Datenschutz – wichtig ist nicht das Gesetz, sondern die Benutzer

Der Entscheid des Europäischen Gerichtshofes (EUGH), das Safe-Harbor-Abkommen als ungültig erklären zu lassen, hat den Blick vieler Unternehmen auf eine Stelle gelenkt, die im Tagesgeschäft nicht immer oberste Priorität geniesst – den Datenschutz. Seit Oktober 2015 besteht hier quasi ein „Rechts-Vakuum“, das viele Firmen plötzlich vor die Frage stellt, ob sie mit ihren Personendaten noch gesetzeskonform umgehen wenn sie sie ins Ausland (speziell die USA) übermitteln.

Der Magazinbeitrag „Safe Harbor ist tot – was heisst das für die Schweizer Online-Branche?“ blieb noch einige Antworten schuldig; mit Spannung wurde erwartet, was zum Thema „Safe Harbor / Datenschutz“ nach Ablauf der Frist von Ende Januar aus den Reihen der Datenschutzverantwortlichen aus der EU und der Schweiz verlauten würde.
Zeit die Dinge mal Revue passieren zu lassen und sich mit anderen Perspektiven zu befassen, die Antworten liefern können.

„Max Schrems vs. Facebook“ oder wie ein Student ein internationales Abkommen zu Fall brachte

Der österreichische Jura-Student Max Schrems (mittlerweile hat er das Studium abgeschlossen) kämpft in einem beachtenswerten Justizfall gegen das grosse Facebook. Quasi als Nebenprodukt des eigentlichen Zwists zwischen dem Studenten und dem Grosskonzern hat der EUGH entschieden, dass sich Unternehmen nicht mehr auf das Safe-Harbor-Abkommen berufen können. Werden Personendaten, personenbeziehbare Daten oder Persönlichkeitsprofile in die USA übertragen, dort gespeichert oder erfolgt ein Zugriff von dort auf Daten in der EU, so gilt dieser Datentransfer als illegal – und das quasi über Nacht.

Schild statt Hafen

Gestern Nachmittag wurde aus Rängen der EU-Kommission nun bekannt gegeben, dass der Nachfolger zum Safe-Harbor-Abkommen steht. Das neue Übereinkommen mit dem Namen „EU-US-Privacy-Shield“ besteht jedoch erst als Verhandlungsergebnis – niedergeschrieben wurde noch gar nichts. Die Zusicherungen, die das neue Abkommen gegenüber Safe Harbor verbessern und den Datenschutz von EU-Bürgern sichern soll, sind sehr vage. Scheint so, als ob unter sehr viel (Zeit-) Druck ein Ergebnis ausgehandelt wurde in der Hoffnung, dass dieses den europäischen Datenschutzgesetzen genügt.

Erste Analysen von Fachexperten lassen vermuten, dass das neue Abkommen das Papier nicht wert ist (auf dem es dann irgendwann einmal niedergeschrieben werden wird). Max Schrems hat in einem Blog verlauten lassen „schon die Überschriften lassen befürchten, dass dieser „Deal“ einfach nur ein Roundtrip zum EuGH nach Luxemburg ist“ (1). Er geht mit anderen Worten davon aus, dass auch das neue Abkommen rechtlich nicht auf einer sicheren Grundlage steht und möglicherweise wie Safe Harbor für ungültig erklärt werden wird.

Aus Praxissicht macht sich hier Unzufriedenheit breit. Wichtige Antworten von Seiten Legislative und Rechtssprechung bleiben aus und werden möglicherweise auch nicht so bald vorliegen.

Personendaten im Ausland – was dürfen Firmen heute noch?

