Safe Harbor gekippt! Datenaustausch zwischen USA und EU ungültig – gilt dieses auch für IBAN und BIC?

prismEuropäischer Gerichtshof kippt Safe Harbor.

Der Europäische Gerichtshof (EuGH) hat entschieden: Unternehmen dürfen persönliche Daten europäischer Verbraucherinnen und Verbraucher nicht ohne weiteres in die USA übermitteln.

Die Daten europäischer Internet-Nutzer sind in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt. Das hat der Europäische Gerichtshof am Dienstag in einem Verfahren gegen Facebook geurteilt.

Deshalb wurde die Vereinbarung zur einfachen Datenübermittlung in die USA („Safe Harbor“) für ungültig erklärt.

Greift dieses Urteil auch bei dem Swift-Abkommen zur Übermittlung von Bankdaten an die US-Behörden?

Was ist „Safe Harbor“?

Ein Abkommen zwischen den USA und der Europäischen Union, mit dem im Jahr 2000 der einfache Austausch von persönlichen Daten ermöglicht wurde. Es geht davon aus, dass Daten in den USA und der EU gleichermaßen geschützt werden. Das Gericht sieht das anders: Die persönlichen Daten europäischer Nutzer seien in den USA nicht ausreichend vor dem Zugriff der Geheimdienste geschützt.

Der Jurist Max Schrems aus Österreich legte sich schon 2011, damals noch als Student, mit Facebook an. Er verlangt, dass sich auch US-Firmen an die strengen Datenschutzregeln in Europa halten sollen.

URTEIL:

Gerichtshof der Europäischen Union PRESSEMITTEILUNG Nr. 117/15 Luxemburg, den 6. Oktober 2015

Urteil in der Rechtssache C-362/14 Maximillian Schrems / Data Protection Commissioner

Der Gerichtshof erklärt die Entscheidung der Kommission, in der festgestellt wird, dass die Vereinigten Staaten von Amerika ein angemessenes Schutzniveau übermittelter personenbezogener Daten gewährleisten, für ungültig. Während allein der Gerichtshof dafür zuständig ist, einen Rechtsakt der Union für ungültig zu erklären, können die mit einer Beschwerde befassten nationalen Datenschutzbehörden, auch wenn es eine Entscheidung der Kommission gibt, in der festgestellt wird, dass ein Drittland ein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, prüfen, ob bei der Übermittlung der Daten einer Person in dieses Land die Anforderungen des Unionsrechts an den Schutz dieser Daten eingehalten werden, und sie können, ebenso wie die betroffene Person, die nationalen Gerichte anrufen, damit diese ein Ersuchen um Vorabentscheidung zur Prüfung der Gültigkeit der genannten Entscheidung stellen. (…)

Herr Schrems, ein österreichischer Staatsangehöriger, nutzt seit 2008 Facebook. Wie bei allen anderen in der Union wohnhaften Nutzern von Facebook werden die Daten, die Herr Schrems Facebook liefert, von der irischen Tochtergesellschaft von Facebook ganz oder teilweise an Server, die sich in den Vereinigten Staaten befinden, übermittelt und dort verarbeitet. Herr Schrems legte bei der irischen Datenschutzbehörde eine Beschwerde ein, weil er im Hinblick auf die von Herrn Edward Snowden enthüllten Tätigkeiten der Nachrichtendienste der Vereinigten Staaten, insbesondere der National Security Agency (NSA), der Ansicht war, dass das Recht und die Praxis der Vereinigten Staaten keinen ausreichenden Schutz der in dieses Land übermittelten Daten vor Überwachungstätigkeiten der dortigen Behörden böten. Die irische Behörde wies die Beschwerde insbesondere mit der Begründung zurück, die Kommission habe in ihrer Entscheidung vom 26. Juli 2002 festgestellt, dass die Vereinigten Staaten im Rahmen der sogenannten „Safe-Harbor-Regelung“ ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten gewährleisteten. (…)

