Datenhoheit und Safe Harbor

Safe Harbor und die damit einhergehende Informationsflut erzeugen derzeit viele Diskussionen und Unsicherheiten, wohin dies alles führen wird. Lesen Sie folgende Zusammenfassung und Darstellung der Konsequenzen des Wegfalls des Safe Harbor Abkommens für EU und US Firmen.

Datenhoheit und Safe Harbor

Was ist Safe Harbor?

Die bessere Frage ist: Was war es? – weil der europäische Gerichtshof es für ungültig erklärt hat.

Das Safe Harbor Abkommen war eine Einigung zwischen der Europäischen Union und den Vereinigten Staaten von Amerika und wurde im Jahr 2000 eingeführt nachdem die Europäische Union eine neue Datenschutz-Rahmenverordnung 1998 verabschiedet hat, welche personenbezogene Daten wie Namen, Adressen und Sozialversicherungsnummern schützt.

Das Safe Harbor Abkommen gewährleistete, dass personenbezogene Daten legal in die USA übermittelt werden können. Gemäß Artikel 25 und 26 der Europäischen Datenschutzrichtlinieist ein Datentransfer in Drittstaaten verboten, wenn die Regelungen zum Datenschutz nicht vergleichbar mit dem EU-Recht sind. Die Datenschutz Bestimmungen in den USA entsprechen nicht dem europäischen Standard. „Jedoch wird in Artikel 25 Absatz 6 definierte, dass die Kommission der Europäischen Gemeinschaft die Angemessenheit des Datenschutzes in einem Drittland feststellen kann, wenn dieses bestimmte Anforderungen erfüllt. Um den Datenaustausch zwischen der EU und einem ihrer wichtigsten Handelspartner nicht zum Erliegen zu bringen, wurde deshalb nach einem Weg gesucht, wie Daten legal in die USA transferiert werden, auch wenn dort kein dem Niveau der EU vergleichbarer Datenschutzstandard vorliegt.

Zur Überbrückung der Systemunterschiede wurde das Safe-Harbor-Modell entwickelt. Nachdem das US-Handelsministerium (Department of Commerce (Doc)) am 21. Juli 2000 die unten aufgeführten 7 Prinzipien und Antworten auf 15 häufig gestellte Fragen (Frequently Asked Questions (FAQ)) veröffentlicht hatte, erließ die Europäische Kommission am 26. Oktober 2000 eine Entscheidung, nach der in den USA tätige Organisation über ein angemessenes Datenschutzniveau verfügen, wenn sie sich gegenüber der Federal Trade Commission (FTC) öffentlich und unmissverständlich zur Einhaltung der Prinzipien und der in den 15 häufig gestellten Fragen enthaltenen Hinweise verpflichten. “
Quelle: BfDI

Durch die Verpflichtung zur Einhaltung der Grundsätze und eine Meldung an die Federal Trade Commission (FTC) konnten sich US Unternehmen selbst zertifizieren.
Jede Datenschutzbehörde innerhalb der EU Mitgliedsstaaten war durch das Abkommen gebunden an die Entscheidung. Etwa 5000 US Firmen waren selbstzertifiziert und hatten damit die Voraussetzung für die Übermittlung personenbezogener Daten aus Europa. Sie waren dadurch in der Lage, Daten von EU Organisationen ohne große gesetzliche Rahmenbedingen, Verträge oder tatsächliche Prüfungen zu erhalten.

Der Europäische Gerichtshof zitierte die Massenüberwachung durch US Behörden und das Fehlen von angemessenem Schutz der Rechte von EU Bürgern, die in Artikel 7, 8 und 45 der Europäischen Charta der Menschenrechte verankert sind. Hierbei handelt es sich um Rechte, denen alle EU Institutionen und alle Regierungsorganisationen von EU Mitgliedsstaaten unterliegen.

