Wie bewerten Datenschutz-Experten das Safe-Harbor-Urteil des Europäischen Gerichtshofs? Unseren Fragebogen haben die Vertreter drei verschiedener Datenschutz-Zertifizierungsstellen beantwortet.

Wir haben dieselben Fragen an jeweils einen Vertreter des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD), der europäischen Zertifizierungsstelle EuroPriSe GmbH sowie der datenschutz cert GmbH gestellt. 

“Datenschutz made in Germany” entwickelt sich international immer mehr zu einem Qualitätsmerkmal. Was zeichnet deutsche IT-Produkte diesbezüglich Ihrer Meinung nach besonders aus?

Marit Hansen (ULD): Natürlich darf man nicht verallgemeinern: In keinem Land gibt es nur gute oder nur schlechte Produkte. Aber wer mit „Datenschutz made in Germany“ werben möchte, hat sich in der Regel viele Gedanken zu Datenschutz und Informationssicherheit nach den deutschen rechtlichen Standards gemacht. Das heißt: Die Entwickler haben schon von Anfang an Datenschutzanforderungen bei der Konzeption und Gestaltung der IT-Produkte berücksichtigt und im besten Fall den Datenschutz sogar ins Produkt eingebaut. Dabei hat das Entwicklerteam den gesamten Lebenszyklus der personenbezogenen Daten – vom Beginn der Erhebung und Speicherung bis zum Archivieren oder Löschen – durchgeplant und in allen Verarbeitungsphasen auch den Rechten der Betroffenen Rechnung getragen. Eingebauter Datenschutz und eine hohe Qualität im Bereich der Informationssicherheit minimieren sowohl das Risiko für die Menschen, deren Daten verarbeitet werden, als auch das Risiko für die Anwender, dass sie gegen das Datenschutzrecht verstoßen und Daten, die in ihrer Obhut liegen, missbraucht werden.

Ralf von Rahden (datenschutz cert): Datenschutz ist in Deutschland insgesamt als Thema wahrscheinlich viel präsenter als in vielen anderen Ländern. Diese erhöhte Sensibilität fließt bei vielen Herstellern bereits bei der Produktentwicklung in Form von “Privacy by Design” mit ein.

Sebastian Meissner (EuroPriSe): Eine Vielzahl von IT-Produkten europäischer Provenienz zeichnen sich durch ein hohes Maß an Datensicherheit, Transparenz und Datensparsamkeit aus. Dies gilt nicht zuletzt auch für deutsche IT-Produkte.

Um mal etwas provokant zu fragen: Folgt nach dem aktuellen Urteil des Europäischen Gerichtshofs (EuGH) jetzt das “Pearl Harbor” des Datenschutzes? Oder was bedeutet das für ungültig erklärte Datenschutzabkommen Safe Harbor für die Nutzung amerikanischer Health Clouds in Deutschland und Europa?

Marit Hansen (ULD): Auf jeden Fall ist das EuGH-Urteil zu Safe Harbor ein Paukenschlag in der Datenschutzgeschichte. Eigentlich gar nicht mal ein überraschender Paukenschlag, denn in Deutschland haben die Datenschutzbehörden sogar viele Jahre vor den Enthüllungen von Edward Snowden darauf hingewiesen, dass das Etikett „Safe Harbor“ keine automatische Datenschutzgarantie darstellt, sondern häufig ein Trugschluss ist. Viele Firmen in Deutschland und in Europa haben sich trotzdem darauf verlassen. Das geht nun nicht mehr, denn das Gericht hat Safe Harbor für ungültig erklärt. Personenbezogene Daten dürfen auf dieser Basis nicht mehr in die USA übermittelt werden. Dies betrifft natürlich auch die Fälle, in denen Arztpraxen, Labore oder Krankenhäuser US-amerikanische HealthClouds nutzen möchten, die bislang Safe Harbor als Rechtsgrundlage angeführt haben. Übermittlungen von personenbezogenen Daten in solche Clouds sind unzulässig. In diesen Monaten wird juristisch geprüft, inwieweit andere Rechtsgrundlagen für Übermittlungen infrage kommen, z.B. die Standardvertragsklauseln der Europäischen Kommission. Hierzu habe ich eine eindeutige Auffassung: In diesen Standardvertragsklauseln müssten die US-Firmen unterschreiben, dass sie keinen gesetzlichen Zugriffsmöglichkeiten durch staatliche US-Stellen unterliegen – aber dies können sie eben aufgrund der aktuellen rechtlichen Situation nicht wahrheitsgemäß unterschreiben. Es geht hier nicht darum, bei einem Vertrag eine kleine Fußnote zu ergänzen, sondern wir müssen die Missbrauchsmöglichkeiten verhindern. Der Vollzugriff von mächtigen Geheimdiensten auf unsere Daten muss unterbunden werden. Wir müssen zudem alle Versuche stoppen, die Informationssicherheit zu schwächen. Auf der einen Seite laufen nun Verhandlungen zwischen den USA und der Europäischen Kommission, auf der anderen Seite wird versucht, durch technische und organisatorische Maßnahmen zu verhindern, dass sensible Daten von Bürgerinnen und Bürgern in Europa in den Einflussbereich der US-Geheimdienste und anderer US-Stellen geraten. In dieser Gemengelage darf man eine einfache Lösung nicht übersehen, nämlich solche Angebote zu nutzen, die wir in Deutschland und Europa haben. Warum in die Ferne schweifen, wenn wir gute oder sogar bessere Angebote mit Datenschutzgarantien vor Ort haben? Daher sehe ich in dem Urteil des EuGH einen Anstoß für die deutsche und europäische Wirtschaft, selbstbewusst gute Produkte und Dienstleistungen auf den Markt zu bringen und die Vorteile für Datenschutz zu betonen. Parallel müssen wir in Europa aber auch unsere Geheimdienste besser einhegen und kontrollieren.