Die amerikanische Safe-Harbor-Regelung ermöglicht daher Eingriffe der amerikanischen Behörden in die Grundrechte der Personen, wobei in der Entscheidung der Kommission weder festgestellt wird, dass es in den Vereinigten Staaten Regeln gibt, die dazu dienen, etwaige Eingriffe zu begrenzen, noch, dass es einen wirksamen gerichtlichen Rechtsschutz gegen solche Eingriffe gibt. Diese Analyse der Regelung wird durch zwei Mitteilungen der Kommission bestätigt, aus denen u. a. hervorgeht, dass die amerikanischen Behörden auf die aus den Mitgliedstaaten in die Vereinigten Staaten übermittelten personenbezogenen Daten zugreifen und sie in einer Weise verarbeiten konnten, die namentlich mit den Zielsetzungen ihrer Übermittlung unvereinbar war und über das hinausging, was nach Ansicht der Kommission zum Schutz der nationalen Sicherheit absolut notwendig und verhältnismäßig gewesen wäre. Desgleichen stellte die Kommission fest,dass es für die Betroffenen keine administrativen oder gerichtlichen Rechtsbehelfe gab, die es ihnen erlaubten, Zugang zu den sie betreffenden Daten zu erhalten und gegebenenfalls deren Berichtigung oder Löschung zu erwirken. (…)

Aus all diesen Gründen erklärt der Gerichtshof die Entscheidung der Kommission vom 26. Juli 2000 für ungültig. Dieses Urteil hat zur Folge, dass die irische Datenschutzbehörde die Beschwerde von Herrn Schrems mit aller gebotenen Sorgfalt prüfen und am Ende ihrer Untersuchung entscheiden muss, ob nach der Richtlinie die Übermittlung der Daten der europäischen Nutzer von Facebook in die Vereinigten Staaten auszusetzen ist, weil dieses Land kein angemessenes Schutzniveau für personenbezogene Daten bietet. Das vollständige Urteil finden Sie hier: http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117de.pdf

INFOBOX

Laut – Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit – Husarenstr. 30 – 53117 Bonn

Die Safe-Harbor-Vereinbarung sieht vor, dass die Unternehmen die folgenden 7 Prinzipien einhalten müssen, um ein angemessenes Datenschutzniveau vorweisen zu können:

1. Informationspflicht: Die Unternehmen müssen die Betroffenen darüber unterrichten, welche Daten sie für welche Zwecke erheben und welche Rechte die Betroffenen haben.
2. Wahlmöglichkeit: Die Unternehmen müssen den Betroffenen die Möglichkeit geben, der Weitergabe ihrer Daten an Dritte oder der Nutzung für andere Zwecke zu widersprechen.
3. Weitergabe: Wenn ein Unternehmen Daten an Dritte weitergibt, muss es die Betroffenen darüber und über die unter 2. aufgeführte Wahlmöglichkeit informieren.
4. Zugangsrecht: Die Betroffenen müssen die Möglichkeit haben, die über sie gespeicherten Daten einzusehen und sie ggf. berichtigen, ergänzen oder löschen können.
5. Sicherheit: Die Unternehmen müssen angemessene Sicherheitsvorkehrungen treffen, um die Daten vor unbefugtem Zugang oder vor Zerstörung und Missbrauch zu schützen.
6. Datenintegrität: Die Unternehmen müssen sicherstellen, dass die von ihnen erhobenen Daten korrekt, vollständig und zweckdienlich sind.
7. Durchsetzung: Die dem Safe-Harbor beigetretenen Unternehmen verpflichten sich zudem, Streitschlichtungsmechanismen beizutreten, so dass die Betroffenen ihre Beschwerden und Klagen untersuchen lassen können und ihnen im gegebenen Fall Schadensersatz zukommt.

