Analysen
22. Februar 2012
AUTOR: Businesscloud.de
Die Europäische Union will den Datenschutz auf eine einheitliche Grundlage stellen. Das nutzt nicht nur dem Verbraucher, sondern auch den Anbietern von Cloud-Computing-Diensten wie Pironet NDH. Mit ihr soll alles besser werden, so in Viviane Reding. Die Rede ist von der Novellierung der EU-Datenschutzrichtlinie, die die EU-Justizkommissarin Ende Januar 2012 offiziell vorstellte. Die Vorschläge sehen ein einheitliches Datenschutzrecht in Europa vor, das sowohl Privatleuten als auch Unternehmen Verbesserungen bringen. Allerdings gibt es nach Ansicht von Fachleuten noch Nachbesserungsbedarf, vor allem was die Regeln für Cloud-Computing-Dienste betrifft. Dem Thema Sicherheit von privaten und Firmendaten in der Cloud will die Europäische Union auf den Leib rücken, in Form einer überarbeiten Datenschutzrichtlinie. Entsprechende Vorschläge unterbreitete die EU-Justizkommissarin Viviane Reding am 25. Januar. "Wir stehen auf dem Standpunkt, dass Unternehmen, die ihre Dienste an europäische Verbraucher richten, direkt dem Europäischen Datenschutzrecht unterliegen sollten", so EU-Justizkommissarin Viviane Reding und Bundesverbraucherministerin Ilse Aigner in einer gemeinsamen Erklärung im Januar 2012 in Brüssel. "Wer sich nicht daran hält, sollte keine Geschäfte in unserem Binnenmarkt machen dürfen. Dies gilt auch und vor allem für Soziale Netzwerke, deren Nutzer in der EU wohnhaft sind." EU-Justizkommissarin Viviane Reding stellt den Entwurf der neuen EU-Datenschutzverordnung am 25. Januar 2012 in Brüssel vor. (Bild: EU-Kommission) Die Europäische Union müsse sicherstellen, dass sich diese Netzwerke, aber auch Cloud-Computing-Service-Provider generell, an EU-Recht hielten und dass EU-Recht angewendet werde. Diese Vorgabe soll auch dann gelten, wenn sich ein Anbieter außerhalb der EU befindet oder Daten in "Clouds" speichert. Eine klare Ansage, die vor allem bei Cloud-Service-Anbietern mit Sitz im Ausland, speziell in den USA, Widerstand hervorruft.

Das Patriot Act kollidiert mit dem EU-Vorschlag

Denn die amerikanischen Anbieter von Cloud-Computing-Diensten sind an das Patriot Act gebunden. Dieses Gesetz, das nach den Anschlägen vom 11. September 2001 verabschiedet wurde, verpflichtet alle US-Firmen, auf Anfrage Daten ihrer Kunden an amerikanische Sicherheitsbehörden herauszugeben, auch dann, wenn diese Informationen in Rechenzentren in Europa, Asien oder anderen Kontinenten lagern. Das bedeutet, dass Amazon, Facebook, Google, Microsoft, Oracle und Co. gewissermaßen wie einst Odysseus zwischen Scylla und Charybdis geraten, wenn die EU-Datenschutznovelle in der vorliegenden Form durchgeht: Auf der einen Seite verpflichtet sie das Patriot Act zur Herausgabe von Kundendaten, auf der anderen untersagt dies das EU-Recht. Es bahnt sich somit eine höchst spannende Auseinandersetzung an. Die Lobbyisten der US-Service-Provider haben denn bereits damit begonnen, Viviane Reding unter Beschuss zu nehmen und diesen Passus im EU-Entwurf als nicht akzeptabel zu brandmarken. Sollten die EU-Kommissarin und ihre Kollegen hart bleiben, würden davon Cloud-Service-Provider mit Sitz in der EU profitieren, etwa Pironet NDH, zumindest aber Unternehmen, welche die Vorgaben der Europäischen Union unterstützen.

