook oder Twitter verwenden, wird „Privacy Shield“, sollte es tatsächlich in Kraft treten, wenig ändern. US-Geheimdienstchef James Clapper machte in einem Brief an die EU-Kommission klar, dass das massenhafte Sammeln von Daten zum Zwecke der Terrorismusbekämpfung, der Cyber-Sicherheit oder der ­Bekämpfung transnationaler krimineller Bedrohungen weitergehe.

Springe zu:

Be smart and nice ;)

Ganzen Artikel lesen