02.08.2023
Am 10. Juli 2023 hat die EU-Kommission wieder einen Angemessenheitsbeschluss bezüglich der USA gefasst ("Data Privacy Framework"). Damit soll neuerlich ein rechtssicherer Datentransfer aus Europa in die USA möglich werden. Was bedeutet das für die Praxis der Unternehmen? Wir versuchen ein paar Antworten und Vorschläge zu skizzieren.
Zur Erinnerung: Zwei Vorläufer der aktuellen Maßnahme ("Safe Harbor" und "Privacy Shield") wurden vom EuGH über Betreiben des Juristen Max Schrems ersatzlos aufgehoben. Dies deshalb, weil die US-amerikanische Rechtslage den dortigen Geheimdiensten umfassenden Zugriff auf Personendaten bei US-Firmen einräumt, unabhängig davon, wo sich die Rechner befinden. Weil der Zugriff nach amerikanischem Recht geheim gehalten werden muss, gibt es dagegen auch keinen Rechtsschutz. Soweit die Fakten.
Die Biden-Regierung hat allerdings zugestimmt, dass neuerdings die Daten von Personen aus der EU ein wenig besser behandelt werden sollen - freilich nur dann, wenn es sich nicht um Fragen der nationalen Sicherheit handelt. Weil aber in den USA sehr viele, wechselnde und oft ungewöhnliche Dinge der nationalen Sicherheit zugerechnet werden, hat sich de facto an der Sach- und Rechtslage seit dem 17. Juli 2020 (Urteil des EuGH "Schrems II") nichts Entscheidendes geändert. Vor einem Datentransfer müssen europäische Unternehmen künftig prüfen, ob der Datenempfänger in den USA in eine Liste beim US-Handelsministerium eingetragen ist (s.u., Quellen 6) - auch das war bereits früher so geregelt.
Der Angemessenheitsbeschluss scheint eine politische Geste gegenüber der europäischen Wirtschaft und der Biden-Regierung zu sein. Aber selbst Datenschutzbehörden lassen in ihren Kommentaren erkennen, dass sie aus juristischer Sicht erst von der Haltbarkeit der Regelung überzeugt werden müssen. Max Schrems läßt seit Monaten keinen Zweifel daran, dass er das "Data Privacy Framework" vor Gericht bekämpfen wird.
Wie kann man sich in dieser Lage verhalten?
Aktuell können Unternehmen personenbezogene Daten problemlos in die USA transferieren, sofern das Empfänger-Unternehmen in der Liste des US-Handelsministeriums eingetragen ist. Diese Liste kann online eingesehen werden.
Für die Zukunft sind aber Probleme zu erwarten, falls, wie von vielen Fachleuten vermutet wird, der EuGH unter Beibehaltung seiner bisherigen Spruchpraxis den Angemessenheitsbeschluss für unrechtmäßig erklärt. Vorsichtige Unternehmer werden daher darauf achten, dass sie keine weitreichenden IT-Maßnahmen setzen, die nur auf der Basis der Angemessenheitserklärung rechtmäßig sind. Deren "Rückbau" würde nämlich hohe Kosten verursachen.
Eine weitere Vorsichtsmaßnahme könnte darin bestehen, Softwarelizenzen von US-Unternehmen, z.B. von Microsoft, nur bei ihren europäischen Niederlassungen zu kaufen und sich vertraglich zusichern zu lassen, dass von dort keine Datenübertragung in die USA möglich ist. Zwar bleibt man durch die DSGVO verpflichtet, sich von der Richtigkeit der Zusicherung zu überzeugen. Dabei wird es aber wohl darauf ankommen, welche Möglichkeiten der Überprüfung der konkrete Anwender hat. Wenn ein solcher Vertrag eingehalten wird, wäre das US-amerikanische Gesetz zur Herausgabe der Daten de facto kaum durchsetzbar. Fraglich ist allerdings, ob die in Betracht kommenden "US-Softwareriesen" bereit sind, mit allen EU-Kunden Vereinbarungen abzuschließen, die sie vor dem Zugriff der US-Behörden schützen.
Auf die Information der EU-Datenschutzkommission mit den darin enthaltenen Details sei hier ausdrücklich verwiesen (s.u., Quellen 5).
Quellen:
1) https://www.derstandard.at/story/3000000178302/eu-verkuendet-dritten-datentransfer-deal-m
(10.7.2023)
2) https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/17_Angemessenheitsbeschluss-EU-US-DPF.html
(11.7.2023)
3) https://datenschutz.hessen.de/datenschutz/internationaler-datentransfer/eu-us-data-privacy-framework-in-kraft-getreten
(24.7.2023) - Stand 19.7.2023
4) https://garanteprivacy.it/home/docweb/-/docweb-display/docweb/9913636
(27.7.2023)
5) https://edpb.europa.eu/system/files/2023-07/edpb_informationnoteadequacydecisionus_en.pdf
(27.7.2023)
6) https://www.dataprivacyframework.gov/s/participant-search
(27.7.2023)
7) https://orf.at/stories/3325891/
(1.8.2023)
Ältere Berichte:
https://www.derstandard.at/story/2000142101387/datenschuetzer-schrems-erwaegt-klage-gegen-neues-eu-us-datenabkommen
(26.12.2022)
https://www.derstandard.at/story/2000142110266/neuer-datenaustausch-zwischen-eu-und-usa-koennte-abermals-scheitern
(27.12.2022)
Die scheinbaren inneren Widersprüche der Botschaft könnten größer nicht sein: Datenlecks sind unvermeidlich, kosten die Verantwortlichen aber viel Geld. Egal ob bei der Gesundheitsverwaltung ELGA, bei der Verwaltung der Rundfunkteilnehmer GIS oder bei so sensiblen Informationen wie bei der App "edupression", die beim Umgang mit psychischen Krankheiten helfen soll: Datenverluste sind vorprogrammiert.
