DSGVO: Fast die Hälfte der Unternehmen unzureichend vorbereitet

Die Datenschutzgrundverordnung (DSGVO) tritt am 15. Mai 2018 in Kraft und noch viele Unternehmen treffen schleppende oder gar keine Vorbereitungen. Das kann sich rächen, denn die Zeit für eine erfolgreiche Umsetzung der neuen rechtlichen Anforderungen wird knapp.

Um den Ist-Zustand bei der Umsetzung der DSGVO in der deutschen Unternehmenslandschaft zu ermitteln, hat die IDC 251 Unternehmen mit mehr als 20 Mitarbeitern in Deutschland befragt (Stand August 2017). In Anbetracht der Tatsache, dass Unternehmen nur etwas mehr als ein halbes Jahr haben, um compliant zu werden, fällt das Ergebnis ernüchternd aus. Zwar gaben 15% der befragten Unternehmen an, dass sie bereits jetzt vollständig compliant sind. 41% der Unternehmen haben zumindest vereinzelte Maßnahmen umgesetzt.

Demgegenüber stehen 44%, die noch keine Maßnahmen ergriffen haben. Diese setzen sich wie folgt zusammen: 16% haben zwar einen konkreten Plan, wie sie die DSGVO in ihrem Unternehmen umsetzen wollen. Begonnen haben sie damit aber noch nicht. 25% kennen die neuen Anforderungen, verharren jedoch in einer abwartenden Haltung. Erfreulich ist, dass die Zahl der Unternehmen, die sich mit der Thematik noch überhaupt nicht auseinandergesetzt haben, mit 3% marginal ist. Laut der IDC würden sich vor allem mittelständische Unternehmen schwertun. In diesem Segment gaben 40% der Befragten an, dass sie skeptisch sind, die Anforderungen fristgerecht umsetzen zu können.

Befragung offenbart: Unternehmen haben kaum Datenschutzbeauftragte

Interessante Einblicke gewährt die Befragung, wenn man etwas ins Detail geht. Eine Schlüsselposition für ein erfolgreiches Datenschutzmanagement im Unternehmen ist bei den meisten wohl unbesetzt: 83% haben keinen Datenschutzbeauftragten. Höhere Sanktionen in der DSGVO, wenn kein Datenschutzbeauftragter im Unternehmen ist, sind sehr wahrscheinlich der Grund, warum 50% zumindest in den nächsten Monaten einen Datenschutzbeauftragten einsetzen möchten. Auch der Branchenverband bitkom sieht diesen Zustand, mit Blick auf die Umsetzung des DSGVO und die aktuelle Rechtslage, kritisch.

Es ist zu begrüßen, dass viele Unternehmen jetzt einen solchen Datenschutzbeauftragten bestellen möchten. Allerdings kostet diese Versäumnis nun wichtige Ressourcen und relevantes Know-how bei der Umsetzung der DSGVO. Ein schon eingearbeiteter und erfahrener betrieblicher bzw. externer Datenschutzbeauftragter könnte die Umsetzung erheblich erleichtern.

Wer macht was mit welchen Daten? Vielen Unternehmen fehlt noch der Überblick

Hinzu kommt, dass noch viele Unternehmen keinen umfassenden Überblick über die Datenverarbeitungen in ihrem Unternehmen haben. Für einen rechtskonformen und effizienten Datenschutz ist gerade dies aber ein zentraler Aspekt. Wer nicht weiß, welche Daten wo verarbeitet werden und wer darauf Zugriff hat, kann sich schnell mit Beschwerden, den Datenschutzbehörden und Imageschäden konfrontiert sehen.

Die IDC-Umfrage hat nun ergeben, dass 23% nicht wissen, wo ihre Daten gespeichert werden. 27% sind nicht in der Lage anzugeben, wer Zugriff auf personenbezogene Daten hat. Mit hoher Wahrscheinlichkeit bedeutet dies auch, dass es keine wirksamen Zugangs- und Zugriffskontrollen zu den Daten gibt. 37% räumten zudem ein, dass ihre Daten unkontrolliert und dem Zugriff durch Mitarbeiter ausgesetzt auf den Servern zugänglich sind.

