Datenschutzexperte: „Ich würde keinem Unternehmen raten, sich nur auf Privacy Shield zu verlassen“

Das neue Datenschutzabkommen „Privacy Shield“ zwischen der EU und den USA ist als Nachfolgeregelung zu „Safe Harbor“ seit Kurzem in Kraft. Auch die österreichische Datenschutzbehörde erlaubt auf Basis des Abkommens wieder den genehmigungsfreien Transfer von Nutzerdaten (so zum Beispiel Fotos, E-Mails, Videos, persönliche Informationen) in die USA. Firmen wie Microsoft oder Salesforce haben sich den Regeln von Privacy Shield bereits unterworfen. Österreichische Unternehmen, die mit Cloud-Diensten dieser und anderer US-Firmen arbeiten, müssen zukünftig keine Erlaubnis dafür bei der Datenschutzbehörde einholen.
Können die Daten also wieder wie früher ungehindert über den Atlantik fließen? Nach Meinung der EU-Kommission, die den viel kritisierten Deal geschlossen hat: ja. Nach Meinung vieler anderer ist die Sache aber nicht geregelt. Wie berichtet steht das Abkommen unter vehementer Kritik. Die „Artikel 29“-Gruppe, das EU-Gremium der nationalen Datenschützer, hat Privacy Shield vorerst nur für ein Jahr abgesegnet, dann solle noch einmal evaluiert werden. Auch im EU-Parlament bestehen weiterhin Bedenken, dass die Daten von EU-Bürgern weiterhin zur digitalen Massenüberwachung durch US-Behörden (Stichwort: NSA-Skandal) herangezogen werden.
Außerdem steht weiter im Raum, dass „Privacy Shield“ wie sein Vorgänger „Safe Harbor“ wieder vor den Europäischen Gerichtshof gebracht und dort gekippt werden könnte. Der Wiener Jurist Max Schrems, der mit seiner Klage maßgeblich am Ende von Safe Harbor 2015 beteiligt war, etwa sieht im neuen Abkommen lediglich kosmetische Verbesserungen.
„Lieber eine europäische Cloud suchen“
„Ich würde keinem Unternehmen raten, sich nur auf Privacy Shield zu verlassen“, sagt Andreas Krisch, Mitglied des österreichischen Datenschutzrats. „Entweder sollte man zusätzliche Sicherheitsvorkehrungen mit Standardvertragsklauseln treffen oder sich überhaupt einen europäischen Cloud-Anbieter suchen.“ Die sogenannten Standardsvertragsklauseln sind Zusatzverträge zwischen US-Firmen, die Daten verarbeiten, und Kunden in der EU, die mit ihren Cloud-Diensten arbeiten.
Wenn „Privacy Shield“ plötzlich wieder fällt, hat man immer noch die Standardvertragsklauseln als Plan B. Solche Vorkehrungen zahlen sich aus: Drei deutsche Firmen wurden von Hamburger Datenschützern mit Bußgeldern abgestraft, weil ihre Datenschutzvorkehrungen zu lasch waren und Privacy Shield noch nicht aktiv.