Das US-Handelsministerium führt ein Verzeichnis derjenigen Unternehmen, die sich öffentlich zu den Grundsätzen des Safe Harbor verpflichtet haben, um in den Genuss der Vorteile des Systems zu kommen. Dieses Verzeichnis wird auf der Webseite des DoC veröffentlicht und kann nach bestimmten Kriterien durchsucht werden.

Unternehmen, die sich dem Safe Harbor anschließen, sind vor der Sperrung des Datenverkehrs sicher, andererseits wissen europäische Unternehmen, die personenbezogene Daten an in den USA tätige Firmen Daten übermitteln, dass sie keine zusätzlichen Garantien verlangen müssen. Schließlich können die Unionsbürger sicher sein, dass ihre Daten datenschutzgerecht verarbeitet werden.

Nicht in den Zuständigkeitsbereich der FTC fallen die Unternehmensbereiche Finanzinstitute, Luftverkehrsunternehmen, Telekommunikationsunternehmen und Verpackungsdienste.
Im Falle von Verstößen gegen die Prinzipien des Safe Harbor können die Betroffenen Beschwerden und Klagen einreichen und unter Umständen Entschädigung verlangen. Wenn ihnen bei Streitigkeiten nicht vom betroffenen Unternehmen geholfen wird, haben Verbraucher die Möglichkeit, sich an eine Streitschlichtungsstelle zu wenden.

Kommissionsentscheidung 2000/520/EG

WP 32 der Art. 29 Gruppe

Entschließung des Düsseldorfer Kreises

Verzeichnis des US-Handelsministeriums

Streitschlichtungsstellen

Ansprechpartner der EU-Datenschutzbehörden

Die EU-Kommission muss nun in den laufenden Verhandlungen über ein neues Abkommen sicherstellen, dass US-Unternehmen europäische Datenschutzstandards einhalten und persönliche Daten vor dem Zugriff der Geheimdienste schützen.

IBAN und BIC

Swift2Das Europäische Parlament beschloss im Februar 2012, dass IBAN und BIC auch bei Inlandsüberweisungen die alleinigen Standards für die Kontoverbindung sein werden. Die als „IBAN, die Schreckliche“ getaufte neue Kontonummer in Deutschland umfasst 22 Stellen.

Kurz zusammengefasst: Für eine Sepa-Überweisung benötigt man die internationale Kontonummer (IBAN) und Bankleitzahl (BIC) des Zahlungsempfängers. Die Abkürzung BIC steht dabei für „Bank Identifier Code“, der auch SWIFT-Code genannt wird und mit dem international die Bankgenau identifiziert wird, an die das Geld gehen soll, .

SWIFT – BIC: Erkennung des Bankinstitutes

SWIFT ist  die Abkürzung für Society for Worldwide Interbank Financial Telecommunication und ist eine Organisation, die seit dem Jahr 1973 den internationalen Austausch von Informationen zwischen den Banken in verschiedenen Ländern organisiert. Es handelt sich dabei um eine Genossenschaft der Banken und ist in La Hulpe, Belgien, ansässig.

Der Name sagt also im Prinzip schon, um was es bei dieser Bezeichnung geht. Er hat zur Aufgabe, den Nachrichtenaustausch mittels eines funktionierenden Telekommunikationsnetzes, auch SWIFT-Netz genannt, für seine Mitgliedsbanken zu ermöglichen.

Die SWIFT tätigt die Abwicklung des gesamten Finanzverkehrs von mehr als 8000 Geldinstituten in über 200 Ländern. Es wurde errechnet, dass der SWIFT-Code an jedem Tag des Jahres mindestens 12 Millionen mal zum Einsatz kommt.

Am 30. 11. 2009 wurde ein Abkommen zwischen der EU-Kommission und den USA geschlossen, das eine jahrelange illegale Praxis legalisiert.

SWIFT betrieb in den USA ein Backup-Rechenzentrum. Um für Katastrophen (z. B. ein Erdbeben, einen Anschlag oder einen Brand) oder Ausfallzeiten (geplant für z. B. Updates oder ungeplant bei Störungen) gerüstet zu sein, gibt es als Redundanz-Szenario das sog. Backup-Rechenzentrum.

