Erneut Ärger um transatlantischen Datenschutz

Privacy Shield löste Safe Harbor ab, das vom Europäischen Gerichtshof für ungültig erklärt wurde. Auf beiden Seiten des Atlantiks erhoffte man sich davon ein Ende der Auseinandersetzungen um den transatlantischen Datenschutz. Nun hat das Europäische Parlament eine kritische Resolution angenommen.

Seit Inkrafttreten des Privacy Shield-Abkommens reißt die Kritik nicht ab. Nun hat das Europäische Parlament auf eine Executive Order des US-Präsidenten Donald Trump reagiert, die möglicherweise Nicht-US-Bürger aus dem Datenschutz ausschließt.

EU-Parlament betrachtet Überwachungspraxis als europarechtswidrig

Als Reaktion auf die Executive Order nahm das Parlament in Straßburg nun eine Resolution an, die die US-amerikanische Überwachungspraxis als nicht vereinbar mit dem geltenden EU-Recht klassifiziert. Das hat zunächst einmal keine direkten rechtlichen Auswirkungen für europäische Unternehmen. Das Tauziehen um den transatlantischen Datenschutz dürfte aber weitergehen.

Es erhöht zum einen aber den Druck auf die zuständige EU-Kommissarin Věra Jourová zu handeln. Die Abgeordneten erwarten von ihr mehr Einsatz für die europäischen Datenschutzstandards. Zum anderen könnte es für Unternehmen schwieriger werden, US-amerikanische Dienstleister zur Verarbeitung personenbezogener Daten einzusetzen. Privacy Shield schreibt vor, dass Nicht-EU-Dienstleister eine angemessene Struktur zum Schutz personenbezogener Daten vorhalten müssen. Diese muss das europäische Datenschutzniveau garantieren. Nach der nun angenommen Resolution ist das für US-amerikanische Unternehmen fraglich, die der Überwachung der nationalen Sicherheitsbehörden unterliegen.

Wie geht es mit Privacy Shield weiter?

Für Unternehmen wird der Zustand der Rechtsunsicherheit bei Datentransfers in die USA wohl noch weiter andauern. Věra Jourová hat auf einem Treffen der EU-Justizminister durchblicken lassen, dass das Vertrauen in die USA erneuert werden müsse. Zwar können Unternehmen aktuell auf Basis des Privacy Shield-Abkommens weiterhin Daten in die USA transferieren. Allerdings hat der EuGH in seiner Entscheidung zu Safe Harbor die europäischen Datenschutzbehörden ermächtigt, vermuteten Datenschutzverstößen eigenständig nachzugehen. Ein pauschaler Angemessenheitsbeschluss der EU-Kommission steht Ermittlungen nicht mehr entgegen, so wie es während des Safe Harbor-Abkommens der Fall war. Damit dürfte es nur eine Frage der Zeit sein, bis europäische Behörden die ersten Ermittlungen gegen US-amerikanische Dienstleister einleiten.

Strafverfolgung: Google soll Suchenden identifizieren

Um einen Betrugsfall aufzuklären verlangt ein US-Gericht von Google alle Personen zu identifizieren, die über die Suchmaschine nach einer bestimmten Person gesucht haben. Der Konzern wehrt sich gegen derartige Forderungen der Datenerhebung.

Um einen Betrugsfall aufzuklären, hat ein US-Gericht einen bemerkenswerten Durchsuchungsbefehl gegenüber Google ausgestellt. Der Konzern soll alle Personen identifizieren, die über die Suchmaschine nach dem Betrugsopfer gesucht haben, und die verfügbaren Daten über diese den Behörden aushändigen.

Weitreichende Datenabfrage

Laut dem Magazin Ars Technica ist eine derartige Anfrage die erste, die nicht in Fällen der nationalen Sicherheit ergangen ist. Die angeordnete Anfrage ist weitreichend. Google soll jedwede Daten von Nutzern – egal ob registriert oder nicht – an die Behörden aushändigen, die zwischen dem 1. Dezember 2016 und 7. Januar 2017 den Namen des Betrugsopfers in die Suchmaschine eingegeben haben. Die Datensätze enthalten u.a. Mailadressen, Zahlungsinformationen, Media-Access-Controladressen zur Identifizierung einzelner Netzwerkadapter in Rechnernetzen, Sozialversicherungsnummer, Geburtsdatum und IP-Adressen. Google soll sich gegen eine solche Anfrage und die Herausgabe derart umfangreicher Datensätze wehren, so der Bericht. Einige Juristen stufen den Durchsuchungsbefehl als verfassungswidrig ein.

