Safe Harbor ist tot – was heisst das für die Schweizer Online-Branche?

Man konnte es in den letzten Woche praktisch nicht überlesen, übersehen oder überhören: Der Europäische Gerichtshof (EuGH) erklärte das „Safe Harbor“-Abkommen zwischen der EU und den USA endgültig für null und nichtig. Wie spätestens seit Edward Snowdens Enthüllungen bekannt ist, haben amerikanische Behörden praktisch freien Zugriff auf in den USA gespeicherte Daten. Der im „Safe Harbor“-Abkommen geforderte Datenschutz existierte also nur auf dem Papier.

Auch davon abgesehen war Safe Harbor eigentlich schon immer ein fantastisches Beispiel für extreme Diskrepanz zwischen Recht und Realität, denn die geforderten Datenschutzstandards waren blosse Selbstverpflichtungen. Niemand konnte jemals kontrollieren, ob die amerikanischen Unternehmen diese auch wirklich einhalten (zugegeben ist dies auch in etwas geringerem Masse das Hauptproblem hiesiger Datenschutzbestimmungen).

Betrifft das die Schweiz überhaupt?

Die Schweiz hat zwar ein eigenes bilaterales Abkommen mit den USA, das „U.S.-Swiss Safe Harbor Framework“. Das steht durch das EuGeH-Urteil aber nun ebenfalls in Frage. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) empfiehlt daher eine Neuverhandlung in koordiniertem Vorgehen mit der EU. Die ist derzeit ohnehin dabei, ein neues Abkommen auszuhandeln und kann die Entscheidung des EuGeH nun als willkommenes Druckmittel nutzen.

Was hat das für Auswirkungen?

Erstmal wird alles unverändert so weitergehen. Die Umsetzung der Entscheidung des EuGH ist Aufgabe der einzelnen Staaten, und die gehen bekanntlich sehr unterschiedlich vor, wie die EU-Cookie-Direktive zeigte.

Es gibt zwar bereits heute Alternativen zu Safe Harbor. Mit denen können Unternehmen die Übermittlung und Verarbeitung von Daten in den USA gemäss europäischer Datenschutzstandards vereinbaren: die sogenannten „[Standardvertragsklauseln] und Binding Corporate Rules“ (BCR)
(Details siehe http://www.inside-it.ch/articles/41625).

Das Dilemma aber: Auch das ist letztlich nur eine Vereinbarung auf dem Papier, wie es wohl auch ein neu verhandeltes Safe Harbor-Abkommen sein wird. Denn im besten Fall führt es zu mehr Datenschutz innerhalb der US-Unternehmen, und vielleicht schafft die EU es ja sogar, irgendeine Kontrollmöglichkeit der Datenschutzpraxis in den betroffenen Unternehmen einzuführen. Aber der Hauptgrund, weswegen der EuGH Safe Harbor „abgeschossen“ hat, ist ja der Zugriff der US-Behörden auf die Daten europäischer Bürger. Es ist kaum anzunehmen, dass die USA nur wegen eines neuen Abkommens davon ablassen werden, fleissig weiter zu spionieren.

Was sollten Sie nun tun?

Wie erwähnt, wird auch ein neues Safe Harbor-Abkommen das zu Grunde liegende Dilemma nicht lösen. Wer auch in Zukunft auf Nummer sicher gehen will, speichert seine Nutzerdaten bei sich oder zumindest bei Dienstleistern in der Schweiz oder Europa (wie es auch der EDÖB empfiehlt). Zumindest die offensichtlichsten (=sensibelsten) Personendaten wie die in Ihrem Customer Relationship Management- oder E-Mail-Marketing-Tool sollten nicht in amerikanischen Clouds hausen.

Auch wenn sie wohl nur auf dem Papier gegen den amerikanischen Geheimdienst helfen: Der EDÖB rät, Zusatzvereinbarungen mit Anbietern ausserhalb Europas zu schliessen (siehe die oben erwähnten Standardvertragsklauseln). Damit wäre man zumindest formal auf einer sichereren Seite. Die Europäische Kommission hat dazu Musterverträge publiziert:
http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm

Da die ersten beiden Punkte besonders bei der heutigen Vielzahl an Tools im Online-Marketing nur schwer umsetzbar sind ohne erhebliche Leistungs-Einbussen, vermeiden Sie zumindest (leider) weitverbreitete Praktiken wie das Übertragen der E-Mail-Adressen als Nutzerkennung an Marketing-Tools. Verwenden Sie stattdessen wenigstens eine nach aussen hin anonyme Nutzer-ID.

