Nach dem Kippen des Safe-Harbor-Abkommens zur Regelung des sicheren Datenverkehrs mit Unternehmen aus den USA sehen Experten nun den strengen europäischen Datenschutz als Wettbewerbsvorteil für die heimische IT-Wirtschaft.
Das Ringen um ein einheitliches europäisches Datenschutzrecht mit den USA geht in die nächste Runde. Gleichzeitig ist eine neue Datenschutz-Grundverordnung der EU bis 2018 von den Mitgliedsstaaten umzusetzen. Welche Konsequenzen ergeben sich daraus für Unternehmen? Am 26. April diskutierten dazu im »Fabasoft TechSalon« in Wien der Jurist und Datenschutzaktivist Max Schrems, Helmut Fallmann, Mitglied des Vorstandes der Fabasoft AG, und Rainer Knyrim, Partner bei Preslmayr Rechtsanwälte.
Report: Herr Schrems, in den letzten Jahren war Datentransfer in die USA pauschal rechtlich mit dem Safe-Harbor-Abkommen gedeckt. Sie haben dieses Abkommen beim EUGH zu Fall gebracht. Was halten Sie von der Nachfolgevereinbarung »Privacy Shield«, die nun vorgestellt worden ist? Was sind die wesentlichen Herausforderungen hier?
Max Schrems: Europäische Unternehmen, die sich an die strengen Datenschutzbestimmungen halten müssen, konkurrieren am Markt mit US-Anbietern, die teils völlig frei agieren. Damit sollten nicht nur die Konsumenten, sondern auch die Wirtschaft ein großes Interesse an sinnvollen Datenschutzabkommen mit Drittländern haben. Prinzipiell unterscheiden wir dazu zwei Gruppen von Staaten. Die einen haben ein der Sache nach gleiches Datenschutzniveau wie die EU-Länder. Dazu zählen die Schweiz, Israel, einige südamerikanische Länder, Kanada und Neuseeland. Dann gibt es jene, die dieses Niveau nicht haben – praktisch der Rest der Welt inklusive alle großen EU-Handelspartner. Die wesentliche Frage ist jetzt, ob die USA als sicherer Drittstaat anerkannt wird.
Bild: Jurist Max Schrems hat erfolgreich das Safe-Harbor-Abkommen am EUGH zu Fall gebracht.
Das europäische Verständnis von Datenschutz umfasst alle Aspekte vom Sammeln der Daten bis zum Speichern, Auswerten und Löschen. Bei Privacy Shield muss die Wahrung der Privatsphäre und die Zustimmung durch die Betroffenen aber nur bei der Weitergabe von Daten an Dritte besonders beachtet werden oder wenn der Zweck der Datenverarbeitung prinzipiell geändert wird. Facebook aber beschreibt den Zweck der Datenverarbeitung überhaupt vage – es umfasst praktisch alles, was das Unternehmen mit den Daten tun möchte. Wenn dann auch noch eine Weitergabeklausel in den AGBs enthalten ist, fällt auch diese Limitierung und es ist praktisch alles erlaubt. Sie finden diese Punkte in nahezu jeder Datenschutzerklärung von US-Unternehmen.
Bei Privacy Shield sind zudem ein rechtliches Vorgehen bei Datenschutzvergehen oder auch einfache Auskünfte nicht so einfach, da direkte Ansprechpartner fehlen und im schlimmsten Fall unterschiedliche Institutionen durchlaufen werden müssen – und trotzdem gibt es keine Rechtssicherheit bei der Durchsetzung. Es ist jedenfalls wahrscheinlich, dass auch Privacy Shield vor den EuGH gebracht und gekippt werden wird.
Report: Was wird sich mit der Datenschutz-Grundverordnung der EU ändern, die 2018 in den EU-Ländern in Kraft tritt?
Schrems: Die Grundprinzipien bleiben und es kommt endlich zu einer starken Vereinheitlichung des Datenschutzrechts in allen EU-Staaten. Trotzdem gibt es unzählige Ausnahmen – über 60 Öffnungsklauseln, die nationale Besonderheiten beachten – und damit wird es auch in Österreich ein Datenschutz-Begleitgesetz geben.
Mit der Datenschutz-Grundverordnung kommen neue Pflichten auf Unternehmen zu: die Position von Datenschutzbeauftragen, erweiterte Information- und Dokumentationspflichten ebenso wie »Data Protection by Design«. Zudem werden die nationalen Datenschutzbehörden bei Fällen größerer Tragweite über Ländergrenzen hinweg kooperieren können.