Fatal könnte sich auch auswirken, dass etliche Unternehmen besonders Anforderungen als weniger relevant zu betrachten scheinen, die auf die Benachrichtigung Dritter ausgelegt sind: 53% planen keine Einführung von Prozessen zur Benachrichtigung der durch die Datenverarbeitung betroffenen Personen, 47% wollen keine Prozesse zur, unter bestimmten Umständen allerdings gesetzlich verpflichtenden, Benachrichtigung der zuständigen Datenschutzbehörden etablieren. Alles in allem ein Bild, das — mit Blick auf die hohen Anforderungen der DSGVO — den noch enormen Handlungsbedarf bei deutschen Unternehmen unterstreicht.

Unternehmen müssen jetzt handeln

Unternehmen, die einen derartigen Handlungsbedarf wie den oben skizzierten aufweisen, sollten jetzt handeln. Bis zum Inkrafttreten der DSGVO bleibt nicht mehr viel Zeit und die Einführung eines rechtskonformen und effizienten Datenschutzmanagements, das sowohl dem Unternehmen als auch den Betroffenen nützt, braucht Zeit: ein geeigneter Datenschutzbeauftragter muss gefunden und geschult werden. Sämtliche Mitarbeiter müssen datenschutzrechtlich auf den aktuellen Stand gebracht werden. Insbesondere die unternehmensinternen Arbeitsprozesse bedürfen einer datenschutzrechtlichen Optimierung, um einen Datenschutz „on the job“ gewährleisten zu können. Unternehmen, die bis zum 25. Mai 2018 nicht compliant sind, drohen deutlich höhere Geldbußen als sie bislang im BDSG vorgesehen sind. Die Strafe kann bis zu 4% des weltweiten Umsatzes der Unternehmensgruppe betragen.

EU-Kommission hält BDSG-neu für rechtswidrig

Die EU-Kommission hält das deutsche Umsetzungsgesetz für die Datenschutzgrundverordnung (DSGVO) für rechtswidrig. Grund sind vermeintliche Öffnungsklauseln, die die Bundesregierung nutzen will.

Die beschlossene DSGVO soll für einen höheren Standard im europäischen Datenschutzrecht sorgen und ist bereits beschlossen. 2018 tritt sie in Kraft. Das geplante deutsche Umsetzungsgesetz BDSG-neu hat jetzt die EU-Kommission auf den Plan gerufen.

Keine Öffnungsklausel vorgesehen

Grund hierfür ist ein Streit um Öffnungsklauseln in der DSGVO, die eigene nationale Regelungen erlauben würden. Die Bundesregierung ist der Auffassung, dass die DSGVO solche Klauseln vorsieht. Dem widerspricht die EU-Kommission: es gebe lediglich Raum für nationale Spezifizierungen.Konkret kritisiert die Kommission den geplanten § 23 BDSG-neu, der nach Ansicht der EU zu weitreichende Ausnahmen für öffentliche Stellen vorsieht, personenbezogene Daten für „andere Zwecke“ verarbeiten zu dürfen. Die Formulierung sei zu ungenau. Auch die Betroffenenrechte würden zu stark eingeschränkt: der Entwurf unterlaufe die vorgesehen Möglichkeiten zur Einsichtnahme in gespeicherte Daten und deren Recht auf Korrektur bzw. Löschung.

Ist die geplante Nachjustierung ausreichend?

Mittlerweile liegt ein Änderungsantrag vor, der Abhilfe schaffen soll. Insbesondere bei den Betroffenenrechten soll nachgebessert werden. Ob die beantragten Änderungen ausreichen, ist nicht sicher. Kritik kommt weiterhin von deutschen Datenschutzbeauftragten der Länder. In der aktuellen Fassung des BDSG-neu wurde die beantragte Änderung angenommen.