Ganz allgemein wächst das Thema Datenschutz in seiner Bedeutung, auch in der Schweiz. Generell sollten Sie sich daher zumindest an etablierte Grundsätze guter Datenschutzpraxis halten, damit Ihnen später, wenn die Behörden auch hier aktiv werden, nicht Nachlässigkeit oder gar schlechte Absichten vorgeworfen werden, zum Beispiel:

  • Erklären Sie Ihren Nutzern auf Ihrer Website in einer von allen Seiten erreichbaren Datenschutzerklärung, wie Sie Personendaten sammeln und verarbeiten.
  • Verwenden Sie Double-Opt-In-Methoden, um Nutzer auf Newsletter-Verteiler oder ähnliches zu nehmen.
  • Senden Sie keine personenbezogenen Daten an Drittanbieter mit Servern ausserhalb der Schweiz (bzw. EU) und vor allem keine unmittelbar personenbezogene Daten wie E-Mail-Adressen. Google Analytics verbietet Selbiges zum Beispiel in seinen Datenschutzbestimmungen, dennoch ist das Gegenteil verbreitete Praxis (und Google kontrolliert es auch praktisch nicht).

Ihr Datenschutzbeauftragter oder ein externer Experte kann Ihnen noch viele weitere solcher „Good-Privacy-Governance“-Praktiken nennen.

Wie Unic Ihnen nun helfen kann

  • Als langjähriger Hosting-Dienstleister bietet Unic zertifizierten Schweizer Datenschutz mit Servern in der Schweiz für die sichere Speicherung und Verarbeitung Ihrer sensibelsten Daten.
  • Das E-Mail-Marketing, ein besonders sensibles Online-Marketing-Feld, bedient Unic zusammen mit dem süddeutschen Anbieter Inxmail. Bei der Wahl der On-Demand-Lösung bleiben die Daten in Deutschland, nutzen Sie die gehostete Lösung, speichert Unic Ihre Daten sogar nur in der Schweiz.
  • Im sonstigen Online-Marketing ist die Sachlage komplizierter. Die grössten Datenschlucker sind sicher meist die Analytics-Tools. Hier kann man anstelle des weit verbreiteten Google Analytics (das auch sonst einige Nachteile gegenüber anderen Anbietern hat) natürlich auch Tools verwenden, für die man nicht mit seinen Daten bezahlt, sondern mit Franken oder Euros. Unic bietet neben genereller Tool-Beratung auf diesem Feld auch Support für Adobe Analytics an, die wohl leistungsstärkste Analytics-Lösung am Markt. Hier lässt sich die Datenhaltung zum Beispiel auf Europa beschränken.

Voraussichtlich im Februar 2016 wird es zu diesem Thema neue Entscheidungen, Informationen und Anhaltspunkte von offizieller Seite geben. Wir halten Sie hier in unserem Magazin auf dem Laufenden.
Datenschutz – wichtig ist nicht das Gesetz, sondern die Benutzer

Bei Fragen oder Interesse an unseren Leistungen kontaktieren Sie uns jederzeit gerne per Telefon, E-Mail oder Kontaktformular.

Quellen:
www.nzz.ch/international/urteil-eugh-datenaustausch-mit-den-usa-ungueltig-1.18625225
www.nzz.ch/international/europa/datenfluss-in-die-usa-im-uebergang-1.18642541

Datenschutz – wichtig ist nicht das Gesetz, sondern die Benutzer

Der Entscheid des Europäischen Gerichtshofes (EUGH), das Safe-Harbor-Abkommen als ungültig erklären zu lassen, hat den Blick vieler Unternehmen auf eine Stelle gelenkt, die im Tagesgeschäft nicht immer oberste Priorität geniesst – den Datenschutz. Seit Oktober 2015 besteht hier quasi ein „Rechts-Vakuum“, das viele Firmen plötzlich vor die Frage stellt, ob sie mit ihren Personendaten noch gesetzeskonform umgehen wenn sie sie ins Ausland (speziell die USA) übermitteln.