Die Daten wurden von den Banken in Europa erhoben und unterlagen somit europäischem Datenschutzrecht. Die USA verlangten (und bekamen) von SWIFT Zugriff auf die in den USA gespeicherten Daten. SWIFT hätte diese Daten nach europäischem Recht nicht herausgeben dürfen.

Nachdem SWIFT sein Rechenzentrum von den USA in die Schweiz verlegt hatte, drohte den USA der Zugriff auf diesen Bestand verloren zu gehen, den sie bereits kurz nach dem 11.September 2001 im Rahmen eines zunächst geheimgehaltenen Regierungsprogramms namens TFTP (Terrorist Finance Tracking Program) genutzt hatten. Nach offiziellen Angaben soll TFTP der Aufdeckung von terroristischen Aktivitäten dienen, insbesondere dem Aufspüren von Organisatoren und Geldgebern.

Nach Berichten zapft die NSA systematisch das Swift-Kommunikationsnetzwerk an, in dem die Bankdaten von Millionen Bürgern und Unternehmen in der EU gespeichert sind. Der NSA-Zweig namens „Follow the Money“ ist für das Ausspähen von Finanzdaten zuständig. Ausgespäht wurde demnach der in Belgien ansässige Finanzdienstleister Swift, der internationale Banküberweisungen sichert. Im Europaparlament waren nach den Enthüllungen Forderungen nach einem Einfrieren des Swift-Abkommens lauter geworden.

Ok, also nicht legalisiert, denn da gibt es ja noch das europäischen Datenschutzrecht. Aber macht ja nichts, was sind schon unsere Daten?!

So will die Kommission das so-genannte Swift-Abkommen zur Übermittlung von Bankdaten an die US-Behörden nicht aussetzen. Sie lehnt auch eine Kündigung des so-genannten „Safe Harbor“- Abkommens ab, das US-Unternehmen die kommerzielle Verwertung von europäischen Personendaten erlaubt. Unangetastet bleibt also auch das PNR-Abkommen, wonach Europas Fluglinien für alle Verbindungen von EU-Bürgern in und aus den USA 19 Daten an US-Behörden weiterleiten müssen. Mehr Informationen in unserem Beitrag: IBAN, die Schreckliche – EU hebelt Schutz von Bankdaten aus

Der Europäische Gerichtshof (EuGH) hat entschieden: Unternehmen dürfen persönliche Daten europäischer Verbraucherinnen und Verbraucher nicht ohne weiteres in die USA übermitteln. Also dürfen unsere Bankdaten nicht an die USA weitergeleitet werden. Hier muss die Europäische Kommission sofort tätig werden. 

Die USA und die Europäische Union verhandeln bereits seit zwei Jahren über ein neues „Safe Harbor“-Abkommen, doch bislang hat man noch nie Rücksicht auf unsere persönliche Daten genommen. Wir könnten ja alle Terroristen sein.

Doch die Richter gingen noch weiter: Nach Ansicht des Gerichts bietet das als wirtschaftsfreundlich bekannte „Safe Harbor“-Abkommen keine ausreichende Basis für eine Datenübermittlung. „Die EU-Kommission hatte keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken“, kritisierten die Richter.

Wir sind gespannt, wie Facebook reagieren wird. Schließlich lebt der Konzern davon, dass Nutzerdaten an Interessenten weiter verkauft werden. Das sind nicht nur Namen und Adressdaten, auch Daten, die mit Analysewerkzeugen aus den Inhalten gefiltert werden, können zu Geld gemacht werden. Immer mehr füttern Facebook mit Daten, Fotos oder gar Videos. Facebook freut sich darüber. Die Warnungen von Datenschützern bleiben meist ungehört und lustig wird weiter alles, was heute noch als harmlos, morgen aber bereits peinlich sein könnte, über Facebook verbreitet und für die Nachwelt festgehalten.

