Was kommt nach dem Privacy Shield?

Teil 1 – Datenschutz wird zum globalen Trend

2020 kippte der EuGH mit dem „Schrems II“ genannten Urteil die Privacy-Shield-Regelung. Die für Unternehmen entscheidende Frage ist nicht, wann eine neue Regelung kommt. Die Frage ist vielmehr, was sie tun müssen, um in unsicherem Umfeld langfristig handlungsfähig zu bleiben. Die Antwort lautet unternehmensweites Informationsmanagement oder Enterprise Information Management (EIM).

Am 25. Mai 2018 endete die Übergangsfrist für die Europäische Datenschutz-Grundverordnung (EU-DSGVO, engl. GDPR). Firmen hatten Datenschutzbeauftragte, Double-Opt-in-Mechanismen und Prozesse etabliert, um Vorgaben zu Datensparsamkeit und Richtigkeit der Daten einzuhalten. Wer die DSGVO-Vorgaben ernst genommen hatte, merkte zudem, dass sich auch eine neue, bewusstere Sichtweise beim Umgang mit Daten durchsetzte.

Allerdings droht beim Datenschutz – wie bei allen anderen Prozessen im Unternehmen – mit der Zeit eine Erosion der etablierten Prozesse und Vorgaben und drohen Sorglosigkeit, Bequemlichkeit und Nachlässigkeiten, wenn Abläufe nicht kontinuierlich überprüft und gegebenenfalls angepasst werden.

Das kann ernsthafte Folgen haben. Einem aktuellen Bericht der Kanzlei DLA Piper zufolge stieg die Höhe der 2020 in der EU wegen Verstößen gegen die DSGVO verhängten Strafen auf 158,5 Millionen Euro an. Der Gesamtbetrag liegt damit 39 Prozent über dem seit Inkrafttreten der DGSVO und Ende 2019. Viele Unternehmen hatten noch Glück. Einige, denen besonders strenge Strafen drohten, konnten sie deutlich herunterhandeln. Doch das ist nur der finanzielle Aspekt. Dazu kommen Auswirkungen auf die Kundenbeziehungen und das Image sowie der Aufwand durch die Gerichtsverfahren.

Keine Übergangsfristen

Am 16. Juli kippte der Europäische Gerichtshof (EuGH) in dem als „Schrems II“ bezeichneten Verfahren das „Privacy Shield“-Abkommen. Das sollte 2016 den ebenfalls durch ein Urteil des EuGH für ungültig erklärten Vorgänger „Safe Harbor“ ersetzen. Eine Überraschung war das Urteil im Sommer 2020 nicht. Experten und Aufsichtsbehörden hatten schon zuvor daran gezweifelt, ob „Privacy Shield“ einer Überprüfung standhalten kann.

Bei den direkten Folgen der beiden EuGH-Urteile gibt es jedoch einen entscheidenden Unterschied. Vor dem Aus von „Safe Harbor“ gab es bereits jahrelange Verhandlungen über eine Nachbesserung. Dennoch gelang mit „Privacy Shield“ keine langfristig tragfähige Lösung. Immerhin wurde der für die Verhandlungen benötigte Zeitraum als Übergangsphase angesehen.

Nach dem EuGH-Urteil zum „Privacy Shield“ gibt es dagegen keine Übergangsphase. Das machen Antworten in den FAQ des US-Handelsministeriums und der FAQ-Liste des European Data Protection Board (edpb) unmissverständlich deutlich. Die Zusage des US-Handelsministeriums, für das Privacy-Shield“-Programm weiterhin Zertifizierungen und Re-Zertifizierungen anzubieten, ist eher ein symbolischer Akt.

Firmen dürfen nicht auf einen Privacy-Shield-Nachfolger hoffen

Eine schnelle Lösung ist nicht in Sicht. Eine gemeinsame Stellungnahme von Wilbur Ross, dem damaligen Handelsminister der USA, und EU-Justizkommissar Didier Reynders von August 2020 dokumentiert lediglich die Bereitschaft, über Gespräche zu verhandeln. Was die noch vor dem Amtsantritt gemachte Ankündigung der neuen US-Handelsministerin Gina Raimondo wert ist, ein „Privacy Shield“-Ersatz habe für sie „oberste Priorität“, muss sich erst noch zeigen.

