Der Hamburger Datenschutzbeauftragte Johannes Caspar hat mitgeteilt, die deutschen Datenschutzbeauftragten der Länder und des Bundes hätten sich auf eine Strategie nach dem Safe-Harbor-Urteil geeinigt. Mit dem Safe-Harbor-Urteil des Europäischen Gerichtshofes wurde die Safe-Harbor-Entscheidung der EU-Kommission für ungültig erklärt. Damit sind Datenübertragungen in die USA, bzw. zu US-Firmen, die sich als Safe-Harbor-Nutzer registriert hatten, nicht mehr per se für sicher erklärt.
Die Datenschutzbeauftragten wollen nun von sich aus Prüfungen initiieren und nicht auf Beschwerden von Bürgern warten, laut NDR Info soll das bis zum Februar 2016 dauern. Caspar sagt:
Diese Prüfung wird insbesondere bei den Töchterunternehmen von Safe-Harbor-gelisteten US-Firmen erfolgen, die ihren Sitz in Hamburg haben und ihre Daten an die Mutterunternehmen in den USA übersenden. Untersagungsverfügungen können sich daran anschließen.
In Hamburg sitzen etwa die deutschen Tochterfirmen von Facebook und Google. Caspar hatte bereits desöfteren klare Worte gegen deren Datengeschäftsmodelle gefunden. In Irland wird ebenfalls eine Prüfung der Datenübertragung von Facebook, das in Dublin seinen Europasitz hat, geprüft.
Sollte eine Datenübertragung weiterhin nur auf der Safe-Harbor-Entscheidung stattfinden, wäre sie unrechtmäßig. Es gibt jedoch weitere Rechtsgrundlagen – viel genutzt sind etwa Binding Corporate Rules und Standardvertragsklauseln. Auch deren weitere Gültigkeit wird angezweifelt, da aufgrund der Verpflichtung US-amerikanischer Unternehmen, Daten massenhaft an Strafverfolgungsbehörden weiterzugeben, grundsätzlich angezweifelt werden muss, ob dort ein europäisches Schutzniveau erreicht werden kann. Caspar empfiehlt daher, Server in der EU zu nutzen.
Server in der EU nutzen? Blöd nur, dass die ganzen Angebote von amerikanischen Unternehmen stammen, Unternehmen aus der EU haben ja zum Beispiel bezüglich SaaS fast nichts zu bieten … und die ganze Massenüberwachung ohne Rechtsschutz findet dennoch statt – unsere EU-Staaten überwachen selbst und partnern mit den USA. Im Ergebnis werden EU-Unternehmen gezwungen, mehr Geld für weniger Leistung auszugeben, ohne dass sich der Datenschutz für EU-Bürger verbessern würde. Das wollen eigentlich nur EU-IT-Anbieter, die auf keinen grünen Zweig kommen, weil ihre Angebote nichts taugen …
Mit den Servern in der EU ist es ja nicht getan. Auch diese Server muessen rund um die Uhr gewartet und ständig vor Cyberkriminalität geschützt werden und zwar dann nach den Buchstaben des Gesetzes nur von Personen in der EU. In der EU alleine fehlt aber oft die Kompetenz oder auch Bereitschaft soetwas auf hohem technischen Niveau 24 mal 7 alleine aus Europa zu leisten.
Die wirklichen Gefahren lauern in dem wachsenden Geschäftsmodell Internetkriminalität und dagegen sollten sich Internetnutzer global angemessen schützen können.