Die Datenschützer haben bereits im Oktober mögliche Auswege gezeigt. Wer sich wieder auf der sicheren Seite wägen möchte, solle doch bitte sogenannte Binding Corporate Rules festhalten oder mit den Dienstleistern aus den USA Verträge abschliessen, die ein angemessenes Datenschutzniveau vorsehen (sogenannte Standard-Vertragsklauseln). Das Datenschutzgesetz sieht diese Mittel vor, allerdings kommt hier schon wieder Max Schrems ins Spiel. An der 32C3 hat er eindrucksvoll dargelegt, dass mit seiner Argumentationskette, die er vor dem EUGH vertreten hat, auch diese Rechtsmittel umgestossen werden können (2). Dank FISA-Act hat der amerikanische Staat seiner Ansicht nach stets das Recht sämtliche Daten, die in die USA gelangen „zu kompromittieren“, egal was Gesetze und Verträge sagen. Das Datenschutzniveau in den USA ist seiner Ansicht nach so oder so ungenügend gemessen an den europäischen Anforderungen. Das wird auch mit dem EU-US-Privacy-Shield nichts ändern.

Noch selten im Raum steht die Frage, wie es mit dem Datenexport in andere Länder aussieht. Für die Schweiz gilt der EU-Raum heute noch als sicher, Datenexporte nach Deutschland oder Frankreich benötigen keine speziellen weiteren Abkommen, da das Datenschutzniveau dieser Länder als angemessen angesehen wird. Die in der Schweiz verantwortliche Stelle, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) führt hier eine Liste, die zeigt welche Länder von der Gesetzeslage her ein angemessenes Datenschutzgesetz haben und der Datenexport somit ohne weitere Auflagen möglich ist (3). Die Liste ist einerseits sehr konkret und damit einfach anzuwenden, andererseits reicht das Fehlen eines angemessenen Datenschutzgesetzes bereits, um hier in der Spalte „unangemessener Schutz“ zu landen. Die Übertragung von Personendaten in diese Länder ist damit rechtlich gesehen nicht möglich.

EU-Länder gelten für die Schweiz heute noch als „sicherer Hafen“ für Personendaten. Doch auch das kann sich ändern wie zum Beispiel die Entwicklung in Österreich zeigt; das neue „Polizeiliche Staatsschutzgesetz“ (4) schwächt den Datenschutz in ähnlicher Weise wie der FISA-Act in den USA. Möglich, dass damit auch diese Datenexporte vor Gericht angefochten werden könnten und der Datenschutz in Österreich für Schweizer Verhältnisse als ungenügend kategorisiert wird.

Das sind heute Gedankenspiele, aber sie zeigen auf, wie unsicher die Rechtslage hinsichtlich Datenschutzgesetzen in unserer technologisch geprägten Welt ist.

Datenschutz – ein Tiger ohne Zähne?

Früher oder später steht man vor der Frage, ob sich der Aufwand hier überhaupt lohnt, das Datenschutzgesetz bis ins kleinste Detail zu befolgen, zumal es auch dann noch einen beträchtlichen Graubereich beinhaltet. Ein Blick auf die Rechtssprechung in der Schweiz zeigt, dass Gerichtsfälle – zumindest auf der obersten Ebene des Bundesgerichtes – sehr selten und die rechtlich erzwingbaren Auswirkungen gering sind. Somit ist die Motivation, auf qualitativ gute und günstige Services zur Datenverarbeitung aus den USA verzichten zu wollen eher gering.

Zyniker können heute einwerfen, man könne gewisse Aspekte des Datenschutzes ignorieren. Eine Privatperson hat hier sehr hohe Hürden zu meistern, wenn sie einer Firma Einhalt gebieten will, wie sie mit ihren Personendaten umgeht. Die öffentliche Hand wird einen ebenfalls kaum schützen. In der Schweiz sieht das Datenschutzgesetz vor, dass der Schweizerische Datenschützer nur aktiv werden wird, wenn „[…] Bearbeitungsmethoden geeignet sind die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen“.(5) Auch seine Rechtsmittel sind eingeschränkt, weder Verfügungen noch Bussen können ausgesprochen werden; was bleibt ist der Weg über das Gericht. Auch analoge Möglichkeiten, zum Beispiel ein Ombudsmann oder Mediationsverfahren wie es andere Branchen kennen, gibt es nicht. In der Schweiz könnte sich dies mit der angekündigten Änderung des Datenschutzgesetzes ändern – ein Entwurf zur Revision des Schweizerischen Datenschutzgesetzes wurde vom Bundesrat für spätestens August 2016 in Aussicht gestellt (6). Und auch die Datenschutzreform der EU ist auf gutem Wege, wie im Dezember 2015 bekannt gegeben wurde (7). Diese neuen Gesetze könnten wieder für klarere Spielregeln sorgen und die Durchsetzung der Regeln ermöglichen.