Erneut Ärger um transatlantischen Datenschutz

Privacy Shield löste Safe Harbor ab, das vom Europäischen Gerichtshof für ungültig erklärt wurde. Auf beiden Seiten des Atlantiks erhoffte man sich davon ein Ende der Auseinandersetzungen um den transatlantischen Datenschutz. Nun hat das Europäische Parlament eine kritische Resolution angenommen.

Seit Inkrafttreten des Privacy Shield-Abkommens reißt die Kritik nicht ab. Nun hat das Europäische Parlament auf eine Executive Order des US-Präsidenten Donald Trump reagiert, die möglicherweise Nicht-US-Bürger aus dem Datenschutz ausschließt.

EU-Parlament betrachtet Überwachungspraxis als europarechtswidrig

Als Reaktion auf die Executive Order nahm das Parlament in Straßburg nun eine Resolution an, die die US-amerikanische Überwachungspraxis als nicht vereinbar mit dem geltenden EU-Recht klassifiziert. Das hat zunächst einmal keine direkten rechtlichen Auswirkungen für europäische Unternehmen. Das Tauziehen um den transatlantischen Datenschutz dürfte aber weitergehen.

Es erhöht zum einen aber den Druck auf die zuständige EU-Kommissarin Věra Jourová zu handeln. Die Abgeordneten erwarten von ihr mehr Einsatz für die europäischen Datenschutzstandards. Zum anderen könnte es für Unternehmen schwieriger werden, US-amerikanische Dienstleister zur Verarbeitung personenbezogener Daten einzusetzen. Privacy Shield schreibt vor, dass Nicht-EU-Dienstleister eine angemessene Struktur zum Schutz personenbezogener Daten vorhalten müssen. Diese muss das europäische Datenschutzniveau garantieren. Nach der nun angenommen Resolution ist das für US-amerikanische Unternehmen fraglich, die der Überwachung der nationalen Sicherheitsbehörden unterliegen.

Wie geht es mit Privacy Shield weiter?

Für Unternehmen wird der Zustand der Rechtsunsicherheit bei Datentransfers in die USA wohl noch weiter andauern. Věra Jourová hat auf einem Treffen der EU-Justizminister durchblicken lassen, dass das Vertrauen in die USA erneuert werden müsse. Zwar können Unternehmen aktuell auf Basis des Privacy Shield-Abkommens weiterhin Daten in die USA transferieren. Allerdings hat der EuGH in seiner Entscheidung zu Safe Harbor die europäischen Datenschutzbehörden ermächtigt, vermuteten Datenschutzverstößen eigenständig nachzugehen. Ein pauschaler Angemessenheitsbeschluss der EU-Kommission steht Ermittlungen nicht mehr entgegen, so wie es während des Safe Harbor-Abkommens der Fall war. Damit dürfte es nur eine Frage der Zeit sein, bis europäische Behörden die ersten Ermittlungen gegen US-amerikanische Dienstleister einleiten.

Behörden prüfen internationalen Datenexport

Zehn deutsche Landesbehörden für die Datenschutzaufsicht beginnen im November mit der Überprüfung des Datenexport in das Nicht-EU-Ausland durch Unternehmen. Die Maßnahme verläuft schriftlich und nach dem Zufallsprinzip. Betroffen sind ca. 500 Unternehmen aller Größen und Branchen.

Wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in einer Pressemitteilung bekannt gab, werden zehn Landesbehörden, die zuständig für den Datenschutz sind, beginnend im November Unternehmen überprüfen, die personenbezogene Daten aus der EU hinaus exportieren. Darunter fallen bspw. Datenübermittlungen in die USA.

Datenexport wird umfangreich überprüft

Von der Überprüfung kann de facto jedes Unternehmen betroffen sein. Die Behörden gehen nach dem Zufallsprinzip vor und beziehen in die mögliche Auswahl bewusst Unternehmen jeder Größenordnung und Branchenzugehörigkeit ein. Von der schriftlichen Überprüfungen werden ca. 500 Unternehmen betroffen sein, so das BayLDA.