Längst fällig: Ablösung der veralteten Regelungen

Doch bevor wir auf weitere Details der neuen EU-Vorschläge eingehen, ein Blick zurück. Die neuen Regelungen sollen die fast 17 Jahre alte EU-Richtlinie 95/46 ablösen. Dass diese nicht mehr zeitgemäß ist, steht außer Frage. So ist in der Richtlinie weder von Cloud Computing noch von sozialen Netzwerken die Rede. Kein Wunder, gibt es die beiden genannten Technologien und entsprechende Anbieter erst seit wenigen Jahren. Ein weiterer Schwachpunkt der alten Richtlinie: Sie ließ den Mitgliedsstaaten der Europäischen Union breiten Raum für die Umsetzung in nationales Recht. Das führte dazu, dass sich ein Wildwuchs von Regelungen etablierte. Ein Cloud-Computing-Service-Provider muss beispielsweise mittlerweile 27, nach Beitritt Kroatiens 28 unterschiedliche nationale Regelungen in puncto Datenschutz beachten, wenn er seine Dienste im EU-Raum anbieten möchte. Dies erinnert eher an die guten alten Zeiten europäischer Kleinstaaterei als an ein einen homogenen Wirtschafts- und Rechtsraum.

Details der Neuregelung der EU-Datenschutzbestimmungen

Die neue Version der europäischen Datenschutzregelungen enthält die unten aufgeführten Kernpunkte. Diese sollen als "EU-Regulation" (Regulierung) unmittelbar nach der Verabschiedung durch das EU-Parlament für alle EU-Länder bindend sein und bestehende nationale Regelungen unwirksam machen:
  • Jedes Unternehmen, das personenbezogen Daten speichert oder verarbeitet, muss die EU-Datenschutzregeln respektieren. Das gilt auch für Firmen, die ihren Sitz im Ausland haben, jedoch in der EU Cloud-Computing-Services anbieten. Wie bereits angesprochen, ist das vor allem für amerikanische Anbieter von Cloud-Computing-Diensten eine ernst zu nehmende Hürde, um nicht zu sagen eine Bedrohung für deren Geschäftsaktivitäten in der EU.
  • Europaweiter Geltungsbereich: Die Regelungen gelten in jedem EU-Land. Das Aufweichen durch nationale Gesetze ist unzulässig.
  • Datenschutzbeauftragte: Firmen und öffentliche Einrichtungen mit mehr als 250 Mitarbeitern müssen einen Datenschutzbeauftragten bestimmen. In Deutschland ist dies bereits durch das Bundesdatenschutzgesetz vorgegeben.
  • Informationspflicht bei Datenpannen: Datenlecks müssen innerhalb von 24 Stunden den Betroffenen und den entsprechenden Aufsichtsgremien gemeldet werden.
  • Zustimmungspflicht von Nutzern: Werden personenbezogene Daten erfasst und bearbeitet, etwa von einer Social-Media-Plattform oder im Rahmen von Cloud-Computing-Verträgen, müssen die betroffenen Personen ausdrücklich zustimmen.
  • Einfacherer Provider-Wechsel: Nutzer von Cloud-Services haben das Recht, ihre Daten beim Wechsel des Providers mitzunehmen. Generell soll der Wechsel des Cloud-Computing-Service-Providers erleichtert werden.
  • "Recht auf Vergessen": Nutzer können verlangen, dass der Provider, etwa der Betreiber eines sozialen Netzwerks, ihre Daten auf Verlangen des Users löscht.
  • Strafen: Unternehmen, die gegen die EU-Datenschutzrichtlinien verstoßen, sollen bis zu 2 Prozent ihres Jahresumsatzes als Strafe abführen müssen. Ursprünglich lag die maximale Höhe der Strafe sogar bei 5 Prozent des Umsatzes. Nach massiven Protesten amerikanischer IT-Firmen und von US-Behörden reduzierte die EU-Kommission den Betrag auf weniger als die Hälfte.
  • Geltungsbereich für Datenverarbeitung im Ausland: Hoch umstritten ist der Passus, dass die EU-Datenschutzregelungen auch für Unternehmen gelten, die Daten von EU-Bürger außerhalb der Europäischen Union verarbeiten oder die in der EU geschäftlich aktiv sind.
  • Zentraler Ansprechpartner: Für ein Unternehmen soll künftig die nationale Datenschutzbehörde des EU-Landes, in dem es seinen Hauptsitz hat, der alleinige Ansprechpartner in Punkten des Datenschutzes sein. Das spart laut der EU Unternehmen bis zu 130 Millionen Euro im Jahr.
Hinzu kommt eine EU-Direktive zum Austausch von Daten zwischen in- und ausländischen Behörden. Sie soll regeln, welche Datenschutzregeln gelten, wenn Polizei oder Justizbehörden innerhalb der EU oder mit Behörden anderer Länder Informationen austauschen. Eine Direktive ist nicht so stringent wie eine EU-Regulierung. Sie definiert nur eine Zielvorgabe. Wie diese erreicht wird, sprich in Form welcher nationalen Gesetze, bleibt den EU-Mitgliedsländern überlassen.

