Analysen
11. November 2015
AUTOR: Businesscloud.de

Safe Harbor: Neuer Hafen für Cloud-Daten gesucht

Im Normalfall löst ein Urteil eines EU-Gerichts bei US-Behörden und -Unternehmen höchstens ein müdes Gähnen aus. Das Safe-Harbor-Urteils war jedoch ein Paukenschlag – der für Nachhall gesorgt hat. Der ein oder andere amerikanische Ermittlungsrichter, FBI-Mitarbeiter und Cloud-Computing-Anbieter ist sicherlich aus allen Wolken gefallen, als der Europäische Gerichtshof (EuGH) am 6. Oktober 2015 sein Urteil im Fall Facebook verkündete. Ein unerwarteter Effekt der Entscheidung: Die EU-Richter erklärten damit auch das „Safe-Harbor“-Abkommen für obsolet, mit sofortiger Wirkung.

Business_Cloud_SafeHarbor - Teil I

Trügerische Idylle: Der Europäische Gerichtshof hält die Umsetzung von Datenschutzmaßnahmen im Rahmen des Safe-Harbor-Abkommens durch die USA für unzureichend.

Der Gerichtshof gab dem österreichischen Juristen Max Schrems Recht. Dieser hatte dagegen geklagt, dass Facebook seine Daten, also personenbezogene Informationen, auf Servern in den USA speichert. Facebook hatte darauf verwiesen, dass diese Datenübermittlung zulässig sei. Dies gehe aus dem genannten Safe-Harbor-Abkommen zwischen den USA und der Europäischen Union hervor.

Amerikanische Handelskammer kritisiert das Urteil – Die EU winkt ab

Durch das Urteil fühlen sich amerikanische Interessenverbände auf den Schlips getreten. „Heute ist kein guter Tag für den Datenschutz“, sagte beispielsweise Bernhard Mattes, Präsident von AmCham Germany, der deutschen Vertretung der amerikanischen Handelskammer. „Safe Harbor ist eine wichtige Brücke zwischen zwei unterschiedlichen Datenschutzsystemen. Wer diese Brücke einreißt, schadet Konsumenten und Unternehmen auf beiden Seiten des Atlantiks.“

Dass es nicht um das Einreißen von Brücken geht, sondern vielmehr darum, den Schutz von Daten europäischer Unternehmen und Bürger in den USA auf eine sichere Grundlage zu stellen, übergeht Mattes geflissentlich. Auch die Tatsache, dass amerikanische Geheimdienste und Behörden mehrfach deutlich gemacht haben, was sie von Datenschutzregelungen halten, die in anderen Weltregionen gelten. Das belegt beispielsweise die Affäre um die Spionagepraktiken der National Security Agency (NSA).

Laxe Umsetzung von Safe Harbor

Das Safe-Harbor-Abkommen schlossen die USA und die EU-Kommission im Jahr 2000 ab. Eine solche Vereinbarung war notwendig, weil die USA nicht die Anforderungen in Bezug auf den Schutz von Daten erfüllen, die in der Europäischen Union gelten. Amerikanische Unternehmen, etwa Cloud-Service-Provider, verpflichten sich im Rahmen von Safe Harbor dazu, die Anforderungen von EU-Datenschutzstandards zu erfüllen.

Business_Cloud_SafeHarbour_History

Die Entwicklung des Datenschutzes in Europa,Quelle: Ernst-Oliver Wilhelm, iapp: Brief History of Safe Harbor

Dumm ist nur, dass sich nicht nachprüfen lässt, in welchem Maß ein US-Unternehmen diese Selbstverpflichtungserklärung in der Praxis umsetzt. Wie der Berliner Anwalt Thomas Schwenke in einem Blog-Beitrag ausführt, stellte sich beispielsweise heraus, dass in vielen Fällen eine Prüfung der Safe-Harbor-Zertifikate unterblieb. Amerikanische Firmen können sich gemäß Safe Harbor selbst zertifizieren. Zudem hätten US-Unternehmen sehr wohl entgegen den Vereinbarungen Kundendaten ausgewertet. Der NSA-Skandal habe dann das Fass zum Überlaufen gebracht.