Cloud Computing und Drittanbieter im Fokus

Die Behörden richten ihr Augenmerk insbesondere auf Unternehmen, die für den Datenexport Cloud Computing nutzen. Gerade der Einsatz von Software as a Service-Produkten (SaaS) interessiert die Datenschützer. Auch die Inanspruchnahme von externen Dienstleistern ist Teil der Überprüfung. Gezielt fragen die Behörden nach deren Beteiligung in den Bereichen Support, Fernwartung, Ticketing, Customer Relationship Management und Bewerbermanagement.

Ziel ist Sensibilisierung

Die Unternehmen müssen zudem die datenschutzrechtliche Grundlage angeben, auf deren Basis die Übermittlung der Daten in einen Nicht-EU-Staat erfolgt. Ziel der Behörden ist primär die Sensibiliserung der betroffenen Unternehmen für das Thema und damit verbundene Probleme. Werden Mängel festgestellt, müssen sich die entsprechenden Unternehmen auf die Aufforderung zur Mängelbeseitigung unter Androhung von Bußgeldern einstellen.

 

Klage gegen Privacy Shield eingereicht

Digital Rights Ireland hat Klage gegen das kürzlich angenommene Abkommen EU-US Privacy Shield eingereicht. Bereits nach zwei Monaten wird Privacy Shield nun zum Fall für die europäischen Gerichte.

Privacy Shield unter Beschuss

Eingereicht wurde eine Nichtigkeitsklage nach Art. 263 AEUV (Vertrag über die Arbeitsweise der Europäischen Union) von der Lobbygruppe Digital Rights Ireland Ltd. Als erstinstanzliches Gericht ist das Europäische Gericht (EuG) zuständig, das die Rechtssache unter dem Aktenzeichen T-670/16 verhandelt. Die zweite Instanz wäre dann der Europäische Gerichtshof (EuGH).

Tauziehen um Datenexport in die USA geht weiter

Mit der eingereichten Klage geht das Tauziehen um den Datenexport aus der EU in die USA in die nächste Runde. Unternehmen haben während des Verfahrens, wenn überhaupt, eine wackelige Rechtssicherheit, die aber kaum ein langfristiges Planen auf Basis des neuen Abkommens ermöglicht. Viele Kritiker von Privacy Shield bezweifeln ein Standhalten des Abkommens bei einer Überprüfung durch den EuGH. Unternehmen müssen sich auf eine anhaltende unklare Rechtslage einstellen.

Kommission: Standard Contract Clauses rechtswidrig

Die EU-Kommission arbeitet an neuen Entwürfen zu ihren Beschlüssen bezüglich der EU Standard Contract Clauses. Unter anderem sollen jegliche Beschränkungen der Aufsichtsbehörden entfallen. Ihre aktuellen Beschlüsse betrachtet die Kommission als rechtswidrig.

Das EuGH-Urteil zur Nichtigkeit des Safe Harbor-Abkommens hat weitere Auswirkungen auf die Rechtslage der EU. Nachdem die irische Datenschutzaufsicht angekündigt hatte, die Rechtswirksamkeit der EU Standard Contract Clauses gerichtlich überprüfen zu lassen, hat auch die Kommission mit einer Überprüfung ihrer Beschlüsse zu diesem Thema begonnen.

Beschränkungen für Behörden werden gestrichen

Die neuen Entwürfe der Kommission sehen vor, dass jegliche Beschränkungen für die nationalen Aufsichtsbehörden gestrichen werden. Damit dürften die Beschränkungen nach Art. 4 der Standardvertragsklauseln gemeint sein. Der EuGH hatte in seinem Urteil zu Safe Harbor Beschränkungen für Aufsichtsbehörden für unzulässig erklärt, die die Behörden in der Ausübung ihrer Kontrollrechte nach Art. 28 RL 95/46/EG einschränken. Im Fall Safe Harbor war dies die Möglichkeit nach einer Eingabe eines Betroffenen tätig zu werden, die ein Schutzniveau eines Landes in Frage stellt, das die Kommission für ausreichend hält.

