Die Einführung des Privacy Shield durch die US-amerikanischen und europäischen Regulierungsbehörden, dem Nachfolger des Safe Harbor-Abkommens, das seit über einem Jahrzehnt den Transfer personenbezogener Daten zwischen den USA, Kanada und der EU regelt, war ein enttäuschender Schritt und hinterließ viel Unsicherheit. Der größte Streitpunkt für EU-Datenschützer bleibt, ob US-Unternehmen garantieren können, dass sie die Daten von EU-Bürgern tatsächlich vor dem US-Bundesdatenschutz schützen können. Unterschiede in den Anforderungen der EU-Regulierungsbehörden an den Umgang US-amerikanischer Organisationen mit den Daten ihrer Bürger könnten jedoch auch zu strengeren Anforderungen an die Einhaltung der Grundsätze des Abkommens führen.
Die Einhaltung des Privacy Shield basiert, wie viele andere Vorschriften zum Datenfluss, heute auf Selbstzertifizierung und Selbstbewertung auf Grundlage vertraglicher Vereinbarungen. Aber warum verlassen wir uns immer noch auf „Ich bin dafür“ als Nachweis der Einhaltung? Im Zeitalter von Big Data und verteilter Infrastruktur sollte die Bestätigung von Datenflüssen durch Datenintelligenz und nicht durch Absichtserklärungen erfolgen.
Datenschutz datengesteuert gestalten
Die Selbstzertifizierung im Zusammenhang mit Datenbewegungen birgt ein offensichtliches Problem hinsichtlich der Compliance: Wie lässt sich ohne Nachverfolgung sicher feststellen, wo die Daten waren oder wohin sie gehen? Selbst gut gemeinte Audits können nur begrenzte Erkenntnisse liefern, wenn sie sich ausschließlich auf fehlerhafte Interviews und Umfragen stützen. Compliance ist ein exakter Konformitätstest und kein vages Maß für bestmögliche Bemühungen. Im Fall des Privacy Shields bringt die Selbstzertifizierung das sekundäre Problem mit sich, dass das Abkommen unweigerlich vor dem Gerichtshof der Europäischen Union angefochten und höchstwahrscheinlich irgendwann überarbeitet werden muss. Das wirft für Unternehmen die Frage auf: Wie können sie Compliance heute, morgen und in Zukunft zuverlässig zertifizieren, selbst wenn sich die Messgröße ändert?
Das US-Handelsministerium (die Zertifizierungsstelle für US-Organisationen) ist nun befugt, die Übereinstimmung der Datenschutzrichtlinien mit den relevanten Privacy-Shield-Prinzipien zu überwachen und aktiv zu überprüfen – nicht jedoch die tatsächlichen Datenverarbeitungs- und Datenverwaltungspraktiken, die den Richtlinien entsprechen sollten. Im Rahmen der Überarbeitung des Privacy Shield kann das Handelsministerium außerdem Überprüfungen einleiten und von den teilnehmenden Organisationen verlangen, umgehend auf Untersuchungsanfragen zu reagieren.
Die Zertifizierung der Einhaltung von Datenschutzbestimmungen im Allgemeinen und des Privacy Shield im Besonderen durch Unternehmen muss sich vom Vertrauensprinzip zur Überprüfung entwickeln. Unternehmen überwachen und verfolgen bereits alle Arten von Daten innerhalb des Unternehmens, doch personenbezogene Daten zählen derzeit nicht dazu. Dies wird noch problematischer, wenn man den vollen Umfang des Privacy Shield betrachtet.
Während der Schutz der Daten von EU-Bürgern vor der US-Überwachung weiterhin das Hauptanliegen des Privacy Shield ist, enthält das aktuelle Abkommen auch ein Zweckbindungsprinzip – das sicherstellt, dass Daten nur für die Zwecke verarbeitet werden, denen die Nutzer zugestimmt haben. Der Vorgänger des Privacy Shield sah keine Einschränkungen für die Verwendung von Daten von EU-Bürgern in den USA vor. Dies ist nun nicht mehr der Fall. Das Abkommen sieht nun Nutzungsbeschränkungen, Speicherbeschränkungen und weitere Einschränkungen der Datenverarbeitung vor. Ohne einen genauen Überprüfungsmechanismus gibt es jedoch kaum Nachweise für die Einhaltung der Vorschriften, die über das eigene Wort hinausgehen. EU-Bürger müssen sich darauf verlassen, dass US-Organisationen ihre Einhaltung auch ohne Datennachweis beteuern.
Abgesehen von allen politischen Auseinandersetzungen macht Privacy Shield deutlich, dass Datenübertragungen über den Atlantik (und nach dem Brexit möglicherweise auch über den Ärmelkanal) künftig einer strengeren Kontrolle unterliegen werden. Die Beweisgrundlage für die Einhaltung der Vorschriften bleibt jedoch in einer Zeit stecken, die vor der Erfindung von Computern und erst recht vor der modernen Datenanalyse liegt. Wenn es um personenbezogene Daten geht, basiert die Privacy-Shield-Zertifizierung alles andere als auf Daten. Es geht ausschließlich um Vertrauen und nicht um Überprüfung.
Datenkartierung im GPS-Zeitalter
Es gibt unterschiedliche Meinungen darüber, wie Organisationen reagieren werden, wenn der Selbstzertifizierungsprozess am 1. August wieder beginnt. Einige Beobachter glauben, dass viele angesichts der drohenden Unsicherheit mit der Selbstzertifizierung noch warten werden. Andere argumentieren, dass viele die Gelegenheit beim Schopf packen werden, da die Selbstzertifizierung es Unternehmen ermöglicht, transatlantische Datenübertragungen im Rahmen einer einzigen Rahmenvereinbarung legal durchzuführen, anstatt Vertragsklauseln mit einzelnen Datenpartnern abzuschließen.
In jedem Fall müssen Organisationen, die personenbezogene Daten von EU-Bürgern verwalten und verarbeiten, systematischer vorgehen, um nicht nur zu verstehen, wessen Daten sie besitzen (und wie viele davon), sondern auch, wie diese personenbezogenen Daten durch ihre Infrastruktur fließen und welche Dritten Zugriff darauf haben. Unabhängig davon, ob die Selbstzertifizierung die nächste rechtliche Herausforderung übersteht, datengesteuerte quantitative Datenzuordnung wird sich als eine zentrale Voraussetzung für die Einhaltung der neuen Grundsätze des Privacy Shield im Besonderen, aber auch für die Einhaltung des allgemeinen Grundsatzes des verantwortungsvollen Schutzes personenbezogener Daten und der Privatsphäre für alle Unternehmen herausstellen, die Verbraucherdaten verwalten.
Wir leben heute in einem Zeitalter fortschrittlicher Datenanalyse und weltweiter globaler Positionierung. Es gibt keinen Grund, sich auf die Datenflusskartografie der Zeit von Christoph Kolumbus zu verlassen, um den Informationsfluss zwischen Unternehmen oder Ländern zu messen.
Autor