Die meiner Meinung nach größte Änderung betrifft aber die Strafhöhe bei Datenschutzverletzungen. In Österreich lag die Obergrenze bisher bei 25.000 Euro. Sie wird nun auf 20 Mio. Euro oder 4 % des weltweiten Umsatzes eines Unternehmens angehoben. Das bedeutet eine völlig neue Dimension im Datenschutzrecht.
Report: Wie einfach ist dieses Regelwerk nun für Unternehmen umzusetzen?
Schrems: Aufgrund des sehr starken Lobbyings der Wirtschaft besteht die neue Verordnung aus sehr vielen unklaren Regelungen. Ein Beispiel dafür ist ein hineinreklamierter »risikobasierter Ansatz« in einzelnen Paragrafen, der für Unternehmen inidividuell zu berücksichtigen ist. Die Beteiligten – Rechtsanwälte, Datenschutzvertreter und Behörden – können sich dann den Kopf zerbrechen, was im Einzelfall zu tun ist. Hier ist die Einflussnahme der Industrie komplett daneben gegangen. Man wollte die Verordnungen verwässern, steht jetzt aber mit diesen Unsicherheiten da.
Report: Wird ein strenger Datenschutz nicht zu einem Hemmschuh für die Entfaltung der europäischen IT-Industrie?
Schrems: Mein Feedback ist: Die europäischen Unternehmen, die sich bereits an strengere Datenschutzregeln in den EU-Staaten halten müssen, sind nun über eine Gleichstellung dieser Pflichten mit den großen IT-Konzernen aus den USA froh. Die Unternehmen können jetzt auch überlegen, wie sie auch das Thema Datenschutz nutzen und sichere Services und Produkte weltweit vermarkten können.
Report: Herr Fallmann, warum sollten sich Konsumenten Gedanken über die Herkunft und Geschäftsmodelle von eigentlich sehr praktischen und komfortablen IT-Diensten – wie Facebook und anderen – machen? Wenn wir mit unseren persönlich Daten bezahlen – ist das für uns Konsumenten nicht einfach auch kostengünstig?
Helmut Fallmann: Man glaubt vermeintlich, damit gut abzuschneiden. Stellen Sie sich aber vor, ein Unternehmen hat alle Ihre Daten zur Nutzung Ihres Autos im Detail – Streckendaten, Fahr- und Bremsverhalten, Geschwindigkeiten, einfach alles vernetzt inklusive ihre Smartphonedaten. Das Unternehmen kann damit praktisch ein psychologisches Profil von Ihnen erstellen und wird im harmlosesten Fall die Prämienhöhe der Kfz-Versicherung zu Ihren Ungunsten anpassen. Wo ich aber fahre, wer mit mir im Auto sitzt und was ich mit meinem Telefon mache, das geht niemanden etwas an. Oder werden bald auch Krankenversicherungen für Risikopatienten unleistbar? Ich sehe hier sogar den sozialen Zusammenhalt gefährdet.
Bild: Fabasoft-Gründer Helmut Fallmann sieht weltweit Chancen für die europäische IT-Industrie mit sicheren Cloudservices.
Wir müssen uns deshalb in dieser zunehmend vernetzen Welt und der Welt der cyberphysischen Systeme, welche die reale Welt und IT-Prozesse eng miteinander verknüpfen, noch stärker mit diesem Thema auseinandersetzen. Natürlich liefert das reine Sammeln von Daten noch keine Ergebnisse – die Verknüpfung dieser Daten tut dies aber und die ist jederzeit möglich. Meine Privatsphäre möchte ich auch in Zukunft noch gesichert wissen.
Report: Warum sollten sich europäische Firmen in der Wahl ihrer IT-Anbieter und Lieferanten Gedanken machen? Es ist ja nicht jedes Unternehmen im Rüstungsgeschäft oder hat streng geheime Produkt- oder Produktionsdaten.
Fallmann: Die Welt dreht sich immer schneller und die Wettbewerbsvorteile in der Wirtschaft bestehen aus Wissen und Information. Mit IT können Unternehmen genau dies steuern. Das können leider aber auch die Falschen, wenn sie Zugriff darauf haben. In den USA wurde bereits offen im Kongress und im Senat gesagt, dass der amerikanische Geheimdienst Erkenntnisse aus der Spionage auch amerikanischen Unternehmen zu Verfügung stellt – alles andere wäre pure Verschwendung von amerikanischem Steuergeld. Damit ist schon klar, wo die Reise hingeht. Wir müssen jegliche Art von Unternehmensdaten schützen. Dies betrifft auch die Wirtschaft aufgrund des derzeit herrschenden »war for talents« – etwa in der Autoindustrie.