Kommission hält eigenen Beschluss für rechtswidrig

Zudem betrachtet die Kommission ihren eigenen Beschluss als rechtswidrig. Dies folge unmittelbar aus dem EuGH-Urteil zu Safe Harbor. Es ist daher davon auszugehen, dass Unternehmen bald auch die EU Standard Contract Clauses nicht mehr als rechtswirksame Möglichkeit der Datenübermittlung in Drittländer zur Verfügung stehen wird. In Anbetracht vielfacher Ankündigungen, auch das kürzlich angenommene Abkommen EU-US Privacy Shield gerichtlich überprüfen zu lassen, warten Unternehmen noch weiter auf Rechtssicherheit. Die Kommission will aber ihre Beschlüsse der neuen Rechtslage anpassen.

Datr Cookie: Facebook gewinnt in Belgien

Facebook hat einen Rechtsstreit gegen die belgische Datenschutzbehörde gewonnen, die dem sozialen Netzwerk das Sammeln von Nichtmitglieder-Daten untersagen wollte. Zum Einsatz kommt dabei das sog. Datr Cookie. Die Entscheidung könnte auch Auswirkungen in Deutschland haben.

Die belgische Datenschutzbehörde wollte es dem sozialen Netzwerk untersagen Daten über Personen zu sammeln, die nicht Mitglied von Facebook sind. Facebook sammelt diese Daten unter anderem mit Hilfe des sog. Datr Cookie, der mittels Social Plug-ins wie dem Like-Button auf Webseiten eingebunden wird. Laut der Behörde sammelt Facebook so Daten auch über Nichtmitglieder, die gar nicht mit dem Social Plug-in interagieren. Facebook hat dieser Darstellung bereits im letzten Jahr widersprochen.

Behörde nicht zuständig

Das zuständige Gericht hat zugunsten von Facebook entschieden. Aber nicht inhaltlich bzgl. der Datenverarbeitung durch das Datr Cookie. Das Gericht erklärte die belgische Datenschutzbehörde für nicht zuständig, deren Anweisungen seien mithin nichtig. Als Grund wird angeführt, dass Facebook seine europäische Niederlassung in Irland habe. Deshalb sei die irische Datenschutzbehörde zuständig.

Ähnlicher Fall auch in Deutschland

Der Blick nach Belgien lohnt sich auch für deutsche Datenschützer und Webseiten-Betreiber. Die Datenschutzbehörde von Schleswig-Holstein geht in einem ähnlich gelagerten Fall ebenfalls gegen Facebook vor. Auch hier müssen die Gerichte entscheiden, ob die deutschen Behörden überhaupt für die europäische Niederlassung von Facebook zuständig sind. Diese bejahen dies, da Facebook eine GmbH mit Sitz in Deutschland betreibe. Das zuständige Oberverwaltungsgericht Schleswig-Holstein hatte eine Zuständig der Landesbehörde verneint, die Revision zum Bundesverwaltungsgericht aber zugelassen. Die Angelegenheit ist mittlerweile ein Fall für das oberste deutsche Verwaltungsgericht.

Abmahnung wegen fehlendem Link zur EU Online Streitbeilegung

Mit der am 9.1.2016 in Kraft getretenen EU-Verordnung Nr. 524/2013 müssen in der EU niedergelassene Online-Händler auf die Online Streitbeilegung der EU hinweisen. Die Verordnung soll helfen Rechtsstreitigkeiten zwischen Online-Händlern und Verbrauchern außergerichtlich zu lösen.

Im Zuge der Verordnung wurde von der EU-Kommission ein Online-Portal zur außergerichtlichen Streitbeilegung zur Verfügung gestellt. Das Online-Portal soll helfen, Rechtsstreitigkeiten zwischen Verbrauchern und Online-Händlern außergerichtlich zu klären und bietet die Möglichkeit zur beidseitigen Beschwerde.