Präzedenzfall könnte zum Türöffner werden

Sollte der Durchsuchungsbefehl rechtmäßig sein, könnte er weitere nach sich ziehen. Privatpersonen und Unternehmen könnten von Strafverfolgungsbehörden überprüft werden. Wie der Fall zeigt, genügt bereits die Eingabe eines Namens in die Google-Suche, um Ermittlungsgegenstand eines Strafverfahrens zu werden. Zudem wären alle Suchmaschinen potentiell von solchen Durchsuchungsbefehlen betroffen. Fraglich bei diesem Vorgehen ist dabei vor allem die Verhältnismäßigkeit der Maßnahme.

Hintergrund

Mittels eines gefälschten Ausweisen, der elektronisch übersandt wurde, erbeuteten der oder die Täter 28.500 USD. Der falsche Ausweis wurde einem Kreditunternehmen gefaxt. Mittels dem sog. Call ID Spoofing wurde die Telefonnummer des Opfers vorgetäuscht. Beim Call ID Spoofing wird statt der Originalnummer eine frei wählbare Identifikation angezeigt. So war es möglich, die Nummer des Opfers zu verwenden, die dem Täter bzw. den Tätern bekannt gewesen sein muss. Das Bild für den Ausweis wird nur über die Google-Suche online gefunden. Andere Suchmaschinen listen es nicht als Suchergebnis.

EU-US Privacy Shield verabschiedet

Die EU und die USA haben das neue Datenschutz-Abkommen EU-US Privacy Shield verabschiedet. Es ersetzt das vom EuGH für ungültig erklärte Abkommen Safe Harbor. Kritiker bemängeln, dass zentrale Probleme nicht beseitigt worden seien.

EU-Mitgliedsstaaten und Kommission nehmen Privacy Shield an

Nach mehreren Monaten Verhandlung haben sich die EU und die USA auf ein neues Abkommen zum Datentransfer geeinigt. Das neue Abkommen legt neue Schutzstandards für den Datenverkehr zwischen der EU und den USA fest. Die EU-Kommission vertritt die Auffassung, dass die vom Europäischen Gerichtshof (EuGH) monierten Probleme beseitigt wurden. Unter anderem soll das massenhafte Sammeln von Daten nur noch in wenigen Fällen und unter strengeren Voraussetzungen gestattet sein. Nicht alle EU-Mitgliedsstaaten dürften der Ansicht der Kommission folgen. Bei der Abstimmung enthielten sich Österreich, Kroatien, Slowenien und Bulgarien.

Für das neue Abkommen können sich Unternehmen beim US-Handelsministerium registrieren, wenn sie die Datenschutzstandards erfüllen und dies selber nachweisen können. Das Ministerium überprüft, anders als bei Safe Harbor, nun aktiv das Einhalten der geltenden Bestimmungen.

Aktueller Status: massive Kritik, Deutschland will kein Klagerecht für Behörden

Nach einer anfangs schleppenden Nachfrage füllt sich die Liste der zertifizierten Unternehmen auf der Homepage des Abkommen zusehends. Gleichzeitig wurde massive Kritik an dem Abkommen laut. Der Jurist Max Schrems, dessen Klage zum Safe Harbor-Urteil des EuGH geführt hatte, mahnte eine mangelnde Umsetzung der richterlichen Vorgaben an. Die ehemalige Bundesjustizministerin Sabine Leutheusser-Schnarrenberger sieht in Privacy Shield einen Verstoß gegen geltendes EU-Recht, einer Überprüfung durch den EuGH werde das Abkommen nicht standhalten. Besonders das massenhafte Sammeln von Daten zur Abwehr von Gefahren für die nationale Sicherheit steht weiterhin in der Kritik.

Den europäischen Datenschutzbeauftragten geht zudem die Schaffung der neuen Ombudsstelle nicht weit genug, an die sich EU-Bürger wenden können. Sie wollen nach einem Jahr die Effektivität der neuen Regelungen genau prüfen. Industrieverbände begrüßen hingegen Privacy Shield und bauen auf eine benötigte Rechtssicherheit.

Klagerecht für Behörden wird zum Streitpunkt

Innerhalb der Bundesrepublik Deutschland bahnt sich zudem ein weiterer Streitpunkt an. Der Bundesrat hatte die Bundesregierung aufgefordert, einen Gesetzentwurf für ein Klagerecht der Datenschutzbehörden vorzulegen. Allerdings soll sich dieses Klagerecht auf Verstöße gegen das Abkommen beschränken. Ein Klagerecht für die Behörden gegen Angemessenheitsentscheidungen der Kommission – womit bspw. das Abkommen als solches angegriffen werden könnte – oder eine solches Recht in Vertretung für die Bundesrepublik Deutschland will die Bundesregierung den Behörden nicht einräumen.

