(Un-)Safe Harbor
Sobald Sie als Veranstalter personenbezogene Daten erheben und verarbeiten, sind Sie dazu verpflichtet, datenschutzrechtliche Bestimmungen einzuhalten.
Dazu gehört es auch zu wissen, wo welche Daten gespeichert sind und wer darauf Zugriff hat. Übermittelt der Anbieter der von Ihnen verwendeten Event-Management-Software die persönlichen Daten der Teilnehmer in ein Land außerhalb des Europäischen Wirtschaftsraums, muss eine Voraussetzung erfüllt sein: Das Land, in dem sich die Server befinden, steht auf der Liste der sicheren Drittländer, die einen ausreichenden Schutz der Daten und des Persönlichkeitsrechts der betroffenen Personen gewährleisten können.
Die USA finden sich nicht auf der Liste, denn wirksame Regelungen mit einem ähnlich hohen Datenschutzniveau wie in Europa gibt es dort nicht. Eine Datenübertragung konnte aber bis letztes Jahr dennoch problemlos stattfinden. Grund dafür war das Safe Harbor-Abkommen zwischen der EU und einer Reihe von US-Unternehmen, die sich dazu verpflichteten, die europäischen Datenschutzstandards einzuhalten.
Im Zuge der NSA-Enthüllungen im Jahr 2013 zeigte sich allerdings ein anderes Bild. Demnach spähen US-Behörden die Daten nicht nur unkontrolliert aus, sondern haben auch uneingeschränkten Zugriff darauf. Der Europäische Gerichtshof kam deshalb im Oktober 2015 zu dem Schluss, dass die Informationen nicht ausreichend geschützt sind und erklärte das Safe Harbour-Abkommen damit nach 15 Jahren für ungültig.
Und jetzt?
Einmal auf einem US-Server abgelegt, kann wohl niemand so recht sagen, was mit den Daten im Einzelnen passiert. Meist sind zudem weder die Teilnehmer noch die Veranstalter mit der genauen Gesetzeslage in den USA vertraut. Wird also eine Software genutzt, die die Daten in die USA überträgt, kann das dortige Rechenzentrum höchstens Maßnahmen gegen Datendiebstahl und kriminelle Angriffe von außen einleiten. Vor dem Hintergrund der NSA-Aktivitäten lassen sich behördliche Zugriffe aber nicht abwehren.
Auf Safe Harbor soll mit dem „EU-US Privacy Shield“ eine neue Regelung mit besserem Datenschutz folgen. Der geplante Schutzschild ist allerdings längst nicht so stark wie es der Name vermuten lässt und ruft schon vor Inkrafttreten zahlreiche Kritiker auf den Plan.
Diese bemängeln, dass die Überwachung durch die Geheimdienste nahtlos weitergeht. Das neue Abkommen sieht zwar Kontrollen für die Einhaltung der Vereinbarung vor, allerdings wird die Kontrollinstanz vom US-Außenministerium gestellt, wodurch eine unabhängige Prüfung zumindest angezweifelt werden darf.
Arbeitet ein deutscher Veranstalter mit einer Event-Management-Software, die personenbezogene Daten in den USA hostet, ist das derzeit sogar illegal – sofern der Transfer immer noch auf dem Safe Harbor-Abkommen basiert und die beteiligten Unternehmen seit dem Urteil keine andere Rechtsgrundlage nach EU-Vorgaben geschaffen haben.
Wie können Veranstalter für mehr Sicherheit sorgen?
Wie sich die Gesetzeslage entwickeln wird, bleibt spannend, auch wenn grundsätzliche Änderungen für den Datenaustausch mit den USA in absehbarer Zeit eher noch nicht zu erwarten sind.
Vergessen Sie dabei allerdings nicht, dass Teilnehmerdaten gar nicht zwingend in die weite Ferne geschickt werden müssen. Mit dem Bundesdatenschutzgesetz ist die Rechtslage in Deutschland um einiges klarer.
Ratsam ist es, prinzipiell Abstand von US-amerikanischen Anbietern für Teilnehmermanagement-Software zu nehmen und sich auch bei europäischen vorher genauestens zu erkundigen, wie mit personenbezogenen Daten verfahren wird. Vorsichtig sein sollten Sie immer, wenn ein Anbieter aus Europa Daten bei Cloud-Diensten hostet. Die Daten werden dann häufig entweder in den USA gespeichert oder die verteilte Serverstruktur macht es gänzlich unmöglich, den genauen Speicherort in Erfahrung zu bringen.
Alles, was Anbieter in puncto Sicherheit darüber hinaus unternehmen, ist ein zusätzliches Plus.
So hostet Converia beispielsweise alle Daten auf deutschen Servern, die sich in einem nach ISO 27001 zertifizierten Rechenzentrum befinden. Als sehr strenge, weltweit gültige Zertifizierungsnorm stellt ISO 27001 hohe Anforderungen an die Sicherheit der gespeicherten Informationen und sorgt dafür, Risiken und damit verbundene Schäden zu minimieren.
Durch das Spiegeln der gehosteten Daten stehen diese jederzeit zuverlässig zur Verfügung.
Umgesetzt wird das durch einen Mirror, einen weiteren Server, der ein Abbild der Daten bereithält und einspringt, sobald der erste ausfällt. Die Festplattenarchitektur ist ähnlich angelegt. Versagt eine der Platten, kommt sofort die gespiegelte zum Einsatz.
Zusätzlich sollte der Softwareanbieter in der Lage sein, Ihre Datenschutzstandards vollständig zu berücksichtigen. Dazu gehört etwa, dass dieser offenlegt, zu welchem Zweck personenbezogene Daten erhoben, genutzt oder weitergegeben werden.
Mangelhafter Datenschutz hat Konsequenzen
Wer gegen die Datenschutzbestimmungen verstößt, muss mit empfindlichen Strafen rechnen. Auf Bußgelder in Höhe von mehreren Tausend Euro müssen sich Veranstalter vor allem dann einstellen, wenn bewusst keine Maßnahmen ergriffen werden, um die Daten der Teilnehmer zu schützen.
Meist bleibt es dann nicht nur beim finanziellen Schaden. Sobald bekannt wird, dass es der Veranstalter mit den persönlichen Daten der Teilnehmer nicht so genau nimmt, entsteht zusätzlich noch ein nicht unerheblicher Imageschaden. Dieser ist dann mit Blick auf zukünftige Veranstaltungen nur schwer wiedergutzumachen. Das wird spätestens dann zum Problem, sobald die ersten Interessenten lieber auf die Anmeldung verzichten als ihre Daten jemandem anzuvertrauen, der in der Vergangenheit bewiesen hat, diese nicht ausreichend schützen zu können.