LG Bochum betont Pflicht zum Hinweis

In einem Verfahren vor dem Landgericht (LG) Bochum (Urteil v. 31.3.2016 – Az. 14 O 21/16) stellte das Gericht klar, dass Online-Händler Verbraucher zum einen auf die Möglichkeit der Online Streitbeilegung bei Vertragsschluss hinweisen müssen. Zum anderen muss der Online-Händler dem Verbraucher einen leicht zugänglichen Link vorhalten. Dabei ist es unerheblich, ob zum Zeitpunkt des Vertragsschlusses die Online-Plattform bereits verfügbar war und Streitbeilegungen über sie erfolgen konnten. Maßgeblich ist ein Vertragsschluss nach dem 9.1.2016, der die entsprechende Pflicht zum Hinweis begründet. Online-Händler sollten daher zwingend entsprechende Hinweise vorhalten und diese leicht zugänglich auf ihrer Webseite veröffentlichen, bspw. im Impressum oder in eventuell online einsehbaren AGB. Diese Regelung trifft jedoch nur zu, wenn die andere Vertragspartei ein Verbraucher i. S. v. § 13 BGB ist. Ein solcher Hinweis ist daher im B2B-Bereich nicht notwendig.

Im vorliegenden Fall mahnte ein Online-Uhrenhändler einen Wettbewerber wegen des fehlenden Hinweises und Links ab. Das LG sah es als unerheblich an, dass zum Zeitpunkt der einstweiligen Verfügung (9.2.2016) die Online-Plattform noch nicht zur Verfügung stand und eine Streitbeilegung in Deutschland zudem noch nicht möglich war. In Deutschland war die Plattform ab dem 15.2.2016 erreichbar.

 

 

EU-US Privacy Shield verabschiedet

Die EU und die USA haben das neue Datenschutz-Abkommen EU-US Privacy Shield verabschiedet. Es ersetzt das vom EuGH für ungültig erklärte Abkommen Safe Harbor. Kritiker bemängeln, dass zentrale Probleme nicht beseitigt worden seien.

EU-Mitgliedsstaaten und Kommission nehmen Privacy Shield an

Nach mehreren Monaten Verhandlung haben sich die EU und die USA auf ein neues Abkommen zum Datentransfer geeinigt. Das neue Abkommen legt neue Schutzstandards für den Datenverkehr zwischen der EU und den USA fest. Die EU-Kommission vertritt die Auffassung, dass die vom Europäischen Gerichtshof (EuGH) monierten Probleme beseitigt wurden. Unter anderem soll das massenhafte Sammeln von Daten nur noch in wenigen Fällen und unter strengeren Voraussetzungen gestattet sein. Nicht alle EU-Mitgliedsstaaten dürften der Ansicht der Kommission folgen. Bei der Abstimmung enthielten sich Österreich, Kroatien, Slowenien und Bulgarien.

Für das neue Abkommen können sich Unternehmen beim US-Handelsministerium registrieren, wenn sie die Datenschutzstandards erfüllen und dies selber nachweisen können. Das Ministerium überprüft, anders als bei Safe Harbor, nun aktiv das Einhalten der geltenden Bestimmungen.

Aktueller Status: massive Kritik, Deutschland will kein Klagerecht für Behörden

Nach einer anfangs schleppenden Nachfrage füllt sich die Liste der zertifizierten Unternehmen auf der Homepage des Abkommen zusehends. Gleichzeitig wurde massive Kritik an dem Abkommen laut. Der Jurist Max Schrems, dessen Klage zum Safe Harbor-Urteil des EuGH geführt hatte, mahnte eine mangelnde Umsetzung der richterlichen Vorgaben an. Die ehemalige Bundesjustizministerin Sabine Leutheusser-Schnarrenberger sieht in Privacy Shield einen Verstoß gegen geltendes EU-Recht, einer Überprüfung durch den EuGH werde das Abkommen nicht standhalten. Besonders das massenhafte Sammeln von Daten zur Abwehr von Gefahren für die nationale Sicherheit steht weiterhin in der Kritik.