Datenschutz ist wichtig – auch ohne klare Gesetzeslage

Es besteht also weiterhin eine Ungewissheit über den Umgang mit Personendaten im Zeitalter von Internet, Clouddiensten und Social Media. Diese Ungewissheit wird auch noch eine Zeit lang bleiben. Darum lohnt sich die Frage, ob es andere Perspektiven gibt, die einen Einfluss auf den Umgang mit Personendaten haben.

Für viele Unternehmen sind nicht die absolute Rechtssicherheit oder staatliche Sanktionsmöglichkeiten entscheidend, sondern die Wahrnehmung bei den Benutzern. Unternehmen möchten nicht in der Öffentlichkeit stehen mit unliebsamen Aussagen darüber, dass sie nicht sorgsam mit Kundendaten umgehen. Der drohende Imageverlust, wenn man bei Kunden in Ungnade fällt, ist wesentlich. Der Schutz von Personendaten ist also ein inhärentes Unternehmensziel und keine Compliance-Frage.

Wir empfehlen deshalb, sich einige Überlegungen zum Datenschutz zu machen – losgelöst von der rechtlichen Situation:

Erfassung und Bearbeitung von Personendaten aus übergeordnetem Zweck ableiten

Personendaten sind generell wertvoll. Alternativ zur Überlegung „ich will möglichst alle Daten“ kann gerade die Erhebung von Daten aus dem übergeordneten Zweck abgeleitet werden. Strategie und Geschäftsprozesse geben mir die benötigten Daten vor (z.B. brauche ich kein Geburtstagsdatum, wenn der Kunde mir nur eine einmalige Lieferadresse angibt). Damit wird zugleich der im Datenschutz vorgesehene Grundsatz der Zweckbindung abgedeckt.

So oder so kann ich an dem für die Daten vorgesehenen Zweck die nötige Datenerhebung (und -Verarbeitung) sehr genau definieren und steuern.

Transparenz für die Benutzer

Viele Benutzer schätzen es, wenn man ihnen Transparenz bietet, was mit ihren Daten geschieht. In einem Formularfeld kommt dies häufig zu kurz; zum Beispiel kann ich mich fragen, wieso ich mein Geburtsdatum angeben soll, wenn ich einen Newsletter abonniere. Es kann aber sein, dass ich an meinem Geburtstag Anrecht auf eine spezielle Promotion, wie zum Beispiel einen Rabatt habe. Falls ich den Zweck nicht nachvollziehen kann, werde ich als Benutzer eher abgeschreckt. Es lohnt sich also, bereits auf den Formularen (respektive eben generell bei der Erfassung oder Bearbeitung) den Benutzern Angaben darüber zu machen, wozu die Daten dienen.

Grundsatz der Datensparsamkeit

Eng verwandt mit der Zweckbindung, respektive dem vom Unternehmen verfolgten Ziel, sollten Unternehmen möglichst wenig Personendaten vorrätig halten – so wenig wie möglich, soviel wie nötig. Speicherplatz ist heute zwar billig und somit nicht mehr massgebend, damit die Daten für Unternehmen aber wertvoll sind, müssen diese qualitativ hochwertig und möglichst aktuell sein.

Für alle Daten gilt zudem das latente Risiko, dass diese an die Öffentlichkeit gelangen können. Dazu braucht es nicht einmal einen Hacker, die Gefahr einer Fehlmanipulation eines unachtsamen Mitarbeiters ist wohl weitaus grösser.