Zeitachse der Datenhoheit

2000 – Einführung des US-EU Safe Harbor Abkommens für Datenschutz

2013 – Snowden Enthüllungen

Oktober 2015 – EU-US Safe Harbor Abkommen wird vom Europäischen Gerichtshof als ungültig erklärt. Die Europäischen Datenschutzbehörden gaben der Europäischen Kommission bis Januar 2016 Zeit, um mit den Vereinigten Staaten zu verhandeln. Bei Nichtfolgeleistung werden sie proaktiv mit Ermittlungen beginnen und möglicherweise alle nicht konformen Aktivitäten mit Geldstrafen belegen. Dies hat keinen Auswirkungen auf individuelle Beschwerden. Diese werden ab sofort untersucht.

Israel: ILITA – Israeli Law, Information and Technology Authority – hat inzwischen ebenfalls die Erlaubnis für die Übermittlung von Daten von Isreal in die USA zurückgezogen, basierend auf den EU-US Safe Harbor Richtlinien.

Warum sollte Sie das kümmern?

Falls Sie in irgendeiner Weise Daten aus der Europäischen Union be- oder verarbeiten sind Sie betroffen- beispielsweise Daten von jeglichen dort lebenden Personen, Arbeitsverträge, Daten, die Namen von Individuen in Ihren europäischen Niederlassungen beinhalten, etc..

Basierend auf individuellen Beschwerden könnte jede der 28 europäischen Datenschutzbehörden bereits Untersuchungen führen und bestimmen, dass es illegal ist Daten in den USA oder bei einem in den USA ansässigen Service Provider oder Cloud Provider (wie Dropbox, Salesforce, Google Docs etc.) zu speichern.

Wie sollten Sie sich verhalten?

Es ist wichtig zu verstehen, wo in Ihrem Unternehmen Daten von Personen aus der EU verarbeitet und gespeichert werden. Dies kann in Ihrer eigenen Organisation sein, in Ihren Niederlassungen, bei Datenverarbeitungsagenturen oder in jeglichen Cloud Service. Je mehr die Daten außerhalb Ihrer Kontrolle sind, desto besorgter sollten Sie sein.

Rechtliche Rahmenbedingen können eingeführt werden, der sicherste und einfachste Weg ist es jedoch Ihre Daten in Ihren eigenen Datenzentren oder Rechenzentren Ihrer Wahl in Deutschland zu speichern und zu verarbeiten, um die Kontrolle zu behalten. Nur dann können Sie vollständig sicher sein, ob im Falle einer Verordnung einer Sicherheitsbehörde ihre Daten tatsächlich betroffen sind. Darüber hinaus müssen Sie weiterhin die gängigen Richtlinien des Datenschutzes einhalten.

Was kann ownCloud für Sie tun?

ownCloud ist eine Filesync und –share Lösung, die Ihnen die Kontrolle über Ihre Daten zurückgibt. ownCloud kann von Ihnen aufgesetzt und betrieben werden, in jedem Land, unter jeglicher Rechtsprechung und in Ihren eigenen Datenzentren oder Rechenzentren Ihrer Wahl. Dies macht die Nachverfolgung um ein Vielfaches einfacher. Mit der Logging Funktion (in der ownCloud Enterprise Edition verfügbar) können Sie einen Compliance Nachweis belegen, da Sie aufzeigen können wer zu welcher Datei zu welchem Zeitpunkt von welcher IP Zugriff hatte. Mit der File Firewall können Sie sogar den Zugriff anhand von Richtlinien blockieren.

Durch Federated Cloud Sharing ist eine Kommunikation zwischen ownCloud Servern an verschiedenen Standorten möglich, basierend auf den von Ihnen definierten Anforderungen. Dies ermöglicht eine bessere Kontrollmöglichkeit über Ihre Dateien.

Falls Sie ownCloud nicht bereits kennen, können Sie unsere Enterprise Edition Appliance kostenfrei herunterladen und schon heute Ihr Proof of Concept starten.

Eine Nachricht von unserem CEO

Markus Rex, ownCloud CEO, spricht über die Auswirkungen welche die Safe Harbor Entscheidung auf ihn als einen in den USA lebenden deutschen Staatsbürger und auch als CEO eines US Technologieunternehmens hat.

Bitte füllen Sie das Formular aus um Ihren Download zu erhalten.