Safe Harbor und die praktischen Folgen

Bye bye, Safe Harbor im Datenschutz

Der EuGH hat bekanntlich im Oktober das Safe-Harbor-Abkommen zwischen den USA und der EU gekippt, das die Übermittlung personenbezogener Daten an Rechenzentren in den USA erlaubte, wenn diese besonders zertifiziert sind. Das war einmal – wer weiterhin auf Basis dieses Abkommens Daten übermittelt, verstößt gegen Datenschutzrecht. Bis Januar 2016 werden solche Datenschutzverstöße zwar erst einmal nicht geahndet, bis dahin wollen die Politiker schauen, ob sie die Situation gelöst bekommen. Aber verlassen sollten Unternehmen sich darauf nicht. Wer  einen Cloud-Service oder E-Mail-Dienstleister mit Sitz bzw. Rechenzentrum in den USA nutzt und an diesen Kundendaten, Adressatenverzeichnisse oder Arbeitnehmerdaten übermittelt, muss damit auf die sogenannten „EU-Standardvertragsklauseln für Auftragsdatenverarbeitung“ umstellen.  Aber auch deren Geltung steht zumindest mittelfristig in Frage. Und überhaupt: Der Großteil der Unternehmen hat dem Themen bisher wenig Beachtung geschenkt und wird daran wohl nichts ändern. Zumal praktikable Lösungen Mangelware sind.

Datenschutzmanagement ist keine Nebensache mehr

„Das Urteil mag eine große Bedeutung für viele Unternehmen haben. Für die meisten von Ihnen wird es sich jedoch kaum auswirken, da Sie auch vorher rechtswidrig gehandelt haben.“

Das teilte der Berliner Rechtsanwalt Thomas Schwenke den Lesern seines Blogs nach der Safe-Harbor-Entscheidung mit – und hat damit vollkommen recht. Weiter schreibt er:

„Die Datenschutzanforderungen werden Sie ohnehin kaum alle perfekt erfüllen können. Das heißt jedoch nicht, dass Sie es gleich lassen sollten. Ganz im Gegenteil, sollten Sie rechtlich so viel wie möglich richtig machen.“

Ich füge hinzu: Und außerdem brauchen Sie Versicherungsschutz! Das ist gerade jetzt wichtig, weil absolute Compliance in Bezug auf Datenschutzrecht schwierig bis unmöglich ist.

Natürlich kann eine Versicherung nicht den verantwortlichen Umgang mit dem Thema Datenschutz ersetzen. Aber Betriebshaftpflicht, D&O (Managerhaftpflicht) und Cyberversicherung sind die geeigneten Instrumente, um das Unternehmen vor finanziellen Verlusten durch Datenschutzverletzungen zu bewahren. Jedes sinnvolle Risikomanagement schließt in diesem Bereich Versicherungslösungen mit ein.

Das liegt nicht nur am Rechtsrisiko. Mitarbeitern, Kunden und Geschäftspartner erwarten, dass Datenschutz ernst genommen wird. Wer sich darauf nicht einstellt, riskiert nicht nur hohe Folgekosten (und Schadenersatzforderungen), sondern auch einen empfindlichen Reputationsverlust.

Praktische Folgen für Unternehmen

Und was bedeutet das jetzt ganz praktisch? Unternehmen sollten sich darüber klar werden, an wen sie personenbezogene Daten weitergeben, auf welcher vertraglichen Grundlage das geschieht und wer dafür haftet. (Im Zweifel ist das immer erst einmal der eigene Vorstand oder die Geschäftsführung).  Um das Thema müssen sich Betriebe auch dann kümmern, wenn sie keinen Datenschutzbeauftragten haben müssen.