Den europäischen Datenschutzbeauftragten geht zudem die Schaffung der neuen Ombudsstelle nicht weit genug, an die sich EU-Bürger wenden können. Sie wollen nach einem Jahr die Effektivität der neuen Regelungen genau prüfen. Industrieverbände begrüßen hingegen Privacy Shield und bauen auf eine benötigte Rechtssicherheit.

Klagerecht für Behörden wird zum Streitpunkt

Innerhalb der Bundesrepublik Deutschland bahnt sich zudem ein weiterer Streitpunkt an. Der Bundesrat hatte die Bundesregierung aufgefordert, einen Gesetzentwurf für ein Klagerecht der Datenschutzbehörden vorzulegen. Allerdings soll sich dieses Klagerecht auf Verstöße gegen das Abkommen beschränken. Ein Klagerecht für die Behörden gegen Angemessenheitsentscheidungen der Kommission – womit bspw. das Abkommen als solches angegriffen werden könnte – oder eine solches Recht in Vertretung für die Bundesrepublik Deutschland will die Bundesregierung den Behörden nicht einräumen.

Keine Rechtssicherheit bei Datentransfer in die USA

Im Ergebnis gibt es damit zwar einige rechtliche Instrumente, die den Datentransfer in die USA ermöglichen wie das EU Privacy Shield oder z.B. die EU Standard Model Contracts. Jedoch gibt es kein einziges Instrument, das derzeit gerade nicht einer gerichtlichen Prüfung unterzogen werden wird. Damit bleibt der Datenaustausch weiterhin rechtlich unsicher und es wäre begrüßenswert, wenn die Gerichte hier nun schnell für Rechtssicherheit sorgen würden.

Safe Harbor: Reform diesen Herbst?

Durch die Snowden-Enthüllungen geriet das Safe Harbor-Abkommen in die Kritik: Datenschützer, Politiker und die EU forderten eine Reform. In den vergangenen Monaten fanden in aller Stille Verhandlungen statt. Eine Reform könnte noch in diesem Herbst beschlossen werden.

Reform diesen Herbst?

Die Nachrichtenagentur Reuters berichtet, dass sie Dokumente einsehen konnte, wonach Verhandlungen zwischen den USA und der EU über eine Neuregelung des Datenaustausches im Rahmen des Safe Harbour-Abkommens im Herbst zum Abschluss kommen könnten.

Was könnte sich ändern?

Dem Dokument sind geplante Änderungen zu entnehmen:

  • US-Unternehmen sollen striktere Vorgaben erhalten, wenn sie Daten von Betroffenen an Dritte weitergeben
  • Beide Seiten sollen künftig das Funktionieren des Abkommens überprüfen können. Dies meint wohl, dass auch die EU die zertifizierten Unternehmen in den USA überprüfen kann, ebenso vice versa. Bisher wurden US-Unternehmen nur vom US-Handelsministerium überprüft.

Weitere Änderungen sind noch nicht bekannt.

Änderungen scheinen auf USA abzuzielen

Ob europäische Unternehmen von Änderungen umfänglich betroffen werden, ist fraglich. Die Änderungen scheinen hauptsächlich auf die USA abzuzielen. So wird in dem Dokument erwähnt, dass die EU die Befürchtung hatte, US-Unternehmen könnten über Dritte das Safe Harbour-Abkommen unterlaufen. Ferner wurden Begrenzungen für US-Behörden festgelegt, die auf die aus der EU übermittelten Daten zugreifen wollen. Auch die Umsetzung dieser Begrenzungen soll die EU kontrollieren können. Alles in allem entsteht zum jetzigen Zeitpunkt der Eindruck, dass vorrangig Interessen der EU durchgesetzt werden.