Westliche Länder haben beim Datenschutz die Nase vorn

Damit Unternehmen einen Überblick darüber haben, welche Datenschutzregelungen in welchen Ländern greifen und wo sie mit welchen Zugriffen und Unsicherheiten für ihre Daten rechnen müssen, hat
der Collaboration-Anbieter Intralinks die entsprechenden Gesetze rund um den Globus unter die Lupe genommen und ein Ranking erstellt. Dabei sieht das Unternehmen einen generellen Zusammenhang zwischen der Rechtssicherheit eines Staates und dem Umfang seiner Datenschutzgesetzgebung.

An vorderster Stelle rangieren westliche Länder, genauer gesagt die EU mit ihrer Direktive zum Datenschutz. An deren rigide Vorgaben zum Schutz personenbezogener Daten und Reglementierung staatlicher Zugriffe auf Unternehmensdaten kommen asiatische und südliche Staaten nicht heran. Innerhalb der EU führen wiederum Deutschland, Großbritannien, die Niederlande sowie Spanien. Das Safe-Harbour-Programm ermöglicht es europäischen Firmen, auch personenbezogene Daten in den USA zu speichern.

Weit auslegbare Gesetze

An zweiter Stelle kommt die Staatengruppe der Asiatisch-Pazifischen Wirtschaftskooperation (APEC), der auch die USA, Kanada, Australien und Neuseeland angehören. Mangels einer starken Gesetzgebung ist insbesondere in den asiatischen Ländern der uneingeschränkte Zugriff der Behörden auf Daten von Unternehmen möglich. In Hongkong etwa sind die geltenden Gesetze sehr weit auslegbar und erlauben willkürlichen Datenzugriff. Die APEC-Staaten planen ein neues Regelwerk, das dies ändert.

Praktisch keine Regelungen zu Datenschutz und -Sicherheit gibt es in Afrika, Russland, Mittel- und Südamerika. Ein Gesetz in Mexiko, das für das Abfangen elektronischer Kommunikation einen richterlichen Beschluss vorschreibt, wird in der Regel nicht befolgt. Laut einiger Berichte setzen die Behörden Spionagesoftware ein. In Brasilien zwingen spezielle Gesetze die Unternehmen, Rechenzentren im Inland für Informationen über Brasilianische Staatsbürger anzulegen.

USA haben noch großen Einfluss

Die USA, die formal zu den APEC-Staaten gehören, haben einen Sonderstatus. Wurden sie vor der NSA-Affäre noch von vielen als eine Art Aufseher über das Internet betrachtet, haben sie danach viel von ihrer Reputation eingebüßt. Noch immer haben sie aber laut der Intralinks-Studie einen großen Einfluss: Zum einen, da sie der größte Anbieter von IT-Diensten weltweit sind, zum anderen, da die Mehrheit des weltweiten Datenverkehrs über Switches und Server in den USA läuft oder von ihren Interessen kontrolliert werde. Das "Fünf-Augen-Abkommen" zwischen den USA, Großbritannien, Kanada, Neuseeland und Australien ermöglicht es den fünf Ländern, auf Geheimdienstinformationen im direkten Austausch zuzugreifen. Dadurch können sie auf Daten von EU-Bürgern zu zugreifen, obwohl sie eigentlich nicht den strikten Standards der europäischen Datensicherheitsdirektive gerecht werden.

Für Unternehmen ist es nicht nur wichtig, den Standort der eigenen Daten zu kennen, erläutert Michael Frauen von Intralinks, sie sollten außerdem "verstehen, dass auch ein Tochterunternehmen in Mexiko ausreichen kann, um dem Mexikanischen Staat unter Umständen Zugriff zu den eigenen Daten gewähren zu müssen. Und die Daten müssen sich noch nicht einmal 'niederlassen': Alleine der Transit von Daten durch ein Staatsgebiet kann bereits für Dateneinsicht ausreichen", erläutert Frauen. "Und selbst wenn die Daten weder in einem bestimmten Land liegen, noch das Land im Glasfaserkabel durchlaufen, könnten die Behörden dieses Landes dennoch Zugriff erhalten. Internationale Verträge zur Rechtshilfe (MLAT) bieten Mechanismen, durch die Ermittler eines Landes ihre Kollegen in einem anderen Land um Zugriff auf Daten bitten können, zu denen sie selbst weder physischen noch legalen Zugang haben."

Die von Intralinks erstellte Karte zeigt anhand der Farben, welche Länder strenge Gesetze für Datenschutz und strenge Gesetze gegen einen staatlichen Zugriff (lila), Gesetze gegen Zugriffe durch staatliche Behörden und gültige Datenschutzregeln (grün), minimale Regulierungen für staatlichen Zugriff und Datenschutz (orange), vernachlässigbare Regeln (rot) und keinerlei Regulierungen und Datenschutz (türkis) haben. (ur)