Doch genau was ist nicht die Lösung und was bewusster Umgang mit den eigenen Daten?

Das sei jedem selber überlassen. Wichtig ist es, Konzerne wie Facebook in die Schranken zu weisen. Doch wie schwierig es ist, zeigen wir Ihnen, indem wir Ihnen zeigen, wer hinter Facebook steckt. Und da ist das Problem: Die EU hat eine Stiftung.

Sie  brauchen sich nur zu merken: Man kennt sich! EU-Abgeordnete gründeten eine Stiftung mit einem US-Konzern im Internet-Bereich, die ihnen den Zugang zu Abgeordneten sicherstellt. Und wenn Sie sich die Mitglieder anschauen, gehören auch Facebook und Google dazu. Mehr Informationen erhalten Sie in unserem Bericht: Right To Know Day – Tag der Informationsfreiheit

www.eifonline.org

Facebook ist elf Jahre alt. 1,3 Milliarden Mitglieder nutzen es derzeit. Über Mark Zuckerberg wurde schon viel berichtet, doch wer unterstützte den damals 20-jährigen Studienabbrecher Zuckerberg finanziell?

Wie Facebook entanden ist, können Sie in allen Medien lesen. Vor elf Jahren stellte Mark Zuckerberg das Studentenverzeichnis seiner Uni ins Netz – das „Facebook” der Komilitonen. Aus damals 650 Nutzern sind mittlerweile knapp 1,3 Milliarden geworden – Wie jede Erfolgsstory startete auch diese ganz klein und mit einer Idee.

Doch was vielen nicht bekannt sein dürfte, ist, dass der 20-jährige Studienabbrecher Zuckerberg kein Geld hatte, und so gab im Sommer 2004 der Paypal-Gründer Peter Thiel für Facebook 500 000 Dollar und sicherte sich dafür Anteile an Mark Zuckerbergs Internetfirma. Es sollte eines der besten Investments des Informationszeitalters werden, denn später wandelte er seine Investition in 7 % Anteile an Facebook um. Beim Facebook-Börsengang im Mai 2012 verkaufte Thiel 16,8 Mio. Facebook-Anteile im Wert von 640 Mio. US-$. Nach dem Ende der Haltefrist für Investoren am 16. August verkaufte er weitere 20 Mio. Aktien für rund 400 Mio. $.

Wer ist dieser Peter Andreas Thiel?

Er ist ein US-amerikanischer Investor deutscher Herkunft. Thiel wurde in Frankfurt am Main geboren. Als er ein Jahr alt war, wanderten seine Eltern in die Vereinigten Staaten aus. 1998 lernte Thiel den Informatiker Max Levchin kennen. Er investierte USD 280 000 in dessen Startup PayPal und wurde CEO (geschäftsführendes Vorstandsmitglied) des Unternehmens. 2002 brachte Thiel PayPal an die Börse. Mit dem Erlös von USD 55 Millionen aus der Übernahme von PayPal durch eBay im selben Jahr gründete Thiel Clarium Capital Management, einen Global-Macro-Fonds. Dieser Hedge-Fonds verwaltete Anfang 2007 ungefähr 2,1 Mrd. US-$.

Kapitalanteile des Unternehmens werden von der Risikokapitalgesellschaft Founders Fund gehalten.

Die Founders Fund hat ein Unternehmen mit Namen Robotex, ein Silicon Valley start-up. Wie Sie der Anmeldung entnehmen können (siehe Anmeldung bei der SEC) wurde sie 2007 von den PayPal- und Youtube-Gründern gestartet. Die Anmeldung von Robotex listet Peter Thiel zusammen mit Robotex Gründer Nathan Gettings und Alexander Karp als Direktoren. Die in Palo Alto beheimatete Robotex entwickelt eine Reihe von „Avatar” Robotern. Sie wurden zur Unterstützung der Gefahrenabwehr entworfen. Das Unternehmen entwickelt IT-Technologie im Handel ohne Mithilfe von Forschungsstipendien der Regierung.