Problem Nummer eins: Was ist mit anderen Wirtschaftsräumen?

Unter Fachleuten sind etliche dieser Regelungen umstritten. So stellt der Deutsche Anwaltsverein in einer Stellungnahme zu dem EU-Entwurf fest: "Eine Änderung der derzeitigen EU-Datenschutzrichtlinien, die das Cloud Computing erleichtert und gleichzeitig das Datenschutzniveau bewahrt, ist rein praktisch kaum vorstellbar." Das Kernproblem sei, dass Drittländer wie die USA andere Datenschutzkonzeptionen verfolgten und es daher nicht möglich sei, bei Cloud-Computing-Diensten einheitliche Datenschutz- und Sicherheitsregelungen durchzusetzen. Ein weiteres Problem in diesem Zusammenhang, auf das der Deutsche Anwaltsverein hinweist: Wenn im Rahmen von Cloud-Computing-Diensten personenbezogene Daten in Ländern außerhalb der EU verarbeitet werden sollen, müssen Standardvertragsklauseln entwickelt werden. Das wiederum ist problematisch, weil der Service-Provider nicht im Vorfeld weiß, welche User aus welchen Ländern seine Cloud-Computing-Services nutzen. "Ein Verzicht auf solche Vertragsklauseln ist nur mit einer Anpassung an andere Datenschutzkonzeptionen möglich. Ob diese immer das gleiche Schutzniveau haben, scheint fraglich", die Rechtsexperten. Deshalb sei es wichtig, zumindest mit einer Reihe weiterer Staaten, speziell den USA, zu einem Übereinkommen über datenschutzrechtliche Mindeststandards zu kommen, die dann auch überall gesetzlich durchgesetzt werden müssten. "Ohne solche Mindeststandards wird ein Cloud Computing mit Dienstleistern außerhalb der EU nicht möglich sein", warnt der Anwaltsverein. "Andernfalls drohen beispielsweise staatliche Zugriffe ausländischer Behörden am Sitz des Dienstleisters. Gerade aus anwaltlicher Sicht kann es  nicht sein, dass ausländische Behörden auf Daten zugreifen, die im Sitzland des Rechtsanwalts dem Anwaltsgeheimnis unterliegen."

Auch Unternehmen wollen übergreifende Regelungen

Eine vergleichbare Argumentation verfolgen Unternehmen, die an einer Public Consultation zum Thema Cloud Computing teilnahmen, welche die für die Informationsgesellschaft und Medien zuständige EU-Kommission zwischen Mai und August 2011 durchführte. Rechte und Verantwortlichkeiten seien im Bereich Cloud Computing unklar, wenn Dienste in mehreren Ländern angeboten und Daten in unterschiedlichen Regionen verarbeitet würden. Es sei unabdingbar, dass sich zumindest die führenden Industrienationen auf einige Basisregeln verständigten, die in allen Ländern Gültigkeit hätten. Doch danach sieht es derzeit nicht aus. Speziell amerikanische Cloud-Computing-Service-Provider sind mit den Regelungen nicht einverstanden. Ron Zink, Chief Operating Officer von Microsoft Europa, etwa hält die Vorschläge für zu restriktiv und sieht Nachbesserungsbedarf

