Grenzüberschreitende Datensicherheit: eine Bedrohung für das Internet?

Sicher haben Sie schon von der geplanten Datenschutz-Grundverordnung (DS-GVO) der EU gehört, die die Datenschutzrichtlinie von 1995 ablösen soll. Derzeit erlässt jeder EU-Mitgliedsstaat eigene Gesetze, um die Datenschutzrichtlinie zu erfüllen....
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 29. Oktober 2021

Sicher haben Sie schon von der geplanten Datenschutz-Grundverordnung (DS-GVO) der EU gehört, die die Datenschutzrichtlinie von 1995 ablösen soll. Derzeit erlässt jeder EU-Mitgliedsstaat eigene Gesetze, um die Datenschutzrichtlinie zu erfüllen. Doch mit der neuen DS-GVO legt die Europäische Kommission Regeln fest, die für sämtliche EU-Länder gelten.

Vielleicht haben Sie auch von weitreichenden Gerichtsurteilen zu Technologie- und Datenschutzthemen, insbesondere in der EU, gehört. Zum Beispiel das 2014 bestätigte Recht auf Vergessenwerden oder die aktuelle Entscheidung des Europäischen Gerichtshofs zur Abschaffung des Safe-Harbor-Abkommens aus dem Jahr 2000, das es den 4.000 teilnehmenden US-Unternehmen erlaubte, personenbezogene Daten legal in die USA zu übermitteln.

Daten ohne Grenzen

Was in den Medien jedoch weitaus weniger thematisiert wird, ist der Versuch von Regierungen, Unternehmen außerhalb ihrer Gerichtsbarkeit zu regulieren und ihnen gegebenenfalls hohe Geldbußen aufzuerlegen. Sehen wir uns ein paar aktuelle Fälle und die dadurch entstehenden Probleme an:

Französische Datenschutzbehörde CNIL vs. Google, 1. Runde: 2012 kündigte Google an, die Datenschutzbestimmungen für seine verschiedenen Produkte zu einer Richtlinie zusammenzufassen. Dies hatte zur Folge, dass Google die in einem der Dienste gesammelten personenbezogenen Daten auch dann nutzen kann, wenn jemand einen anderen Google-Dienst verwendet.

Die französische Datenschutzaufsicht CNIL untersuchte den Fall und kam zu dem Schluss, dass die neue Richtlinie gegen das französische Datenschutzgesetz verstößt. Anfang 2014 verhängte die CNIL eine Geldstrafe von 150.000 EUR gegen Google – die höchste Strafe ihrer Geschichte. (Die spanische Datenschutzbehörde AEPD sah das ähnlich und verdonnerte Google zu einer Strafe von 900.000 EUR.)

Derzeit ziehen mehrere EU-Länder in Erwägung, Google dazu zu verpflichten, eine Opt-out-Möglichkeit für seine konsolidierte Datenschutzrichtlinie anzubieten.

Französische Datenschutzbehörde CNIL vs. Google, 2. Runde: Mitte 2014 urteilte ein spanisches Gericht, dass jede Person das Recht hat, von einer Suchmaschine die Löschung von Links zu Daten zu verlangen, die sie als irrelevant oder veraltet erachtet. Der Angeklagte war zwar erneut Google, doch das Urteil betrifft alle Suchmaschinen. Kurz danach führte Google ein System ein, mit dem die Nutzer das Löschen personenbezogener Informationen beantragen können (siehe dieses Online-Formular). Wird dies von Google bewilligt, werden die Links zu den jeweiligen Informationen im Land des Antragstellers gelöscht.

Im Juni 2015 forderte die französische CNIL Google förmlich dazu auf, die Suchergebnisse aus den Google-Domains aller Länder weltweit zu entfernen, wenn ein EU-Bürger sein Recht auf Vergessenwerden reklamiert. Denn bisher löscht Google die entsprechenden Suchergebnisse lediglich innerhalb der EU. Die Datenschutzbehörde drohte Google mit Sanktionen, sollte das Unternehmen der Aufforderung nicht nachkommen.

USA vs. Microsoft: 2013 forderten die US-Justizbehörden Microsoft zur Herausgabe von E-Mail-Daten eines Nutzers auf. Dabei handelte es sich um einen Nutzer aus Irland. Microsoft übergab zwar die nicht inhaltsbezogenen Informationen, die in den USA gespeichert waren, weigerte sich jedoch, die Inhalte des Nutzerkontos zu übergeben – mit der Begründung, dass US-Recht hier nicht gelte. Microsoft hat zwar kürzlich ein Berufungsverfahren verloren, will sich der Aufforderung der Justizbehörden jedoch weiterhin widersetzen.

Das Unternehmen wird dabei von 28 Technologie- und Medienunternehmen, 23 Wirtschaftsverbänden und Interessengruppen und 35 Informatikprofessoren unterstützt, die ihre Rechtsansicht dem zuständigen New Yorker Gericht in einem eigenen Schriftsatz mitgeteilt haben. Im entgegengesetzten Fall könnte eine deutsche Behörde von einer deutschen Bank den Zugriff auf Informationen oder den Inhalt eines Tresorfachs in einer Zweigstelle in New York verlangen – und zwar ohne dass die betroffene Person davon in Kenntnis gesetzt würde und ohne Berücksichtigung des amerikanischen Rechts!

Die Domain-Registry xyz.com hat der ICANN einen Vorschlag überreicht, nach dem neue Domänennamen, die Begriffe aus einer schwarzen Liste der chinesischen Regierung enthalten, automatisch blockiert würden. Laut Bericht einer branchenspezifischen Nachrichtenseite besteht diese Zensurliste aus etwa 12.000 Wörtern und Ausdrücken, darunter die chinesischen Begriffe für „Demokratie“, „Menschenrechte“ usw., die in keiner der Top-Level-Domains des Unternehmens mehr registriert werden dürften. Dies würde nicht nur für chinesische Registrants gelten, sondern für alle weltweit!