Die Ursachen sind vielfältig und reichen von ungenügender Erprobung der Programme vor der Auslieferung über "Überkomplexität" (die Plattform wächst ihren Erfindern über den Kopf), kriminellen Angriffen, Staatsterrorismus, Sorglosigkeit, bis zu unvermeidlichen Folgen eines unvorhersehbaren Gebrechens.
Welche Möglichkeiten des Umganges mit diesen Umständen hat man nun? Hier ein paar ausgewählte Empfehlungen:
Grundsätzlich sollten Verantwortliche und Betroffene misstrauisch werden, wenn ihnen versprochen wird, eine Anwendung sei sicher. Sicher ist im besten Fall, dass bisher keine gravierenden Datenverluste bekannt geworden sind. Für die Zukunft ist aber niemals eine seriöse Prognose möglich.
Verantwortliche Betreiber von Plattformen sollten alles tun, um die Folgen von Datenverlusten so gering wie möglich zu halten. Wo immer es geht sollte man auf "open source-Anwendungen" zurückzugreifen. Weil deren Programmcode öffentlich bekannt ist, werden Sicherheitslücken vom "Schwarm" ziemlich rasch entdeckt und geschlossen. Außerdem kann man sicher sein, dass die Softwarehersteller nicht selbst die Daten ihrer Kunden abgreifen, wie das bei großen Softwarehäusern üblich ist und offen zugegeben wird. Wer eine Softwareanwendung installieren läßt, sollte sich vorher erkundigen, ob es nicht für den gleichen Zweck auch "open-source-Lösungen" gibt.
Weiters sollten Verantwortliche darauf achten, dass regelmäßig die bereitgestellten Updates eingespielt werden. Diese Updates dienen u.a. dazu, entdeckte Sicherheitsrisiken zu minimieren.
Ohne ein Minimum an Verständnis für IT-Technik kann heute kaum eine Unternehmensentscheidung getroffen werden. Insbesondere bei kleineren Firmen oder bei Einpersonenunternehmen muss der Betriebsinhaber zumindest in der Lage sein, selbst abzuschätzen, welchen technischen Ratgebern er vertrauen kann. Blindes Vertrauen in "Experten" ohne ein Minimum an eigener Kenntnis der technischen Zusammenhänge kann sich rächen (Stichwort: Fortbildung).
Für Betroffene empfiehlt sich der Leitsatz "Soviel IT wie nötig, aber so wenig wie möglich". Insbesondere sollte man keinesfalls mit Daten der "Selbstoptimierung" großzügig umgehen. Wer seine Laufstrecke stolz über eine "App" einem fremden Server anvertraut, könnte in einem Waldstück, das er täglich durchquert, Überraschungen erleben. Das ist keine frei erfundene Kriminalstory, sondern hat sich schon mehrfach ereignet. Der spektakulärste Fall war der eines hohen russischen Offiziers, der vor einigen Wochen von Attentätern beim Jogging, das er regelmäßig betrieb und stolz postete, getötet wurde.
In diesem Zusammenhang muss auch gesunde Skepsis gegenüber "Smart Homes" empfohlen werden. Wer seine Haussteuerung über eine App - das heißt über den Server eines fremden Unternehmens - laufen läßt, kann zwar vom Handy aus alles bequem steuern. Aber schon die Insolvenz des Server-Betreibers könnte zur Folge haben, dass die Heizung nicht mehr reguliert werden kann und unbrauchbar wird oder dass das Haus nicht mehr versperrt werden kann. Welcher Missbrauch mit den Daten des smarten Heims möglich ist (bis zum Kapern der Fernsteuerung über WLAN) ergibt sich zwangsläufig und braucht hier nicht mehr eigens erörtert zu werden.