Wichtige Köpfe des Elektromobilitätsteams von BMW sind vor kurzem von einem chinesischen Mitbewerber abgeworben worden. Gerüchten zufolge arbeitet auch Apple an einem E-Car und wirbt dazu den europäischem Herstellern Fachkräfte ab. Man will unsere Talente, die in Europa mit unserem Steuergeld ausgebildet worden sind – und die bitte für Wertschöpfung hier sorgen sollen.
Report: Wie sieht nach dem Kippen des Safe-Harbor-Abkommens nun die rechtliche Situation für europäische Unternehmen bei der Zusammenarbeit mit IT-Firmen aus den USA tatsächlich aus?
Rainer Knyrim: Safe Harbor war eine elegante Möglichkeit für Unternehmen, mit IT-Partnern aus den USA zusammenzuarbeiten. War ein Anbieter entsprechend zertifiziert, war das rechtliche Thema erledigt. Das geht jetzt nicht mehr und Unternehmen müssen sich nun überlegen, welche Daten denn überhaupt in die USA geschickt werden. Dies betrifft aber nicht nur die eigenen Geschäftsprozesse, sondern auch jene von Dritten, von Sub-Dienstleistern, die von den IT-Partnern beauftragt werden. Die betrifft auch sehr stark Cloudservices. Viele Anbieter in diesem Bereich setzen im Hintergrund selbst auf Große wie etwa Amazon Web Services. Dies kann auch Einzelprojekte betreffen, etwa in der Entwicklung, wenn Testumgebungen flexibel, kostengünstig und zeitlich begrenzt aus der Cloud zugeschaltet werden. Man müsste also theoretisch alle seine Kunden, Mitarbeiter und Partner um Zustimmung bitten, Daten auch in die USA schicken zu dürfen – das ist in der Praxis nicht möglich. Letztlich bleibt die Möglichkeit, einen Datentransfer bei der österreichischen Datenschutzbehörde über die sogenannten Standardvertragsklauseln genehmigen zu lassen. .
Report: Was wird sich mit der Datenschutz-Grundverordnung aus Ihrer Sicht für die Unternehmen ändern? Können Sie beispielhaft wichtige Punkte nennen?
Knyrim: Gerade beim internationalen Datentransfer werden diese Möglichkeiten der Standardvertragsklauseln, die Vereinbarungen zwischen Unternehmenskunden und Anbieter praktisch fortgesetzt. Hinzu kommen noch »Binding Corporate Rules«, die für Konzerne, die weltweit tätig sind, das europäische Datenschutz-Regelwerk insgesamt über alle Staaten verbrieft umsetzen. Interessant ist: Die Grundverordnung erlaubt bereits die Fortführung von heute durch die Datenschutzbehörden genehmigten Transfers auch über 2018 hinaus. Damit braucht man nicht abzuwarten, sondern kann sich bereits jetzt mit diesem Thema beschäftigen.
Ein weiterer sehr relevanter Punkt ist – hier gebe ich Max Schrems recht– der Effekt der sehr hohen Strafen. Wurden Datenschutzmaßnahmen bisher in Österreich oft aus Kostengründen vernachlässigt, zwingt diese Verachthundertfachung der möglichen Sanktionen die Unternehmen, Maßnahmen zu setzen.
Max Schrems: Um da anzuschließen: Ich sehe bei den Standardvertragsklauseln allerdings das Problem, dass sie nicht für Partner gelten können, die in den USA unter die herrschende Massenüberwachungsgesetze fallen. Die Klauseln dürfen in diesem Fall explizit nicht genutzt werden. Das wird derzeit allgemein ignoriert, da ohne dieses Regelwerk ja gar nichts mehr erlaubt sein würde – es ist aber rechtlich ähnlich problematisch wie Safe Harbor.
Dies gilt beispielsweise auch für Anwendungen in der Amazon Cloud. Diese wird zwar 2009 nicht in den Snowden-Dokumenten, die sich mit der Überwachung durch die NSA beschäftigen, genannt – es hatte die Amazon Web Services damals aber in dieser Größe noch nicht gegeben. Man kann davon ausgehen, dass auch die AWS mittlerweile von der NSA angezapft werden.
Report: In der Datenschutzdiskussion werden Dienste von US-Unternehmen als Gefahr für die Privatsphäre der europäischen NutzerInnen dargestellt – während in Europa Persönlichkeitsrechte als hoher Wert gehandelt werden. Ist es wirklich so einfach?
Rainer Knyrim: Meine ersten Mandanten vor 15 Jahren waren amerikanische Industriebetriebe und Pharmaunternehmen, die sich sehr wohl an die Datenschutzgesetze – insbesondere bei der Verarbeitung von Mitarbeiterdaten – in allen Ländern gehalten haben und sich intensiv mit dem Thema Datenschutz beschäftigt haben. Zur selben Zeit haben österreichische Unternehmen beim Thema Datenschutz noch abgewinkt – die möglichen Sanktionen bei Verstößen waren zu gering. Das Thema Compliance war in Europa noch kein Thema. Das ändert sich jetzt aber stark. Auch die heimischen Unternehmen wissen, dass sie hier Nachholbedarf haben.