Sie verkaufen Roboter, die zum Beispiel Wohnungen und Büros überwachen – aber auch Kinder, während die Eltern außer Haus sind.  Willkommen im Zeitalter der Roboter – Dank dem Facebook-Investor und PayPal Gründer Peter Thiel. 

Doch das ist nicht alles! Erinnern Sie sich noch an das Überwachungsprogramm Prism?

Auch hier ist Peter Thiel federführend, denn gemeinsam mit dem heutigen Vorstandsvorsitzenden Alex Karp und dessen Idee, sowie den Investoren Joe Lonsdale, Nathan Gettings und dem Informatiker Stephen Cohen gründete er in 2004 das Unternehmen Palantir. Die Gründer und ersten Mitarbeiter kannten sich ja bereits aus ihrer gemeinsamen Zeit beim Aufbau von Paypal. Und Sie erfanden ein Programm: PRISM!

Als amerikanische Geheimdienste auf der Jagd nach Terroristen neue Wege suchten, da die Telefon-Aufzeichnungen, E-Mails und andere Daten – wie die digitale Kommunikation in den letzten zehn Jahren – explodierten, wandten sie sich an diese o. g. Silicon-Valley-Computer-Experten. Die Paypal-Gründer hatten auf Grund des zunehmenden Kreditkartenbetrugs von russischen Gangstern dieses PRISM-Program entworfen.

So kam es zu einer Partnerschaft zwischen den Geheimdiensten und Palantir Technologies, Palo Alto, Kalifornien. Weitere Informationen zu Peter Thiel und Überwachung finden Sie hier: Herzlich Willkommen zum Online -Seminar, auch für Mitarbeiter des  ‪BND oder der Bundesregierung geeignet. Sie erfahren in diesem Seminarmodul „Wie werden wir überwacht!”.  oder  Der Herr der Ringe oder Überwachung à la carte

Außerdem ist sein Founders Fund unter anderem an den Trendfirmen Airbnb, Spotify, SpaceX, Oculus und Lyft beteiligt.

Wirtschaftlich gesehen ist Facebook mittlerweile ein Konzern, der mit Werbung Geld verdient. Und seit Mai 2012 ist Facebook ein börsennotiertes Unternehmen. Der größte Börsengang einer Internet-Firma bringt dem Unternehmen und seinen frühen Geldgebern 16 Milliarden Dollar ein.  Hier können Sie sehen, wer Anteile an Facebook hält: http://whoownsfacebook.com/.

Wie werden amerikanische Konzerne wie Facebook das aktuelle Urteil umsetzen?

Möglich, dass amerikanische Unternehmen ihre Dienste verstärkt über europäische Tochtergesellschaften anbieten, um so den Datentransfer in die USA zu vermeiden. Allerdings müssten sie dann trotzdem sicherstellen, dass amerikanische Behörden nicht ohne weiteres auf die Daten zugreifen können. Konzerne wie Facebook, Amazon, Microsoft oder Google haben bereits Rechenzentren in Europa. Sie könnten die Datenverarbeitung trennen.

Bürger müssen die Möglichkeit haben, über sie gespeicherte Daten einzusehen, zu berichtigen oder löschen zu lassen. Die Behörden müssen dies überprüfen und durchsetzen können. Hoffen wir, dass dieses jetzt umgesetzt wird.

Wir gratulieren Max Schrems zu diesem Sieg und wünschen Ihm auch weiterhin viel Erfolg.

Netzfrau Doro Schreier

GCHQ und NSA haben auch Wohltätigkeitsorganisationen ins Visier genommen – Es wurden keineswegs nur potenzielle Kriminelle oder Terroristen überwacht.

Wer macht die “öffentliche Meinung”? Ein paar wenige Medienkonzerne …

Sammelklage – 25.000 Nutzer gegen Facebook – Facebook-Milliardär Peter Thiel?

1 Kommentar » Schreibe einen Kommentar

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.