Quellen:
https://www.golem.de/news/finnland-datenleck-von-psychotherapie-klinik-fuer-erpressung-genutzt-2010-151742.html
(27.10.2020)
https://www.derstandard.at/story/2000140338877/slowakisches-parlament-durch-hackerangriff-lahmgelegt
(27.10.2022)
https://www.spiegel.de/netzwelt/gadgets/bundesnetzagentur-warnt-vor-geraeten-mit-versteckter-aufnahmefunktion-a-f656215b-ca90-45e1-8adc-47d0c93e3e11?utm_source=pocket-newtab-global-de-DE
(16.12.2022)
https://www.derstandard.at/story/2000143161183/anker-gibt-zu-dass-eufy-sicherheitskameras-nicht-immer-verschluesselt-waren
(2.2.2023)
https://www.derstandard.at/story/2000146183336/sicherheitsluecke-bei-oesterreichischer-psychologie-app-edupression-entdeckt
(6.5.2023)
https://www.zeit.de/digital/datenschutz/2023-05/gesundheitsapp-datenschutz-depression-edupression-sicherheitsluecke?utm_referrer=https%3A%2F%2Fwww.startpage.com%2F
(9.5.2023)
https://www.derstandard.at/story/3000000174681/sicherheitsforscher-warnen-strava-daten-ermoeglichen-einfach
(15.6.2023)
https://www.merkur.de/politik/russischer-kommandant-getoetet-jogging-app-verriet-standort-92396130.html
(11.7.2023)
https://orf.at/stories/3324967/
(24.7.2023)
Der Tanz um TicToc ist nicht nur ein Bytedance (so heißt auch das chinesische Unternehmen, das die Plattform betreibt). TicToc hat in der Vergangenheit schon eine Menge Schaden angerichtet. So kam etwa in Italien ein Teenager bei einer online-Mutprobe ums Leben, die über TicToc ausgetragen wurde. Dazu kommt noch, dass weltweit Einigkeit darüber herrscht, dass Bytedance alle über die App erhobenen Daten der politischen Führung Chinas zur Verfügung stellt und damit einen wichtigen Beitrag zum Ausbau des chinesischen Einflusses in der Welt leistet. Und der gesetzlich vorgeschriebene Jugendschutz wird von TicToc nicht wirklich ernst genommen.
Italien - genauer: die dortige Datenschutzbehörde - hat einige Male die Notbremse gezogen und TicToc mehrfach kurzfristig für ein paar Wochen aus dem Netz genommen. Interessant das Verhalten des österreichischen Innenministeriums: Da wurde monatelang geprüft, ob man die Verwendung von TicToc auf Mobiltelefonen des öffentlichen Dienstes untersagen soll. Endlich entschloss man sich dazu, wiewohl die Rechtslage mehr als eindeutig ist und das Zögern unverständlich macht. Österreichische Politiker dürfen hingegen - durchaus als öffentliche Funktionäre und Geheimnisträger - TicToc weiterhin nutzen. Vielleicht wollte die Politik China nicht zu stark verärgern.
Angesichts der unzweifelhaften Gefahr, die für Kinder und Jugendliche (und das ist die Zielgruppe!) von TicToc ausgeht, hat sich die Wiener Polizei zu einer "TicToc-Prävention" entschieden und klärt in den Schulen aktiv über die Gefahren der Plattform auf. Ob sie den ungebrochenen Trend der Kinder und Jugendlichen, alles und jedes ins Netz zu stellen, abschwächen kann, bleibt abzuwarten.
Festzuhalten bleibt, dass eine gesetzlich verpflichtende Alterskontrolle, die diese Bezeichnung verdient, bei der Anmeldung für TicToc nicht stattfindet und auch Kinder unter 14 Jahren problemlos Zugang erhalten. Faktum ist weiterhin, dass generell die Nutzung von Unterhaltungsplattformen durch Kinder sehr stark vom Vorbild der Eltern geprägt ist. Diese können aber auch durch Hinweise bei ihrem Nachwuchs eine Sensibilisierung für die Probleme erreichen, die mit der Verwendung von IT-Plattformen für Unterhaltungszwecke verbunden sind. Und letztlich sollte sich jeder, der ein "lustiges" Video postet, darüber im Klaren sein, dass die Bilder um die Welt gehen und von Fremden auch gegen die Interessen der Betroffenen verwendet werden können - und sei es Jahre später. Erfolglose Bewerbungen um einen Arbeitsplatz können als noch relativ harmlose Beispiele angeführt werden, denn auch Personalbearbeiter surfen im Internet.
Zur Frage der ungebremsten Verbreitung von Bildmaterial vom Handy aus hat die italienische Datenschutzbehörde erst kürzlich anlässlich der Sommerferien Empfehlungen veröffentlicht, die nicht ernst genug genommen werden können. Die Zusammenfassung lautet: Packe auch den Schutz der Privatsphäre in Deinen Reisekoffer!
Quellen:
https://www.gpdp.it/temi/estate
(24.7.2023)
https://www.derstandard.at/story/2000146292196/tiktok-verbot-fuer-diensthandys-im-oeffentlichen-dienst
(10.5.2023)
https://wien.orf.at/stories/3212248/
(19.6.2023)
https://www.derstandard.at/story/3000000175274/italien-will-gegen-gefaehrliche-online-challenges-vorgehen
(19.6.2023)
https://roma.corriere.it/notizie/cronaca/23_giugno_19/youtuber-chat-scontro-342a8161-b986-49ef-88ec-0657fee27xlk.shtml
(19.6.2023)
https://www.corriere.it/cronache/23_giugno_19/paolo-crepet-intervista-5a3c6cb2-0e0b-11ee-95d6-0f7a427f52d4.shtml
(19.6.2023)