Cloud-Anbieter, Hosting-Unternehmen – alle sind mit im Boot

Wer ist nun davon betroffen, dass die USA kein „sicherer Datenhafen“ mehr sind? Laut Dr. Carsten Ulbricht von der Kanzlei Bartsch Rechtsanwälte in Stuttgart alle „Vertragsbeziehungen, bei denen personenbezogene Daten direkt oder indirekt in die USA übermittelt werden“. Das gilt für Cloud-Services von Microsoft (OneDrive), Amazon Web Services, Salesforce.com und Google (Apps). Aber auch Dienste für die Analyse von Web-Sites wie Google Analytics sind betroffen, zudem Werbenetzwerke wie Google Adwords. Dies liest sich wie ein „Who is Who“ der Cloud-, Internet- und Hosting-Branche.

Dr. Ulbricht zufolge sind somit Datenübermittlungen an solche Dienste illegal, sofern sie sich auf Safe Harbor als Legitimationsgrundlage berufen. Allerdings gibt es für Nutzer von Cloud-Services „Made in USA“ weitere Möglichkeiten, eine Basis für den Austausch von personenbezogenen Daten zu schaffen. Darunter ist jedoch keine, die praktikabel ist oder sich mittelfristig mit dem jüngsten EuGH-Urteil vereinbaren lässt.

Eine Möglichkeit besteht laut Schwenk und Ulbricht darin, von allen Betroffenen (Kunden, Mitarbeitern, Usern et cetera) die Einwilligung einzuholen, dass sie mit der Datenverarbeitung in den USA einverstanden sind. Dies ist jedoch ein höchst aufwändiges Verfahren und somit in der Praxis kaum umzusetzen.

Unklarheit bei EU-Standardvertragsklauseln

Eine weitere Option besteht darin, dass Unternehmen mit einem amerikanischen Cloud-Service-Provider eine Vereinbarung auf Basis der EU-Standardvertragsklauseln schließen. Diese erlauben ebenfalls, wie bislang Safe Harbor, eine Bearbeitung von personenbezogenen Daten in Ländern wie den USA. Die Artikel-29-Datenschutzgruppe, ein Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, hat explizit festgestellt, dass die Vertragsklauseln auch nach dem Urteil des EuGH Bestand haben. Daher sollten Nutzer von Cloud-Diensten, die Anbietern mit Hauptsitz in den USA bereitstellen, auf den Abschluss solcher Verträge bestehen.

Der Haken dabei ist, dass auch die EU-Standardvertragsklauseln mit dem Urteil des EuGH hinfällig sein können. Denn sie weisen denselben „Geburtsfehler“ wie Safe Harbor auf: Sie basieren darauf, dass der Vertragspartner eines Cloud-Nutzers darauf vertrauen muss, dass amerikanische Cloud-Service-Provider ein vergleichbares Datenschutzniveau bieten wie Provider mit Hauptsitz in der EU. Dazu sind jedoch amerikanische Service-Provider gar nicht in der Lage, weil in den USA „liberalere“ Datenschutzbestimmungen gelten als in Europa.

Die Konsequenz: „Der Abschluss von EU-Standard-Vertragsklauseln ändert an den erheblichen Mängeln der Rechtsordnung in den USA gar nichts“, so Oliver Stutz, Syndikusanwalt von datenschutz nord, einem Beratungshaus für Datenschutz und IT-Sicherheit, in einem Blog-Beitrag.

Auch Binding Rules helfen nicht weiter

Eine weitere Alternative zu Safe Harbor ist sind „Binding Corporate Rules“. Dies sind laut Dr. Carsten Ulbricht verbindliche Konzernregeln zum Datenschutz, die sich Unternehmen selbst auferlegen. Solche BCR müssen von den entsprechenden Datenschutzbehörden genehmigt werden. Das bedeutet für Unternehmen einen hohen Aufwand.

