Okt 18

Das Urteil des EUGH vom 6. Okotber, in dem er das Safe Harbor Abkommen mit den USA für ungültig erklärte, schlug für viele unerwartet ein wie eine Bombe. Während nun viele Politiker meinen, man müsse nun nur ein wenig nachbessern, schlagen die europäischen Datenschützer einen anderen, sehr harten Ton an.

Doch was bedeutet das Urteil eigentlich in der Praxis? Was muss z.B. ein Blogger beachten? Was ändert sich für kleine und mittelständische Firmen?

Viele Juristen sagen, dass sich eigentlich nichts ändert, denn schon vor dem Urteil sei die überwiegende Anzahl der Datenübermittlungen in die USA illegal gewesen. Das klingt hart, mag aber wohl im Kern stimmen.

Generell geht es um personenbezogene Daten. Um beim Beispiel einer Webseite zu bleiben, die ja neben Firmen auch viele Privatpersonen betreiben. Schon das Logfile des Webservers enthält personenbezogene Daten, nämlich die IP-Adresse. Steht Ihr Webserver in den USA, findet hier schon eine Datenübermittlung von personenbezogenen Daten statt, die nicht mehr zulässig ist. Nur am Rande, das Speichern von Logfiles mit IP-Adressen ist selbst in Deutschland nicht zulässig. Man sollte die Logfiles entweder per Cronjob vor dem Archivieren von den IP-Adressen befreien (anonymisieren) oder nach wenigen Tagen löschen.

Bleiben wir noch beim Beispiel Webseite. Viele Betreiben nutzen Analysewerkzeuge, um die Besucherströme Ihrer Webseite analysieren zu können. Das beliebteste Tool dafür ist der Google Analytics Dienst – er ist kostenlos und sehr gut. Aber dazu wird bei jedem Seitenaufruf Googles Dienst aufgerufen und damit Daten in die USA übertragen. Ohne Abschluss eines Vertrags zur Auftragsdatenverarbeitung und der Anonymisierung der IP war der Einsatz von Googles Diensten schon vor dem EuGH Urteil illegal. Da mit dem Urteil nun die rechtliche Grundlage (der Safe Harbor) für diesen Vertrag fehlt, dürfte die Nutzung nun gänzlich nicht zulässig sein. Wer auf Nummer sicher gehen will, tauscht Analytics gegen lokale Dienste wie Piwik usw. aus. Telkotalk hat übrigens aus diesem Grund noch nie Google Analytics genutzt.

Und noch ein Beispiel, das ganz viele Webseiten betrifft, übrigens auch Telkotalk: Der Antispamdienst Akismet von Automatic für WordPress. Dieser überprüft jeden Kommentar auf SPAM. Dazu wird das Posting und Angaben wie Name und IP-Adresse des Schreibers zum Anbieter in die USA übertragen. Hier ändert sich aber erstaunlicherweise nichts. Der Einsatz von Akismet war schon vor dem Urteil problematisch, wenn der Kommentarschreiber nicht der Datenübertragung zustimmt. Mit Zustimmung (mittels geeigneter Plugins) ist die Übertragung grundsätzlich zulässig, denn der Nutzer erteilt die Zustimmung bei jedem Kommentar aufs Neue für diesen einen konkreten Kommentar.

Problematisch sind nun die zahlreichen Cloud-Dienste und Cloud-Server von US Firmen. Wer hierhin Daten überträgt, die unter das Datenschutzgesetz fallen, handelt illegal. Das war in 99% aller Fälle auch schon vor dem Urteil so, denn kaum jemand hat mit den Anbietern einen Vertrag zur Auftragsdatenverarbeitung geschlossen. Dennoch sollte man hier auf EU-Anbieter oder US-Anbieter, die EU Kunden europäische Serverstandorte garantieren, zurückgreifen. Wie sicher die europäischen Server von US-Firmen vor dem Zugriff von US-Behörden sind, kämpft gerade Microsoft durch. Der Konzern wehrt sich wirklich mit allen Mitteln vor US-Gerichten, US-Ermittlern den Zugriff auf Server in Irland verweigern zu dürfen. Jetzt, wo der EuGH das Safe Harbor Abkommen gekippt hat, bekommt dieses Verfahren eine extreme Brisanz – ein Scheitern von Microsoft würde zahlreichen US-Firmen die Grundlage für Geschäfte mit europäischem Firmenkunden entziehen. Als Softwarehersteller könnte Microsoft als Plan B anderen Serverbetreibern Software-Lizenzen z.B. für Office365 verkaufen – Anbieter wie z.B. Salesforce hätten hier deutlich mehr Probleme.

Nach wie vor problematisch sind Dienste wie itunes oder Googles Kalender, aber auch Whatsapp oder Facebook. Denn in Adressbüchern und Kalendern sind immer auch fremde persönliche Daten, die Sie dort meist ohne das ausdrückliche Einverständnis der Personen speichern. Wer geschäftlich rechtssicher agieren will, muss hier auf EU-Dienste oder eigene Server ausweichen.

Und die Apps von Facebook und Whatsapp gehen noch dreister zu Werke: Bei der erstmaligen Einrichtung transferieren diese Apps die Daten all Ihrer Kontakte auf die eigenen Server (in den USA) und gleichen ab, ob und welche Kontakte sich auch bei diesen Diensten angemeldet haben. Das ist eine praktische Sache, allerdings nach Ansicht vieler Datenschützer illegal, denn die Daten werden dort dauerhaft gespeichert. Genau aus diesem Grund kennt Facebook auch Personen, die noch nie auf der Webseite von Facebook waren und es vielleicht auch ganz bewußt nicht wollen. Facebook ist kostenlos, allerdings bezahlt man den Dienst mit Daten und auch mit den Daten anderer Personen, von denen wir nicht wissen, ob sie damit einverstanden sind. Weil weder wir noch Facebook diese Personen gefragt hat.

geschrieben von Holger \\ tags: , , , ,

Hinterlasse ein Kommentar