Trans Atlantic Data Privacy Framework – Rettung für den Datentransfer?
Der Datentransfer zwischen der EU und den USA bereitet vielen Unternehmen Kopfzerbrechen. Grund sind Reibungspunkte, die beim Überlagern der rechtlichen Vorschriften in Europa (GDPR) und den USA (u.a. Patriot Act) zutage treten. Die EU-Kommission hat dazu im März ein „Trans Atlantic Data Privacy Framework“ angekündigt, das die Wogen glätten soll. Was davon zu erwarten ist, klärt matrix-Experte Jürgen Brombacher (JB)* im Kurzen Statement-Interview.
Trans Atlantic Data Privacy Framework – was genau verbirgt sich dahinter?
JB: Das Wichtigste: Bisher ist das lediglich eine Absichtserklärung, ein Dokument der erneuten Annäherung zwischen den USA und Europa erarbeiten zu wollen. Nichts davon ist bisher veröffentlicht oder in neue Gesetze gegossen. Der Kontext, in dem die Verlautbarung zu sehen ist, heißt Schrems II – mit diesem Urteil des Europäischen Gerichtshofes (EuGH) war der bisher gültige rechtliche Rahmen, das Privacy Shield Abkommen, gekippt worden.
Warum ist der Vorgang für Unternehmen interessant?
JB: Alle Unternehmen mit Sitz in der EU bewegen sich im Geltungsbereich der DSGVO beziehungsweise GDPR. Viele moderne IT-Lösungen stützen sich aber auf Plattformen von Anbietern mit Sitz in den USA, also auf IaaS- oder SaaS-Angebote wie AWS, Azure, M365 oder GCS. Jeder, der seine IT modernisiert, muss viele extra Meilen gehen, um die GDPR-Konformität auch dann zu wahren, wenn es zu einem Datentransfer in Drittländer kommen kann. Das Trans Atlantic Data Privacy Framework zeigt, dass hier zumindest kein Stillstand herrscht. Doch gleichzeitig bleibt die extra Meile nötig. Idealerweise wünschen sich Unternehmen in der EU, ihre Digitalisierung mit Hilfe der Cloud rechtssicher umsetzen zu können. Dafür braucht es ein Abkommen, dass von Datenschützern und dem EuGH akzeptiert wird.
„Extra Meile“ ist ein gutes Stichwort – worin besteht sie genau?
JB: In der GDPR geht es um den Schutz personenbezogener Daten wie Name, Adresse, Telefon- und Kontonummer, aber auch IP-Adressen oder sensible Information über Familienangehörige, Religion oder Gewerkschaftszugehörigkeit. Diese sollen auf keinen Fall in die falschen Hände geraten – und schon gar nicht ungefragt. Die Grundidee ist es, die GDPR-Bestimmungen quasi mitreisen zu lassen, wenn Daten die EU verlassen. Das kann nur gewährleistet werden durch eine Analyse der Zwecke, für die ein Unternehmen Daten einsammelt und durch Maßnahmen, um die Zugriffsmöglichkeiten zu begrenzen. Ein aus Sicht von Datenschützern kritischer Punkt tritt ein, wenn sensible Daten in den USA dem Zugriff der Geheimdienste ausgeliefert sein können. Daher stammt der Begriff „Transfer Impact Assessment“ – Unternehmen sollen das Risiko individueller Datentransfers bewerten und dafür sorgen, dass keine sensiblen personenbezogenen Daten ungeschützt über den Atlantik wandern.
Sorgt das Trans Atlantic Data Privacy Framework für mehr Klarheit?
JB: Bisher nicht. Wenn man sich das Factsheet ansieht, das die EU Kommission zu dem Vorgang verfügbar gemacht hat, erkennt man schnell, dass vage Formulierungen dominieren. So soll künftig etwa der Zugriff von Geheimdiensten auf das begrenzt sein, was für die Ziele der nationalen Sicherheit der USA unbedingt notwendig ist. Hier könnte man interpretieren: Das klingt fast wie ein Eingeständnis, dass es bisher viel zu viel war, was gesammelt wurde. Andererseits klingt es auch nicht wie ein Satz, aus dem rechtliche Sicherheit abgeleitet werden kann. Aber immerhin: Das Factsheet deutet darauf hin, dass die vereinbarten Rahmenbedingungen in eine neue Rechtsform gegossen werden sollen.
Ist ein Privacy Shield Nachfolger derzeit absehbar?
JB: Wer die bisherige Entwicklung aufmerksam verfolgt, stellt fest: Bei dem Thema haben sich Fronten aufgebaut. Auf der einen Seite zum Teil sehr akribische Datenschützer, denen es auch um bestimmte Prinzipien geht. Auf der anderen Seite Unternehmen von einer solchen Größe, dass ihre Produkte weltumspannend sehr wichtig sind für moderne IT-Lösungen. Der ganze Prozess wirkt blockiert – und es ist nicht absehbar, wann sich dieser gordische Knoten auflöst.
Was sollen Unternehmen also tun?
JB: Eigentlich gibt es genügend „Frameworks“, gerade für die IT. Rahmenwerke wie der BSI Grundschutzkatalog, die VAIT und BAIT, aber auch die ISO 27001 liefern verlässliche Orientierung für alle Unternehmen, die Ihre IT nicht nur modern, sondern auch sicher und zuverlässig gestalten wollen. Wer Compliance vernünftig umsetzt und Risiken durch vertragliche, organisatorische und technische Maßnahmen so weit mitigiert, dass die Restrisiken akzeptiert werden können, kommt auch einer GDPR-konformen Cloud-Lösung oft schon sehr nahe. Bei der Beratung und Umsetzung helfen Experten – gerne auch wir von matrix technology.
*Jürgen Brombacher ist Head of Strategy and Cloud bei matrix technology. Als Informatiker beschäftigt er sich seit drei Jahrzehnten mit IT-Themen wie Server- und Datenbankmanagement, ITIL, Anwendungs- und Systemarchitekturen, Rechenzentrum und IT-Outsourcing. Seine Schwerpunkte liegen in den Bereichen Cloud Computing, Cyber-Security, Regulatorik und Compliance.