Keine Rechtssicherheit bei Datentransfer in die USA

Im Ergebnis gibt es damit zwar einige rechtliche Instrumente, die den Datentransfer in die USA ermöglichen wie das EU Privacy Shield oder z.B. die EU Standard Model Contracts. Jedoch gibt es kein einziges Instrument, das derzeit gerade nicht einer gerichtlichen Prüfung unterzogen werden wird. Damit bleibt der Datenaustausch weiterhin rechtlich unsicher und es wäre begrüßenswert, wenn die Gerichte hier nun schnell für Rechtssicherheit sorgen würden.

IT-Sicherheit: Best Practice Guide der US-Automobilindustrie

Mit einem Best Practice Guide will die US-amerikanische Automobilindustrie die IT-Sicherheit in Autos voranbringen und neue Standards schaffen. Connected Cars und autonom fahrende Autos sollen so vor Hackerangriffen geschützt und zukunftssicher gemacht werden.

IT-Sicherheit und Datenschutz sind aus der Debatte um die Sicherheit von Connected Cars und autonom fahrenden Autos nicht weg zu denken. Vor kurzem sorgte ein erneuter erfolgreicher Hack eines Jeep für Aufmerksamkeit in der Branche. Einem Team aus Sicherheitsforschern war es zum wiederholten Male gelungen auf Lenkrad, Bremsen, Steuerung etc. zuzugreifen.

Best Practice Guide veröffentlicht

Das Automotive Information Sharing and Analysis Center (Auto-ISAC) hat einen Best Practice Guide veröffentlicht, eine Zusammenfassung ist online zu finden. Ziel ist es den verschiedenen Unternehmen eine Implementierung des „Enhance Automotive Cybersecurity“-Prinzips in ihre individuellen Strukturen zu ermöglichen. Gegenstand ist die IT-Sicherheit im automobilen Ökosystem.

Die Richtlinien behandeln primär die IT-Sicherheit von leichten Nutzfahrzeugen, eignen sich laut Auto-ISAC aber auch für schwere Nutzfahrzeuge. Behandelt werden sieben Felder: Security by design, risk assessment and management, threat detection and protection, incident response, collaboration and engagement with appropriate third parties, governance und awareness and training.

Auto ISAC ist aus der Alliance of Automobile Manufacturers entstanden, zu deren Mitgliedern u.a. Mercedes Benz und BMW zählen.

Safe Harbor: Reform diesen Herbst?

Durch die Snowden-Enthüllungen geriet das Safe Harbor-Abkommen in die Kritik: Datenschützer, Politiker und die EU forderten eine Reform. In den vergangenen Monaten fanden in aller Stille Verhandlungen statt. Eine Reform könnte noch in diesem Herbst beschlossen werden.

Reform diesen Herbst?

Die Nachrichtenagentur Reuters berichtet, dass sie Dokumente einsehen konnte, wonach Verhandlungen zwischen den USA und der EU über eine Neuregelung des Datenaustausches im Rahmen des Safe Harbour-Abkommens im Herbst zum Abschluss kommen könnten.

Was könnte sich ändern?

Dem Dokument sind geplante Änderungen zu entnehmen:

  • US-Unternehmen sollen striktere Vorgaben erhalten, wenn sie Daten von Betroffenen an Dritte weitergeben
  • Beide Seiten sollen künftig das Funktionieren des Abkommens überprüfen können. Dies meint wohl, dass auch die EU die zertifizierten Unternehmen in den USA überprüfen kann, ebenso vice versa. Bisher wurden US-Unternehmen nur vom US-Handelsministerium überprüft.

Weitere Änderungen sind noch nicht bekannt.

Änderungen scheinen auf USA abzuzielen

Ob europäische Unternehmen von Änderungen umfänglich betroffen werden, ist fraglich. Die Änderungen scheinen hauptsächlich auf die USA abzuzielen. So wird in dem Dokument erwähnt, dass die EU die Befürchtung hatte, US-Unternehmen könnten über Dritte das Safe Harbour-Abkommen unterlaufen. Ferner wurden Begrenzungen für US-Behörden festgelegt, die auf die aus der EU übermittelten Daten zugreifen wollen. Auch die Umsetzung dieser Begrenzungen soll die EU kontrollieren können. Alles in allem entsteht zum jetzigen Zeitpunkt der Eindruck, dass vorrangig Interessen der EU durchgesetzt werden.