Ralf von Rahden (datenschutz cert): Nach dem Urteil des EuGH zu Safe Harbor sind die USA aus Datenschutzsicht als sogenannter unsicherer Drittstaat zu betrachten. Ob die Nutzung einer “Health Cloud” eines Anbieters aus unsicheren Drittstaaten zulässig ist, hängt von der technischen Umsetzung von Sicherheitsmaßnahmen und der zu speichernden Daten ab. Ob der Einsatz einer solchen Cloud-Lösung in Europa geeignet ist, müsste im Einzelfall geprüft werden.

Sebastian Meissner (EuroPriSe): Die Auswirkungen des EuGH-Urteils auf internationale Datenströme sind gegenwärtig noch nicht in ihrem ganzen Umfang absehbar. So wird die Artikel 29-Datenschutzgruppe bis Ende Januar untersuchen, inwieweit vor dem Hintergrund des Urteils noch auf Instrumente für einen rechtskonformen Datentransfer in Drittstaaten wie Standardvertragsklauseln und verbindliche Unternehmensregelungen zurückgegriffen werden kann. Im Rahmen seiner Zertifizierungsverfahren wird EuroPriSe sich wie üblich an den Vorgaben der Artikel 29-Datenschutzgruppe orientieren. Es sei an dieser Stelle noch darauf hingewiesen, dass das EuGH-Urteil nicht nur Auswirkungen auf die Übermittlung personenbezogener Daten in die USA, sondern auch auf Übermittlungen in andere Staaten außerhalb der EU und des Europäischen Wirtschaftsraums haben wird.

Sehen Sie deutsche Datenschutzstandards durch Abkommen wie TTIP gefährdet?

Marit Hansen (ULD): Abkommen wie das Transatlantische Freihandelsabkommen TTIP sind rechtlich den Datenschutz-Richtlinien und -Verordnungen, die auf EU-Ebene für alle Mitgliedstaaten gelten, übergeordnet. Zwar wird angeführt, dass Datenschutzfragen bei TTIP ausgespart werden und völlig unabhängig davon für Europa die hiesigen Datenschutzanforderungen trotzdem gelten. Da wir aber immer mehr Produkte und Dienstleistungen bekommen werden, bei denen personenbezogene Daten eine Rolle spielen, reicht mir ein dürrer Verweis auf das jeweils gültige Datenschutzrecht bei gleichzeitigem Betonen der freien Handelspartnerschaften nicht aus. Gerade im Bereich der Medizintechnik, in dem sich die Verhandlungspartner USA und Europa einen Abbau von Handelshemmnissen versprechen, kommt es darauf an, dass Datenschutzanforderungen in den Produkten von Anfang an adressiert werden und nicht nur – wenn es denn überhaupt noch geht – nachträglich beim Einsatz in Europa Datenschutzfunktionalität aufgepfropft wird. Nach meiner Ansicht gefährdet TTIP unsere hohen Datenschutzstandards.

Ralf von Rahden (datenschutz cert): Bei Handelsabkommen mit Staaten, die aus Datenschutzsicht als unsichere Drittstaaten klassifiziert werden, besteht grundsätzlich eine Gefahr, dass das hohe europäische Datenschutzniveau zumindest in Teilen abgeschwächt oder ausgehebelt werden könnte. Daher ist gerade der Fokus auf den Datenschutz wichtig bei den weiteren Verhandlungen zwischen der EU und den USA.

 

Marit Hansen leitet das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein.

Ralf von Rahden ist Technischer Leiter der Prüfstelle für IT-Sicherheit bei der datenschutz cert GmbH.

Sebastian Meissner leitet die Zertifizierungsstelle EuroPriSe GmbH

 

Titelbild: ©photodune.net / Galyana_Andrushko

Andreas Dobler ist Geschäftsführer von Telepaxx sowie stellvertretender Geschäftsführer von Digithurst. Er verantwortet insbesondere die Konzeption und Weiterentwicklung des ePACS Speicherdienstes sowie die strategische Weiterentwicklung von HealthDataSpace. Der Betriebswirtschaftler ist seit 1990 im IT-Gesundheitswesen tätig und hält regelmäßig Vorträge zu den Themen Datenschutz und eHealth. Ehrenamtlich engagiert sich der zweifache Familienvater bei der SpVgg Roth für den Basketballsport.

Kommentar hinterlassen

Ihre Email-Adresse wird nicht veröffentlicht.