Problem Nummer zwei: Die Umsetzung des Kontrollrechts von Auftraggebern

Nicht schlüssig ist nach Ansicht von Fachleuten die im EU-Entwurf geforderte Kontrollierbarkeit der Datenschutzmaßnahmen durch den Auftraggeber bei der Auswahl und im Betrieb. Zum einen deshalb, weil sich Cloud-Computing-Rechenzentren Tausende von Kilometern entfernt vom Auftraggeber befinden können. Eine Kontrolle vor Ort ist somit nicht praktikabel. Zum anderen ist es dank des Einsatzes von Virtualisierung sowie des automatisierten Betriebs von Cloud-Computing-Data-Centern schwer, die Daten exakt zu lokalisieren. Der Anspruch, dass der Auftraggeber "Herr der Daten" bleiben soll, lässt sich in der Praxis kaum umsetzen. Diese Prüfvorgänge könnten Fachleute im Auftrag des Cloud-Computing-Nutzers vor Ort durchführen. Aber auch in diesem Fall ist dies nur eine mittelbare Kontrolle, der Nachweis der Beherrschbarkeit der Daten in der Cloud fehlt. Abhilfe könnten automatische Verfahren schaffen, die auf Standards basieren und entsprechend zertifiziert sind. Das wiederum setzt voraus, dass sowohl der Nutzer als auch Anbieter von Cloud-Computing-Diensten entsprechende Audits durchführen lassen müssen – ein kostspieliger und zeitaufwändiger Prozess.

Problem Nummer drei: EU-Recht gegen Grundgesetz

Auf der "Computer, Privacy and Data Protection"-Konferenz am 25. Januar in Brüssel kritisierte Professor Gerrit Hornung von der Juristischen Fakultät der Universität Passau, dass die Europäische Kommission ein Interpretationsmonopol der Regelungen für sich beanspruche. Zudem seien etliche Details der Datenschutz-Regelungen noch nicht definiert worden. Prof. Dr. Johannes Masing, Richter am Bundesverfassungsgericht in Karlsruhe, sieht einen Konflikt zwischen dem Grundgesetz und der Neuregelung des EU-Datenschutzes. (Bild: BVerfG) Einen möglichen Konflikt zwischen dem Grundgesetz und der EU-Reglung sieht laut einem Bericht der Süddeutschen Zeitung der Verfassungsrichter Johannes Masing. Denn EU-Regulierungen sind nationalem Recht übergeordnet, auch Verfassungsrecht. Damit sind laut Masing 30 Jahre Rechtsprechung zu den Themen Datenschutz und Meinungsfreiheit in Deutschland Makulatur. In der Tat ist dieser Einwand nicht von der Hand zu weisen. Ein Konflikt zwischen EU-Recht und deutschem Verfassungsrecht ist für die Bundesrepublik nur schwer hinnehmbar. In diesem Punkt wird es mit Sicherheit zu kontroversen Diskussionen kommen. Würde die EU-Regelung "gewinnen", hätte dies für die Bundesbürger einen weiteren Nachteil: Sie könnten nicht mehr das Bundesverfassungsgericht anrufen, denn dieses wäre nicht mehr für Fragen rund um die Meinungsfreiheit und den Datenschutz zuständig. Der Europäische Gerichtshof ist jedoch kein Ersatz, weil ein einzelner EU-Bürger diesen nicht anrufen kann. Andere Juristen, wie etwa Thomas Stadler, Fachanwalt für IT-Recht in Freising, argumentieren, dass sich noch nicht abschätzen lasse, ob die EU-Regulierung derart stark in das verfassungsrechtlich garantierte Recht auf Meinungsfreiheit eingreife, wie das Masing behaupte. Die hängt laut Stadler von der Ausformulierung der EU-Regeln ab. Und hier haben auch die Staaten ein Mitspracherecht.

Problem Nummer vier: Zu eng gefasste Regeln für Cloud Computing

Die britische Anwaltskanzlei Bird & Bird begrüßt den Vorstoß der Europäischen Union. Sie erwartet, dass damit der Boden für einheitliche Datenschutzregeln in der EU bereitet werde. Dies werde auch die Nutzung von Cloud-Computing-Diensten erleichtern. Allerdings kritisiert Bird & Bird, dass die neue Datenschutzregelung den Abschluss von benutzerspezifischen Service Level Agreements zwischen dem Anbieter und User von Cloud-Diensten zu stark einschränken könnten. Ein weiterer Kritikpunkt: Zwar wolle der EU-Entwurf den Wechsel zu einem anderen Cloud-Service-Provider erleichtern, es fehlt jedoch derzeit an technischen Standards für Cloud-Dienste. Solange diese nicht existierten, drohe weiterhin die Gefahr des "Vendor Lock-in". Auch hier gilt, wie bei einigen der oben genannten Punkten: Wenn die EU die Portabilität von Cloud-Computing-Daten sicherstellen möchte, müssen Detailregelungen erarbeitet werden. Ähnlich wie der Umsetzung des Kontrollrechts des Auftraggebers von Cloud-Computing-Services wäre es ein gangbarer Weg, Standards zu entwickeln, die den "Umzug" von Daten von einem Provider zu einem anderen ermöglichen. Dies kann jedoch nur in Zusammenarbeit mit den führenden Anbietern von Cloud-Computing-Diensten erfolgen, insbesondere US-Firmen. Ansonsten droht eine Spaltung der Cloud-Computing-Welt in unterschiedliche Sphären.

