Das EU-U.S. Privacy Shield (dt. EU-US-Datenschutzschild) ersetzt seit Mitte 2016 das frühere Safe-Harbor-Abkommen. Aber der transatlantische Datentransfer ist noch lange nicht in trockenen Tüchern: Die anhaltende Diskussion und Kritik innerhalb der EU, die amerikanische „America First“-Initiative, die Überprüfung auf Eignung und potenzielle Schwachstellen sowie die GDPR/EU-DSGVO bringen weiterhin Unsicherheit. Unternehmen sind einerseits gut beraten, sich über künftige Entwicklungen auf dem Laufenden zu halten. Andererseits sollten sie auf Verschlüsselung und HSM setzen – als Schlüsselelemente für die Einhaltung der Anforderungen an den Schutz von Privatsphäre und Daten.
EU-U.S. Privacy Shield & Compliance
Von Safe Harbor zum EU-U.S. Privacy Shield – ein neues Kapitel in der Geschichte des Datenaustauschs zwischen EU und USA
Anfang 2016 wurde mit dem EU-U.S. Privacy Shield ein neues Kapitel in der Geschichte des Datenaustauschs zwischen der EU und den USA aufgeschlagen. Als der Europäische Gerichtshof die International Safe Harbor Privacy Principles am 6. Oktober 2015 für ungültig erklärte (basierend auf dem Fall C-362/14), gerieten Privatsphäre- und Datenschutzthemen schnell wieder in den Fokus der Presse und der breiteren Öffentlichkeit. Kurz darauf wurden erste Pläne für einen Safe-Harbor-Nachfolger geboren.
Verschlüsselung – Schlüsselelement für Unternehmen und Eigentümer von personenbezogenen Daten
Europäische ebenso wie amerikanische Unternehmen müssen einen ausreichenden Schutz der sensiblen oder personenbezogenen Daten, die sie erfassen und speichern, gewährleisten. Der Schlüssel dazu heißt Ende-zu-Ende-Verschlüsselung, und zwar möglichst nah an der Datenquelle. Nur so lässt sich ein unbefugter und unerwünschter Zugriff verhindern. Und dies gilt unabhängig von Datentransfer, Speicherort (innerhalb der EU, in den USA oder andernorts) und geltenden lokalen Gesetzen und Vorgaben.
Hardware-Sicherheitsmodule (HSM) und Hardware-Verschlüsselung ohne Hintertüren schützen zuverlässig vor einem unerwünschten Zugriff auf sensible Daten eines Unternehmens. Utimaco HSM leisten erstklassige Unterstützung bei:
- Erzeugung qualitativ hochwertiger kryptografischer Schlüssel basierend auf einem echten Zufallszahlengenerator (True Random Number Generator, TRNG)
- Verschlüsselung personenbezogener Daten, sowohl ruhend als auch während Bearbeitung und Austausch, mithilfe eines nach FIPS 140-2 zertifizierten Geräts
- Sichere Identifikation und starke Authentifizierung basierend auf einer Public-Key-Infrastruktur und unterstützt durch starke Kennwörter sowie 2-Faktor-Authentifizierung
HSM schützen Daten sogar im Fall eines unberechtigten Systemzugriffs. Dabei spielt es keine Rolle, ob dieser von Cyber-Kriminellen oder im Rahmen einer behördlichen Massenüberwachungsinitiative initiiert wurde.
Die Quintessenz des neuen EU-U.S. Privacy Shield Framework
Nach langen, intensiven Verhandlungen einigten sich die Europäische Kommission und die US-Regierung auf ein neues Rahmenabkommen für den transatlantischen Datentransfer: Das EU-U.S. Privacy Shield war geboren. Dieses definiert einen „Mechanismus [für Unternehmen] zur Einhaltung der EU-Datenschutzanforderungen beim Transfer personenbezogener Daten aus der Europäischen Union in die USA im Zusammenhang mit Transatlantikgeschäften.“
Am 12. Juli 2016 verabschiedete die Europäische Kommission formell das Privacy Shield Framework (Durchführungsbeschluss der Kommission (EU) 2016/1250) und erklärte es als angemessen für den Datentransfer unter EU-Gesetzgebung (siehe Angemessenheitsbeschluss).
Der Europäische Gerichtshof hatte am 6. Oktober 2015 eine Reihe von Anforderungen festgelegt, die das Privacy Shield nun berücksichtigt. Hierzu gehören effektive Überwachungsmechanismen unter strenger Aufsicht, Einschränkungen für den Zugriff auf personenbezogene Daten zum Zwecke der nationalen Sicherheit, die Bearbeitung und Lösung individueller Beschwerden sowie eine gemeinsame jährliche Überprüfung der Angemessenheitsbeschlüsse (MEMO/16/2462, Factsheet der Europäischen Kommission, 12. Juli 2016).
Das EU-U.S. Privacy Shield stützt sich auf vier Säulen:
Das US-Handelsministerium nimmt seit dem 1. August 2016 Bewerbungen von amerikanischen Unternehmen für das Privacy Shield entgegen. Mehr als 2.400 Unternehmen (Stand August 2017) sind derzeit im Privacy-Shield-Verzeichnis des US-Handelsministeriums gelistet. Dazu gehören auch bekannte Unternehmen wie Google, Amazon oder Twitter. Eine Liste der Privacy-Shield-Unternehmen finden Sie unter https://www.privacyshield.gov/welcome.