Wir erwarten nun mit Spannung auch das Datenschutz-Begleitgesetz in Österreich, dessen Entwurf für Ende des Jahres erwartet wird. Es wird für die österreichischen und europäischen Unternehmen sicherlich nicht einfacher, da die Regelwerke immer komplexer werden.
Bild: Rechtsanwalt Rainer Knyrim empfiehlt Unternehmen, sich so früh wie möglich mit Datenschutzrecht zu beschäftigen
Report: Man hört von großen Unternehmen aber auch, dass europäische Cloudanbieter nicht die Kapazität und das Know-how für ihre Bedürfnisse haben.
Hellmut Fallmann: Es gibt für Unternehmen die Möglichkeit, ihre Daten und Cloud-Services auch von europäischen Cloudanbietern sicher und verschlüsselt im eigenen Land zu speichern und zu verwalten. Fabasoft gehört hier zu den Guten, da wir als eines der ersten IT-Unternehmen nach ISO 27018 zertifiziert worden sind und auch bei dem EuroCloud Star Audit eine Fünf-Sterne-Auszeichnung erreichen konnten – das ist noch keinem anderen gelungen. Wir engagieren uns im Code-of-Conduct-Drafting-Team der Cloud Select Industry Group der EU-Kommission und sind bei der Standardisierung von Cloudservices aktiv.
Im Business-to-Business-Bereich gibt es überall Firmen, die im Datenschutz bemüht sind, sich vorbildlich zu verhalten. Salesforce.com und ganz besonders auch Microsoft sind hier sehr gute Beispiele aus den USA. Microsoft baut gerade eine Cloud-Service-Lösung mit der Deutschen Telekom auf, in der über eine Treuhandschaft sichergestellt ist, dass nur der örtliche Provider und seine Kunden Zugriff auf die Daten haben können. Facebook dagegen zähle ich nicht zu diesen Unternehmen, die sich europäischem Recht unterwerfen. Ich verstehe nicht, warum es in Europa bislang nicht gelungen ist, unsere Jugend vor diesem Datenklau zu schützen. Ein amerikanisches Auto, das hier zugelassen ist, muss europäischen Regeln genügen. Das muss auch bei IT-Produkten so sein. Es darf nicht sein, dass hier Unternehmen das Menschenrecht auf Privatheit verletzen – egal, was sie in ihre Geschäftsbedingungen schreiben.
Max Schrems: Ich merke ebenfalls einen Unterschied zwischen traditionellen Unternehmen, die sich schon an Regeln halten wollen, und jenen wie etwa Facebook oder Google, die sich an wenig halten. Man darf mangelnde Datenschutzregeln aber nicht den Amerikanern vorwerfen – es sind die Europäer, die früher nur zahnlose Regelwerke zusammengebracht hatten. Dies ist auch eine Frage der Ausstattung und Ressourcen der nationalen Datenschutzbehörden – vor allem in Ländern wie Luxemburg und Irland, begehrte Standorte für Vertretungen der internationalen IT-Konzerne. Da passiert hoffentlich ein Umdenken auch in der Gesellschaft und Politik. Es wird dann kein Wettbewerbsvorteil mehr sein, wenig Steuern zu verlangen – ebensowenig wird es ein Vorteil sein, keinen Datenschutz zu haben. Das ist die Grundsatzfrage, die sich Europa stellen muss.
Hellmut Fallmann: Wir leben in einer Zeit, in der Privatsphäre endlich wieder ein verteidigungswürdiges Gut wird. Wir Europäer können mit unserem Datenschutz und mit unserer Informationssicherheit wieder zu einem weltweiten Vorzeigemodell werden. Dazu ist es aber notwendig, die Bedingungen für den Datentransfer in Drittländer besser zu regeln, als es bei Safe Harbor passiert ist.
Wir haben Max Schrems zu verdanken, dass er Safe Harbor gekippt hat und wir beide sind der Meinung, dass der neue Vorschlag Privacy Shield nicht mehr ist als zehn Schichten Lippenstift auf einem Schwein. Noch größere Baustellen gibt es übrigens bei Drittländern wie Russland und China. So wie China das Thema Backdoors bei Bankensoftware sieht, ist dies doch sehr weit vom europäischen Datenschutzverständnis. Ich freue mich jedenfalls, dass der Datenschutz in Europa seine Sendepause beendet hat.