Selbst wenn bald ein Ersatz ausgehandelt wird, taugt er nur vorübergehend als Basis für den transatlantischen Datenaustausch. Die grundsätzlich unterschiedlichen Rechtsauffassungen in USA und EU und die Befugnisse der Geheimdienste in den USA bleiben bestehen. Sie haben zur Ablehnung von Safe Harbor und Privacy Shield durch den EuGH geführt und könnten auch den Nachfolger zu Fall bringen.

Weltweite Datenschutzregeln einhalten

International agierende Unternehmen dürfen sich ohnehin nicht auf Regelungen zwischen EU und USA beschränken. Wie Zahlen der Welthandels- und Entwicklungskonferenz (UNCTAD) zeigen, waren im April 2020 bereits in 76 Prozent aller Länder Gesetze zum Datenschutz in Kraft oder in Vorbereitung – Tendenz steigend. Eines der bekanntesten Beispiele ist der California Consumer Privacy Act. Ihm kommt besondere Bedeutung zu, weil viele große Internetfirmen ihren Sitz in Kalifornien haben. Das Gesetz lehnt sich stark an die DSGVO an – ebenso wie Regelungen in anderen wichtigen Ländern, etwa Australien (Privacy Amendment (Notifiable Data Breaches) Act 2017) und Brasilien (Lei Geral de Proteção de Dados). Allen gemeinsam ist, dass sie nicht nur für Unternehmen im jeweiligen Land gelten, sondern auch für alle, die dort eine Niederlassung unterhalten oder Dienstleistungen anbieten.

Ein globaler Trend, der nach Informationsmanagement ruft

Datenschutz ist also längst keine „exotische Anforderung einer regulierungswütigen EU“ mehr – wie es in der Vergangenheit so oder so ähnlich bisweilen dargestellt wurde. Es handelt sich hier vielmehr um einen weltweiten Trend, der sich vielfach an der DSGVO orientiert. Allerdings ist nicht davon auszugehen, dass sich die nationalen Regelungen vollständig angleichen. Sicher ist jedoch, dass jedes Land erwartet, dass seine Regelungen für seine Bürger von allen dort tätigen Firmen eingehalten werden. Die Sanktionen bei Nichteinhaltung fallen sehr unterschiedlich aus – werden jedoch immer häufiger verhängt.

Um eine umfassende Strategie zum Umgang mit Daten und Informationen im Unternehmen, um die Regelung der Zugriffsrechte, die Nutzungsmöglichkeiten und die Zuordnung der Daten zum ursprünglichen Kontext kommt daher kein Unternehmen mehr herum. Mit anderen Worten: Firmen kommen nicht um ein unternehmensweites Informationsmanagement herum.

Welche Lösungen dafür notwendig sind, erfahren Sie in Teil II dieses Blogbeitrags.

 

Werner Rieche

Werner Rieche verfügt über mehr als 25 Jahre Erfahrung in der IT Branche und ist seit November 2020 als Vice President Sales Enterprise Content Services DACH für die zukünftige Geschäftsentwicklung der OpenText in Deutschland, Österreich und der Schweiz verantwortlich. Bereits von 2001 bis 2015 war er für OpenText tätig, zuletzt als Vice President Sales DACH. Dazwischen war er bei der SAG Deutschland GmbH, einer 100-prozentigen Tochter der Software AG, als President DACH und Managing Director Germany für das Geschäft des zweitgrößten deutschen Software-Unternehmens verantwortlich. Zu seiner Laufbahn zählen außerdem leitende Positionen bei IBM FileNet GmbH und SER Solutions.

Weitere Artikel, die sie interessieren könnten

Schaltfläche "Zurück zum Anfang"