Möchten Sie mehr erfahren über Hardware-Sicherheitsmodule und die sichere Verschlüsselung Ihrer Daten unabhängig vom Speicherort? Senden Sie eine E-Mail an hsm@utimaco.com oder nutzen Sie das untenstehende Kontaktformular.
Möchten Sie mehr erfahren über den Wechsel vom Safe-Harbor-Abkommen zum EU-U.S. Privacy Shield und über die zukünftigen Herausforderungen? Lesen Sie unseren Blogbeitrag oder die nachfolgenden Informationen.
Safe Harbor – warum wurde das Abkommen für ungültig erklärt?
Um globalen wirtschaftlichen Bedürfnissen nachzukommen und einen transatlantischen Datentransfer zu ermöglichen, wurden im Juli 2000 die Safe Harbor Privacy Principles implementiert (Entscheidung 2000/520/EC). Davor hatte die Europäische Kommission (EC) entschieden, dass die USA aufgrund ihrer innerstaatlichen Rechtsvorschriften oder internationaler Verpflichtungen, die sie eingegangen sind, ein angemessenes Schutzniveau gewährleisten (gemäß Artikel 25(6), Richtlinie 95/46/EC).
Reform der EU-Datenschutzrichtlinie 95/46/EC
Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) oder engl. General Data Protection Regulation (GDPR) wurde über rund vier Jahre von Europäischem Rat, Parlament und Kommission besprochen und ausgehandelt. Am 14. April 2016 wurde sie schließlich verabschiedet. Die Verordnung 2016/679 wird am 25. Mai 2018 in Kraft treten und die Richtlinie 95/46/EC ersetzen, die seit 1995 Anwendung findet. Die EU-Mitgliedsstaaten müssen die Richtlinie 2016/680 bis zum 6. Mai 2018 in nationales Recht umsetzen.
Zwei Akteure beeinflussten die anschließenden Ereignisse: Edward Snowden, der amerikanische Whistleblower, und Maximillian Schrems, ein österreichischer Datenschutzaktivist. Er stellte Strafanzeige gegen Facebook in Irland. Laut der Abschrift von Fall C-362/14 argumentierte Maximillian Schrems, dass die geltenden Gesetze und Praktiken in den USA „keinen angemessenen Schutz personenbezogener Daten vor Überwachungsaktivitäten durch staatliche Stellen gewährleisten“. Vor diesem Hintergrund erklärte das Gericht (Große Kammer) die Entscheidung 2000/520/EC, also die Safe-Harbor-Grundsätze, am 6. Oktober 2015 für ungültig. Nach langen Verhandlungen verabschiede die Europäische Kommission am 12. Juli 2016 das Privacy Shield Framework. Sie erklärte dieses als angemessen, um den Datentransfer unter EU-Gesetzgebung zu ermöglichen.
Wer profitiert vom Privacy Shield?
Sowohl amerikanische als auch europäische Unternehmen sowie staatliche Behörden und Einrichtungen haben ein Interesse am Fortbestand des transatlantischen Handels und Datenaustauschs. EU-Bürger mögen die Unzulänglichkeit dieser Vereinbarung und ihre Konsequenzen für den Datenschutz kritisieren. Sie profitieren jedoch ebenfalls davon, zum Beispiel bei der Nutzung von Social-Media-Plattformen und internationalem Online-Shopping.
Es sollte jedoch erwähnt werden, dass neben dem Privacy Shield alternative Mechanismen existieren, die den Datentransfer aus der EU in Nicht-EU-Mitgliedsstaaten ermöglichen, z. B. die EU-Musterverträge mit Standardvertragsklauseln und verbindliche unternehmensweit geltende Richtlinien (Binding Corporate Rules, BCR).
Wird das EU-U.S. Privacy Shield Framework Bestand haben?
Die Diskussion und Kritik rund um das EU-U.S. Privacy Shield halten an. Urheber sind beispielsweise die Artikel-29-Datenschutzgruppe und die Datenschutzorganisation Digital Rights Ireland. Diese zeigen anschaulich, inwiefern der transatlantische Datentransfer nach wie vor unsicher ist. Wir beobachten daher gespannt die weitere Entwicklung und endgültige Entscheidung.
Anfang 2017 wurden wir Zeuge, wie die „America First“-Initiative des neuen amerikanischen Präsidenten Donald Trump einige der wesentlichen Errungenschaften der transatlantischen Zusammenarbeit anzugreifen scheint, darunter auch den Schutz der Daten und der Privatsphäre.
Die erste gemeinsame jährliche Überprüfung des Privacy Shield fand im September 2017 in den USA statt. Dies ist ein wichtiger Meilenstein, bei dem die Eignung im Alltag bewertet und potenzielle Schwachstellen untersucht werden.
Und schließlich sind einige Änderungen vorgesehen oder bereits in Arbeit, um die Konformität des Privacy Shield mit der neuen GDPR/EU-DSGVO sicherzustellen, die im Mai 2018 in Kraft treten wird.
Unternehmen sind daher gut beraten, sich über künftige Anforderungen und Fristen von beiden Seiten auf dem Laufenden zu halten. In der Zwischenzeit sollten sie Mechanismen wie Verschlüsselung und HSM einsetzen, um die Daten, die sie bearbeiten, umfassend zu schützen.
