Bei der kritischen Entscheidung für einen Cybersecurity-Anbieter lohnt sich ein besonderes Augenmerk auf dessen geographischen Standort und Herkunft, und damit auf das anwendbare Datenschutzrecht, zu legen. Mit Blick auf die Europäische Union sowie die USA haben wir für Sie die wichtigsten Unterschiede im Umgang mit Ihren Daten kurz zusammengefasst.
Europäische Union
Privatsphäre und Datenschutz sind Grundrechte. Sie sind oberste Leitprinzipien des Staates und im EU-Recht sowie in der EU-Charta der Grundrechte verankert.
Datenschutzbehörden in der EU sind unabhängige und weisungsfreie Stellen
Sicherheitsbehörden benötigen für einen Zugriff auf Daten eine gerichtliche Anordnung.
Auf Server von Nicht-US-Unternehmen, die in der EU stehen, haben US-Sicherheitsbehörden keinen Zugriff.
Auf Server kann nur bei Verdacht, etwa bei einer Anzeige oder bei hinreichenden Hinweisen auf eine Straftat, im Umfang der gerichtlichen Anordnung zugegriffen werden.
Betroffenen bzw. Unternehmen sind bereits im Stadium der Ermittlungen umfassende Möglichkeiten einzuräumen, ihre Interessen zu wahren.
USA
Nationale Sicherheit nimmt gegenüber Privatsphäre und Datenschutz eine übergeordnete Rolle ein. Datenschutz ist Teil des Verbraucherrechts.
Die datenschutzrechtliche Aufsicht übernimmt die Federal Trade Commission – primär für die Wettbewerbskontrolle im Land zuständig.
Sicherheitsbehörden können ohne gerichtliche Anordnung auf gespeicherte Daten in den USA sowie im Ausland zugreifen – – sofern die Server unter der Kontrolle von US-Unternehmen oder deren Tochtergesellschaften stehen.
US-Unternehmen und US-Cybersecurity-Anbieter sind nach US-Recht zur Herausgabe von Daten verpflichtet.
Sicherheitsbehörde sind weisungsgebundene Verwaltungsbehörden. Zugriffe auf Server erfolgen aufgrund politischer Weisungen.
Betroffene und Unternehmen müssen über einen Datenzugriff bzw. eine erfolgte Überwachung nicht informiert werden.
EU-US Privacy Shield
Personenbezogene Daten
Die EU-Kommission erlaubt die Übermittlung personenbezogener Daten in die USA nur, wenn sich das US-Unternehmen dazu verpflichtet, das hohe europäische Datenschutzniveau einzuhalten, entsprechend zertifiziert ist und in der Privacy Shield-Liste geführt wird.
Keine Gebundenheit für US-Sicherheitsbehörden
Die US-Sicherheitsbehörden sind an die Selbstverpflichtung der Unternehmen im Rahmen der Privacy-Shield-Vereinbarung nicht gebunden. Das heißt auch hier ist mit der Abwanderung von Daten und Wissen in die USA zu rechnen.
Conclusio
Datenweitergabe ohne Auskunftspflicht
Sämtliche Daten, die in die USA übermittelt werden oder auf die ein US-Unternehmen oder US-Tochterunternehmen Zugriff hat bzw. die auf einem Server dieser Unternehmen gespeichert sind, unterliegen US-Recht und dem potentiellen Zugriff durch US-Behörden ohne entsprechende Auskunftspflicht darüber.
US-Sicherheitsmaßnahmen stehen vor Datenschutz
Die Selbstverpflichtung der Unternehmen in den USA garantiert aufgrund der umfangreichen Ermittlungsbefugnisse der US-Sicherheitsbehörden keinen Datenschutz in den USA. Die Befugnisse der Sicherheitsbehörden untergraben damit streng genommen die europäischen Datenschutzbemühungen.
