Sichtschutz für deutsche Daten

Passenderweise hat das Bundesamt für Sicherheit in der Informationstechnik den Oktober 2016 zum „European Cyber Security Month“ ausgerufen. Auch wenn sich die Aktion vorwiegend auf das sichere Agieren im Internet bezieht, so verdeutlicht sie doch die Sensibilität, mit der man in einer zunehmend digitalisierten „Welt 4.0“ die digitale Privatsphäre behandelt sehen will.

Entsprechend wurde die neue Datenschutzregelung zwischen Europäischer Union (EU) und US-amerikanischer Regierung auf den schönen Namen „Privacy Shield“, zu Deutsch „Sichtschutz“, getauft. „Privacy Shield oder Privacy Sieb?“ titelte die Online-Redaktion der Wochenzeitung „Zeit“ spöttisch. Und schon jetzt mehren sich die Expertenstimmen, die davon ausgehen, dass der Europäische Gerichtshof erneut zu einer Überprüfung angerufen werden wird. Denn schließlich war er es, der im Oktober 2015 den Vorgänger, das jahrelang gültige Safe-Harbor-Abkommen, kippte. Auch die neue Regelung könnte im Hinblick auf den Schutz personenbezogener Daten noch zu lasch sein und das hohe Schutzniveau, das im EU-Rechtsraum verlangt wird, nicht erfüllen.

Doch das Machwerk ist seit Juli 2016 in Kraft und die Wirtschaftsbeteiligten sind froh, dass die Zeit der Unsicherheit erst einmal vorbei ist. „Der Datenverkehr zwischen den USA und der Europäischen Union ist von entscheidender Bedeutung für die Zukunftsfähigkeit unserer Gesellschaften, aber auch unserer Volkswirtschaften“, sagt Dr. Christoph Feldmann, Hauptgeschäftsführer des BME. „Wir begrüßen, dass der Vertragsabschluss den reibungslosen Datenverkehr unter möglichst sicheren Bedingungen klar regelt, denn dieser ist insbesondere bei der Durchsetzung von Industrie 4.0 von großer Bedeutung.“ Der Einkauf sehe sich als aktiver Treiber dieses Prozesses, ohne den die Digitalisierung der Wirtschaft in Deutschland nicht stattfinden könne. „Mit der jetzt in Kraft gesetzten Datenschutzregelung ‚Privacy Shield‘ erhalten deutsche Unternehmen und damit auch ihre Einkaufsabteilungen eine neue rechtliche Grundlage für die Übertragung von Nutzerdaten aus der Europäischen Union in die USA“, so Feldmann weiter. „Man kann deshalb ruhig von einem Meilenstein sprechen.“

Bedeutung für den Einkauf

Das Privacy Shield ist für Einkaufsabteilungen in deutschen Unternehmen immer dann relevant, wenn sie Geschäfte mit US-Unternehmen machen und im Rahmen dessen personenbezogene Daten in die USA übermitteln. Beispielsweise, wenn ein deutsches Unternehmen Cloud-Services eines US-Anbieters nutzt; aber auch schon, wenn ein US-Anbieter Wartungsarbeiten an IT-Systemen eines deutschen Unternehmens durchführt oder wenn bestimmte Beratungsleistungen in den USA eingekauft werden sollen. „Meistens geht hier es um Kundendaten, Lieferantendaten oder Human-Resources-Daten“, weiß Rechtsanwalt Dr. Andreas Splittgerber von der Kanzlei Olswang in München. „Dann muss ein angemessenes Datenschutzniveau bei dem US-Unternehmen sichergestellt werden.“ Dies könne durch akzeptierte Transfermechanismen wie Standardvertragsklauseln, Binding Corporate Rules für Großkonzerne und jetzt auch durch das Privacy Shield erfolgen. „Die Parteien müssen sicherstellen, dass die Vorgaben der Transfermechanismen eingehalten werden“, betont der Datenschutzrechtler. „Daher sollten alle Arten von Einkaufsbedingungen höchstvorsorglich eine entsprechende Klausel enthalten, in der die Absicherung der Übermittlung personenbezogener Daten in die USA geregelt ist.“ Wichtig: Das Problem stellt sich bei allen Geschäftspartnern, die nicht in der EU beziehungsweise im europäischen Wirtschaftsraum ansässig sind – bald eventuell also auch mit Großbritannien. Anwalt Splittgerber weist darauf hin, dass Einkaufsbedingungen auch diese Fälle abdecken sollten, bei denen es dann allerdings nicht die Privacy-Shield-Option gebe.

Wozu sich US-Unternehmen

verpflichten müssen

Welche Rechte und Pflichten enthält nun der neue „Sichtschutz“? Zuvorderst wird Unternehmen in den USA das Weiterreichen oder Speichern von Daten nur unter strengen Auflagen erlaubt. Im Unterschied zum Vorgänger Safe Harbor verpflichten sich die US-amerikanischen Behörden, die Einhaltung auch zu überprüfen. Die Speicherung personenbezogener Daten ist grundsätzlich nur so lange zulässig, wie dies der Erreichung des Verarbeitungszwecks dient. BME-Geschäftsführer Feldmann: „Sind beispielsweise die Daten nicht mehr zwingend erforderlich, weil der Einkaufsprozess eines Unternehmens abgeschlossen ist, müssen diese vollständig gelöscht werden.“ Insgesamt sieben Prinzipien (s. Kasten) müssen Unternehmen, die sich dem Privacy Shield verpflichten, einhalten.

Jeden Tag wächst derzeit die Liste, auf der sich Unternehmen eintragen lassen können – die fleißigen Datensammler Microsoft, Twitter und Salesforce waren unter den Ersten. „Durch die Einschreibung in die Privacy Shield List wird zertifiziert, dass US-Unternehmen die Mindestanforderungen des europäischen Datenschutzes einhalten“, erläutert Dr. Frank Wierlemann, Vorstand der auf Einkauf und Supply Chain Management spezialisierten Unternehmensberatung Inverto. „Die Liste ermöglicht es deutschen Firmen, gezielt nur diese Unternehmen zu beauftragen oder nur diesen Daten freizugeben.“ Wierlemann hält das Privacy-Shield-Abkommen in der Theorie für einen guten Ansatz und empfiehlt Unternehmen, die Möglichkeiten des neuen Abkommens zu nutzen. Doch das allein reicht noch nicht. „Deutsche Einkäufer sollten sich von US-Unternehmen, die sich auf das Abkommen berufen, im Einkaufsvertrag zusichern lassen, dass die konkreten Angaben zu Privacy Shield korrekt sind und auch umgesetzt werden und dass die Registrierung aktuell ist“, rät der IT-Rechtsexperte Splittgerber. Erst dann dürfte der Sichtschutz wirklich blickdicht sein.