Sinnvoll ist auch die Überlegung eines Aufbewahrungszeitraumes. Eine sehr kurze Datenhaltung erhöht meist die Qualität der Daten und verhindert zudem die Auswirkungen bei einem Datenverlust.

Ihre Kunden werden es zudem schätzen, wenn sie in Webformularen möglichst wenig Personendaten preisgeben müssen und schnell und schlank durch die Checkout-Prozesse im Shop kommen. Zudem kann es das Vertrauen zwischen Anbieter und Benutzer steigern. Wem vertrauen Sie mehr: dem Webshop der möglichst ihre ganze Lebensgeschichte wissen will oder demjenigen, der nur ihre Lieferadresse braucht?

Fazit

Im Zentrum der Überlegungen zum Datenschutz sollte deshalb immer der Benutzer, der Kunde, der Mitarbeiter stehen. Als Unternehmen muss ich den Wert von Personendaten erkennen und unabhängig vom Gesetz ein Interesse daran haben, diese Daten zu schützen.

Weder Privacy-Shield noch Safe Harbor gewähren echten Schutz für Personendaten. Unternehmen sind hier gefordert, das eigentliche Ziel zu verfolgen, wenn sie das Vertrauen von Benutzern, Kunden und Mitarbeitern erlangen möchten. Nebst technischen Hilfsmitteln wie Anonymisierung und Verschlüsselung der Daten stehen mit den drei oben genannten Überlegungen Prinzipien im Raum, die für den Schutz von Personendaten nutzstiftend sind – unabhängig von brüchigen Schildern und unsicheren Häfen.

(1) http://europe-v-facebook.org/PS_update.pdf
(2) Videoaufzeichnung von der 32C3; Vortrag von Max Schrems zu „Safe Harbor“
https://media.ccc.de/v/32c3-7513-safe_harbor
(3) http://www.edoeb.admin.ch/datenschutz/00626/00753/index.html?lang=de
„Staatenliste“ (Stand 3.12.15)
(4) http://www.heise.de/newsticker/meldung/Oesterreich-beschliesst-umstrittenes-Staatsschutzgesetz-3086031.html
(5) Schweizerisches Bundesgesetz über den Datenschutz (DSG) Art 29 Abs.1 lit.a
(6) https://www.bj.admin.ch/bj/de/home/staat/gesetzgebung/datenschutzstaerkung.html
(7) http://europa.eu/rapid/press-release_IP-15-6321_en.htm

Safe Harbor ist tot – was heisst das für die Schweizer Online-Branche?

Man konnte es in den letzten Woche praktisch nicht überlesen, übersehen oder überhören: Der Europäische Gerichtshof (EuGH) erklärte das „Safe Harbor“-Abkommen zwischen der EU und den USA endgültig für null und nichtig. Wie spätestens seit Edward Snowdens Enthüllungen bekannt ist, haben amerikanische Behörden praktisch freien Zugriff auf in den USA gespeicherte Daten. Der im „Safe Harbor“-Abkommen geforderte Datenschutz existierte also nur auf dem Papier.

"Ich mache Ihnen ein Angebot, das Sie nicht ablehnen können“ – Massnahmen bei einem DDoS-Angriff

Je geschäftskritischer ein System ist, desto wichtiger ist dessen uneingeschränkte Verfügbarkeit. Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe) sind ein verbreitetes Vorgehen von Hackern, um Webseiten anzugreifen und ausser Betrieb zu setzen. Die Anzahl dieser Attacken hat in den letzten Jahren stetig zugenommen (1) und sie werden als technologisch neuartige Version für Schutzgelderpressungen verwendet. Die Kosten für einen DDoS-Angriff auf Auftrag (DDoS as a Service) nehmen ab (2). Wir erklären, wie DDoS-Angriffe funktionieren und wie man sich schützen kann.