Wie es jetzt weitergeht

Anbieter von Cloud-Computing-Services wie Pironet NDH können von einer EU-weiten Datenschutzregelung profitieren. Bislang müssen Cloud-Service-Provider, die ihre Angebote in mehreren EU-Staaten anbieten möchten, unterschiedliche Datenschutzregelungen beachten – ein deutlicher Mehraufwand. (Bild: Pironet NDH) Bis die Vorschläge der EU-Justizkommission in geltendes Recht umsetzt werden, dürften zwei bis drei Jahre vergehen. Das heißt, vor 2014 oder 2015 ist nicht damit zu rechnen, dass die Regulierung in der Praxis greift. Formal gesehen muss das Europäische Parlament die Regelungen "absegnen". Zudem können die Mitgliedsstaaten der EU Änderungswünsche formulieren. Der Entwurf in der jetzt vorliegenden Form dürfte somit noch Änderungen erfahren. Bereits jetzt macht sich beispielsweise die Lobbyarbeit von IT-Unternehmen bemerkbar, vor allem solchen aus den USA und Großbritannien. In beiden Ländern gelten deutlich laxere Datenschutzbestimmungen, als sie bereits in den meisten EU-Staaten an der Tageordnung sind. Daher fürchten Microsoft, Amazon, Google, Facebook und andere Firmen, dass sie durch die neuen EU-Regelungen in ihren Aktivitäten eingeschränkt werden. Bislang ist aus beiden Ländern wenig konstruktive Kritik an den Vorschlägen von der Justizkommissarin zu hören. Es werden eher subtile Drohungen geäußert, etwa dass es zu einer Beeinträchtigung der Wirtschaftsbeziehungen zwischen der EU und den USA kommen könne. Dieses Szenario skizziert beispielsweise das US-Außenhandelsministerium. De facto dürfte es jedoch zu einem Kompromiss kommen, der einige der Vorgaben des jetzt vorliegenden EU-Entwurfs abschwächt, die Kernpositionen jedoch nicht beeinträchtigen wird. Gut ist in jedem Fall, dass die EU mit dem Entwurf den Versuch unternimmt, die Kleinstaaterei in Bezug auf den Datenschutz in Europa zu beseitigen. Dies wird nicht nur dem Verbraucher zugute kommen, sondern auch den Anbietern von Cloud-Computing-Diensten und deren Kunden. Nicht nur wegen der geringeren Kosten, sondern auch deshalb, weil innerhalb eines der größten Wirtschaftsräume der Welt dann eine einheitliche Rechtsgrundlage für Cloud-Computing-Services besteht.

Seite teilen

Must Reads von anderen Tech-Seiten
silicon.de: Safe-Harbor-Nachfolger – EU-Datenschützer verlangen Nachbesserungen Weiterlesen

 

CANCOM.info: Drei Gründe für die Hybrid Cloud – Das leistet der Cloud-Mix in Unternehmen Weiterlesen

 

Scope Online: Cloud Computing in der Produktion – Drei Mythen über Business Cloud-Lösungen  Weiterlesen

Pressemitteilungen

Köln, den 2. August 2016 – Der ERP-Spezialist proALPHA stellt die Cloud-Variante seines ERP-Systems ab sofort über die Hosted ... Weiterlesen
München/Köln, den 30. Juni 2016 – In der umfassendsten Analyse des deutschen Marktes für Cloud-Computing-Services im B2B-Bereich ... Weiterlesen
Köln, den 21. Juni 2016 – PIRONET macht Anwendern den Umstieg auf die neue Anwendungssuite SAP S/4HANA ab sofort besonders leicht: Kunden ... Weiterlesen
München/Köln, 19. April 2016 – Der IT-Konzern CANCOM hat einen neuartigen Marktplatz für Softwareanwendungen aus der Cloud ... Weiterlesen