Business_Cloud_SafeHarbor_Facebook

Stein des Anstoßes: Der österreichische Juris Max Schrems verklagte Facebook, weil der Social-Media-Konzern seine Daten auf IT-Systemen in den USA speicherte und bearbeitete. Bild: Facebook

Zudem, so Olivers Stutz, dürften auch BCR nichts dagegen ausrichten, dass die Rechtsordnung in den USA einen anderen Ansatz verfolgt als das Datenschutzrecht in der Europäischen Union: Staatlichen Einrichtungen in den USA wird ein weit reichender „Durchgriff“ auf personenbezogene Daten eingeräumt, etwa um terroristische Aktivitäten zu unterbinden. Die gesetzlichen Grundlagen dafür sind vorhanden, etwa das Patriot Act, das nach den Anschlägen auf das World Trade Center am 11. September 2001 verabschiedet wurde.

Das ernüchternde Fazit von Stutz: "Auch wenn personenbezogene Daten von EU-Bürgern auf der Grundlage von EU-Standardvertragsklauseln von US-Unternehmen verarbeitet werden, haben Geheimdienste und Behörden in gleichem Maße Zugriff auf die Daten, und Betroffene haben in gleichem Maße keinen Rechtsschutz beziehungsweise keine Möglichkeit einer gerichtlichen Überprüfung der Grundrechtseingriffe.“

Klare Aussagen von den deutschen Datenschutzbeauftragten

In einem Positionspapier der Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) von Ende Oktober stellen die Fachleute denn auch fest: „Die Datenschutzbehörden werden derzeit keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von BCR oder Datenexportverträgen erteilen.“ Und weiter: „Soweit Datenschutzbehörden Kenntnis über ausschließlich auf Safe-Harbor gestützten Datenübermittlungen in die USA erlangen, werden sie diese untersagen.“

Heißt das nun, dass jedes Unternehmen, das OneDrive, Amazon Web Services oder Salesforce.com nutzen, eine Straftat begeht? Nein, zumindest noch nicht. Denn neue Regelungen lassen sich nicht aus dem Hut zaubern. Das sehen auch die Artikel-29-Gruppe und die DSK ein. Beide Gruppen dringen darauf, dass die EU und die USA neue Richtlinien erarbeiten. Das kann jedoch Monate, vielleicht sogar Jahre dauern. Zudem ist in hohem Maße fraglich, ob sich die USA dazu bewegen lassen, ihre Datenschutz-Bestimmungen zu verschärfen.

Lesen Sie im zweiten Teil des Beitrags, warum „Safe Harbor 2.0“ her muss. 


Seite teilen

Must Reads von anderen Tech-Seiten
silicon.de: Safe-Harbor-Nachfolger – EU-Datenschützer verlangen Nachbesserungen Weiterlesen

 

CANCOM.info: Drei Gründe für die Hybrid Cloud – Das leistet der Cloud-Mix in Unternehmen Weiterlesen

 

Scope Online: Cloud Computing in der Produktion – Drei Mythen über Business Cloud-Lösungen  Weiterlesen

Pressemitteilungen

München/Köln, den 30. Juni 2016 – In der umfassendsten Analyse des deutschen Marktes für Cloud-Computing-Services im B2B-Bereich ... Weiterlesen
Köln, den 21. Juni 2016 – PIRONET macht Anwendern den Umstieg auf die neue Anwendungssuite SAP S/4HANA ab sofort besonders leicht: Kunden ... Weiterlesen
München/Köln, 19. April 2016 – Der IT-Konzern CANCOM hat einen neuartigen Marktplatz für Softwareanwendungen aus der Cloud ... Weiterlesen
München/Köln, den 18. Februar 2016 – Das Immobilien-Unternehmen Tectareal hat nach der Herauslösung aus dem Hochtief-Konzern ... Weiterlesen