  • Wenn möglich und sinnvoll, sollte man zu Geschäftspartnern wechseln, die die Daten in der EU speichern und verarbeiten.
  • Der Standort der Rechenzentren muss  bei jedem Dienstleister oder Geschäftspartner bekannt sein, an den personenbezogene Daten weitergegeben werden.
  • Wenn es noch keine Datenschutzerklärung gibt, sollte man sie erstellen.
  • Wenn Auftragsdatenverarbeitung ohne Vertrag vorliegt, sollte das unbedingt geändert werden.
  • Wenn Daten in die USA übermittelt werden, müssen die Verträge auf Safe-Harbor-Klauseln überprüft werden. Wenn man fündig wird, besteht Handlungsbedarf. Dazu sollte man sich, wenn nötig, beraten lassen.
  • Weil das Datenschutzrecht sehr im Fluss ist, müssen Unternehmen die Folgen möglicher Datenschutzverstöße versichern. Dazu gehört auch, das Management gegen persönliche Inanspruchnahme aufgrund von Versäumnissen abzusichern: Die Vermeidung von Datenschutzverstößen ist Verantwortung der Geschäftsführung.

Fragen Sie uns jederzeit

Mit dem Versichern von IT-Risiken, Rechtsrisiken und persönlichen Haftungsrisiken kennen wir genau aus.  Und wir haben für alle Ihre Fragen ein offenes Ohr: 030 863 926 990 oder info@acant.de.

 

EU-Datenschutzgrund­verordnung: Was auf IT-Unternehmen zukommt

Datenschutz ist großes Thema – auch auf EU-Ebene. Doch abseits täglich wechselnder Aufregungen über abgehörte Handys und und Netzknotenpunkte gibt es beim Datenschutz auch Bewegungen, die den Geschäftsalltag der Unternehmen sehr konkret beeinflussen werden: Die neue EU-Datenschutzgrundverordnung nimmt Gestalt an.

Die geltende EU-Richtlinie zum Datenschutz stammt aus dem Jahr 1995. Damals tröpfelten die Daten oft noch mit 28.8 kBit/s durch das Modem in den Rechner. Und mit ähnlicher Geschwindigkeit schien sich auch die Nachfolgeverordnung über die verschlungenen Pfade der europäischen Gesetzgebung zu bewegen. Immerhin – sie hat das EU-Parlament erreicht und wurde dort in einer Kompromissfassung beschlossen .

Verabschiedet sehen will die zuständige Kommissarin, Viviane Reding, die neue Datenschutzverordnung bis April 2014 – das ist sehr ambitioniert. Aber im Mai 2014 sind EU-Wahlen. Und nachdem das Datenschutzthema nun dank Angela Merkels Smartphone endgültig die Schlagzeilen beherrscht, scheint vieles möglich. Es könnte sich also mittelfristig einiges ändern für IT-Unternehmen.

Der jetzige Text der Vereinbarung ist noch längst nicht der Stand, der dann irgendwann auch in Kraft tritt – vorher müssen EU-Kommission und die Regierungen der Mitgliedsstaaten zustimmen. Und allein bis jetzt gab es schon über 3.000 Änderungsanträge, wie Matthias Spielkamp auf iRights.info berichtet.

Interessante Regelungen enthält die Vorlage in jedem Fall:

  • Unternehmen, die von der Verordnung erfasst werden, müssen einen Datenschutzbeauftragten ernennen, eine Risikoanalyse zur Datenverarbeitung erstellen und sich alle zwei Jahre einer Überprüfung unterziehen. Aus Sicht des Risikomanagements ist das eine Risikoerhöhung. Wenn der Audit nicht bestanden wird, drohen ja Geschäftsausfälle.
  • Gelten soll die Verordnung für Unternehmen, wenn sie die Datensätze von mehr als 5000 Nutzern speichern –  das ist schnell erreicht. Demgegenüber wollte die EU-Kommission die Schwelle durch eine Mitarbeiterzahl 250 festlegen. Das ist natürlich ein großer Unterschied. Denn auch kleine Unternehmen haben schnell 5000 Newsletter-Abonnenten, Bestelladressen oder Datensätze in der von ihnen verwalteten Kundendatenbank.
  • Wie immer die Schwelle bestimmt wird: Firmen unterhalb davon brauchen keinen Datenschutzbeauftragten mehr. Das deutsche Datenschutzrecht schreibt im Moment vor, dass ein – externer oder interner – Datenschutzbeauftragter berufen werden muss, wenn mindestens zehn Mitarbeiter mit der Verarbeitung persönlicher Nutzerdaten zu tun haben. (Andererseits: Mit dem Datenschutzbeauftragten ist das Unternehmen die Haftung für Datenschutzverstöße ohnehin nicht los. Die bleibt im Zweifelsfall direkt bei der Geschäftsleitung – wo sie übrigens auch jetzt schon ist.)
  • Auch noch umstritten ist die Frage, wie hoch die Sanktionen bei Verstößen ausfallen. Dieser Aspekt ist aus aus Sicht des Risikomanagements natürlich besonders interessant. Die EU-Kommission wollte Strafen für Unternehmen auf eine Million Euro oder bei zwei Prozent des Jahresumsatzes deckeln. Die Parlamentsvorlage ist deutlich schärfer und legte die Grenze bei 100 Millionen Euro und fünf Prozent vom Umsatz fest. Der „Preis” für Datenschutzverstöße hat natürlich sehr direkte Auswirkungen darauf, wie teuer die Prämien der Vermögensschadenhaftpflicht oder der D&O- (Managerhaftpflicht)-Policen werden.
  • Geregelt wird auch das Recht auf Auskunft über gespeicherte Daten und auf deren Löschung. Beides schreibt das deutsche Datenschutzrecht im Grundsatz ja auch schon vor. Neu wäre aber, dass ein Unternehmen auch dafür verantwortlich ist, alles „Vertretbare“ zu unternehmen, um Dritte, welche die Daten verarbeitet haben, davon in Kenntnis zu setzen, dass der Betroffene die Löschung seiner Daten und damit auch Verlinkungen verlangt. Hier kündigen sich möglicherweise neue Haftungsrisiken an, die durch entsprechende Verträge mit Geschäftspartnern, aber auch durch Anpassung der eigenen Haftpflichtversicherung aufgefangen werden müssen.
  • Persönliche Daten dürfen nur mit Einwilligung erfasst oder verarbeitet werden. Allerdings gibt es eine etwas schwammige Ausnahmeregelung, die bei Datenschutzaktivisten Protest auslöst. Mal abwarten, wie dieser Punkt am Ende gefasst wird.
  • Auch nicht ohne ist für die Anbieter das Recht aus Datenportabilität: Selbst erstellte Profile und Inhalte soll der Nutzer von einem Dienst zum anderen mitnehmen können wie die Rufnummer beim Wechsel des Mobilfunkvertrags. Die bisher genutzte Plattform muss dann die gespeicherten, möglicherweise bereits veröffentlichten und von anderen Nutzern geteilten Inhalte löschen. Auch das ein neues Haftungsrisiko.
  • Datenschutzverstöße wie Datendiebstahl müssen den Betroffenen ohne Verzögerung, mindestens innerhalb 72 Stunden, mitgeteilt werden. Das begründet wiederum mögliche Ansprüche von Kunden, die zu spät über Datenverluste informiert werden.
  • Datenschutzrechtliche Ansprüche von EU-Bürgern werden durch die EU-Verordnung vereinheitlicht. Zur Zeit können Services mit Sitz in den USA sich auf dortige Bestimmungen zurückziehen, auch bei deutschen Kunden. Das wird dann Vergangenheit sein – auch US-Dienste müssen sich an die EU-Vorschriften halten, wenn sie EU-Nutzer haben. Ob das auch durchsetzbar ist, muss man allerdings abwarten.

Wie gesagt: Noch ist vieles im Fluss, die große Schlacht der Lobbyisten, Aktivisten und Einflussgruppen ist noch lange nicht vorbei. Aber eines ist sicher: Datenschutz hat einen Preis, und den zahlen unter anderem die Unternehmen. Zum Beispiel in Form erhöhter Versicherungsprämien für Policen mit erweiterter Deckung. Um so wichtiger ist es, die Versicherungsverträge optimal zu gestalten, um weder Geld zu verschenken noch von Deckungslücken bedroht zu werden.