Die neue Weltordnung

Würden Unternehmen alle regulatorischen Anforderungen erfüllen, würde sich das Internet rasch auf den kleinsten gemeinsamen Nenner reduzieren. Anders gesagt: Die Regulierungsbehörde oder Regierung mit den strengsten Regeln könnte die Inhalte für alle anderen weltweit bestimmen.

Ein weiteres Problem sind die Auswirkungen auf die Wirtschafts- und Geschäftswelt: Würde ein Unternehmen eine Cloud oder einen anderen Computing-Dienst nutzen, wenn es wüsste, dass die Regierung eines anderen Landes auf all seine Daten zugreifen kann – und nicht selten ohne dass es darüber informiert würde?

Daraus ergibt sich die folgende alarmierende Situation:

  • Die französische Datenschutzbehörde fordert, dass bestimmte Suchergebnisse zu einer Person weltweit nicht mehr angezeigt werden.
  • Die US-Regierung verlangt Zugriff auf Daten eines Nutzerkontos, die außerhalb der USA auf dem Server einer Niederlassung gespeichert sind, wobei die einzige Verbindung zwischen dem Nutzer und den USA darin besteht, dass das Konto eine Microsoft-Adresse hat.
  • Eine Domain-Registry kommt dem Wunsch einer einzigen Regierung nach, fast 12.000 Begriffe zu verbieten, sodass kein Nutzer in keinem Land der Erde eine Domain registrieren kann, die einen dieser Begriffe enthält.

Es gibt zwar bilaterale Rechtshilfeverträge (Mutual Legal Assistance Treaties, MLATs), die das Sammeln und Austauschen von Informationen im Rahmen der gesetzlichen Vorschriften ermöglichen. Doch im Fall von Microsoft erachtet die US-Regierung die MLATs als zu träge und umständlich. In anderen Fällen versucht eine einzige Regierung, ihre Richtlinien auch außerhalb ihres eigenen Landes durchzusetzen.

Die Datenschutz-Grundverordnung der EU, die bald verabschiedet werden soll, kann auch außerhalb der Grenzen der EU angewendet werden. Selbst wenn ein Unternehmen ohne eine Niederlassung in der EU die Daten von EU-Bürgern über das Internet sammelt, unterliegt es den europäischen Datenschutzrichtlinien.

Bei Verstößen gegen die Bestimmungen zur Sammlung und Verwendung personenbezogener Daten innerhalb der EU sieht die neue Grundverordnung zudem Strafen von bis zu fünf Prozent des Jahresumsatzes eines Unternehmens vor.

Wie all das umgesetzt werden kann, steht allerdings in den Sternen.

Fazit: Die bisherige Internetkultur ist an mehreren Fronten unter Beschuss. Länder versuchen, ihre eigenen Datenschutzgesetze und -richtlinien auf international tätige Konzerne anzuwenden. Dies widerspricht dem dezentralen Charakter des Internets. Und hat sowohl auf den Datenschutz als auch auf Produktinnovationen Auswirkungen.

Die zentrale und bislang unbeantwortete Frage ist, ob das Internet quasi ein eigenes Territorium ist und, falls nicht, wessen Regeln für eine ortsungebundene digitale Welt gelten sollen.

The post Grenzüberschreitende Datensicherheit: eine Bedrohung für das Internet? appeared first on Varonis Deutsch.

Wie soll ich vorgehen?

Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

1

Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

2

Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

3

Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

Testen Sie Varonis gratis.

Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
Ohne Bedingungen und Auflagen

Weiter lesen

Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

zwischenzeitlich-in-der-eu:-showdown-beim-datenschutz-in-bezug-auf-cookies-und-opt-in
Zwischenzeitlich in der EU: Showdown beim Datenschutz in Bezug auf Cookies und Opt-In
von Andy Green Werfen wir zunächst einen Blick auf den aktuellen Stand der durch die EU-Kommission vorgeschlagenen Änderungen an der Datenschutzrichtlinie (DSR). Anfang Juli wurde eine Abstimmung des Ausschusses des EU-Parlaments erneut...
eu-datenschutz-grundverordnung:-5-punkte,-die-sie-kennen-sollten
EU-Datenschutz-Grundverordnung: 5 Punkte, die Sie kennen sollten
Die europäischen Regulierungsbehörden meinen es ernst mit ihrer Datenschutzreform. Die Datenschutz-Grundverordnung (DS-GVO) ist eine komplette Überarbeitung der bisherigen EU-Datenschutzrichtlinie zur Verarbeitung personenbezogener Daten und steht kurz vor dem Abschluss. Wir...
cloud-datenschutz-in-der-eu:-der-weg-aus-der-knechtschaft
Cloud-Datenschutz in der EU: Der Weg aus der Knechtschaft
Vor einiger Zeit schrieb ich über die einflussreiche EU-Datenschutzrichtlinie von 1995 sowie die aktualisierten Verbraucherschutzbestimmungen, die in Kürze in Kraft treten werden. Im Sommer veröffentlichte die Arbeitsgruppe „Artikel 29“, ein Beraterausschuss...
datenbroker:-zu-viele-informationen
Datenbroker: Zu viele Informationen
Ich komme einmal mehr auf den Bericht über die neuen Datenschutzrichtlinien der amerikanischen Bundeshandelskommission (FTC) zurück, der Anfang letzten Jahres veröffentlicht wurde. Diese Richtlinien geben nicht nur einen Vorgeschmack auf...