Analysen
18. November 2015
AUTOR: Businesscloud.de

Safe Harbor: Neuer Hafen für Cloud-Daten gesucht – Teil II

Im ersten Teil des Beitrags haben wir erläutert, welche Reaktionen das Urteil des Europäischen Gerichtshofs (EuGH) vom 6. Oktober 2015 ausgelöst hat und welche Folgen das für die Anwender von Cloud-Diensten hat.

Safe Harbor 2.0 muss her

Auch Věra Jourová, die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung, bezieht klar Stellung: „Unser Ziel ist es, ein neues Abkommen für den transatlantischen Datenaustausch zu erarbeiten, das die aktuellen Forderungen des Europäischen Gerichtshofs berücksichtigt.“ Auch die USA müssten diese Anforderungen in ihrer Gesetzgebung und deren Umsetzung berücksichtigen, so Jourová.

Business_Cloud_SafeHarbor - Teil II

Laut Europäischem Gerichtshof ist „Safe Harbor“ genau das nicht, was es vorgibt zu sein: Ein sicherer Datenhafen.

Die Hoffnungen ruhen nun auf einer überarbeiteten Version des Safe-Harbor-Abkommens, gewissermaßen einem Safe Harbor 2.0. Verhandlungen zwischen den USA und der EU über eine solche Neuregelung laufen bereits seit 2013 – bislang ohne greifbaren Erfolg. Das könnte sich angesichts der Gefahr ändern, dass US-Unternehmen, speziell Cloud-Service-Providern, der Zugang zum Markt Europa künftig verschlossen sein könnte.

US-Provider positionieren sich in Europa – aber ...

Um Bedenken von europäischen Kunden in puncto Datenschutz auszuräumen, haben amerikanische Cloud-Service-Provider eine Gegenstrategie entwickelt: Alle führenden Anbieter verfügen mittlerweile über Cloud-Rechenzentren in EU-Mitgliedsstaaten, etwa Microsoft in Irland, AWS und Salesforce.com in Frankfurt am Main, Google in Belgien und Finnland sowie Facebook in Schweden. In diesen Datacentern gelten somit die EU-Datenschutzbestimmungen. Zudem können Kunden festlegen, in welchen Cloud-Rechenzentren ihre Daten gespeichert werden sollen, etwa in einer Einrichtung in Europa.

Business_Cloud_SafeHarbour_EU_Kommission_vera_jourova

EU-Kommissarin Věra Jourová plädiert für ein neues Safe-Harbor-Abkommen zwischen den USA und der EU, das den Datenschutz in stärkerem Maße berücksichtigt. Bild: Europäische Kommission

Rechtsexperten sehen für europäische Nutzer von Cloud-Services daher zwei Optionen. Sie können einen Cloud-Service-Provider wählen, der in der EU beheimatet ist und damit die hier geltenden Datenschutzbestimmungen erfüllen muss. Das kann beispielsweise ein Anbieter aus Deutschland sein. Wer die Dienste eines US-Unternehmens nutzen möchte, sollte einen Anbieter bevorzugen, der in der EU ein Rechenzentrum betreibt. Dies ist nach Stand der Dinge aus juristischer Sicht die sicherste Lösung.

... US-Behörden wollen direkten Durchgriff auf Daten

Leider gibt es auch dabei einen Unsicherheitsfaktor: den Anspruch amerikanischer Gerichte, Cloud-Service-Provider mit Hauptsitz in den USA zur Herausgabe von Kundendaten zu zwingen, und das unabhängig davon, in welchem Rechenzentrum diese gespeichert sind. Einen Musterprozess in dieser Sache führt derzeit Microsoft. Ein New Yorker Gericht hat das Unternehmen Anfang 2015 dazu verurteilt, E-Mails eines Microsoft-Kunden herauszugeben, die im Datacenter in Irland lagern – also in einem Mitgliedsland der Europäischen Union, in dem die entsprechenden EU-Datenschutzgesetze gelten. Das übliche Vorgehen in solchen Fällen ist, dass ein ausländisches Gericht ein Rechtshilfeersuchen an Behörden in dem betreffenden Land stellt. Amerikanische Gerichte sehen das jedoch anders. Sie wollen einen direkten Durchgriff auf solche Informationen. Das Argument: Nicht der Standort eines Rechenzentrums und der Speicherort von Cloud-Daten sei entscheidend, sondern wer die faktische Kontrolle über diese Informationen hat – also Microsoft. Und da Microsoft ein US-Unternehmen sei, unterliege es amerikanischem Recht. Das wiederum räumt Behörden weit reichende Befugnisse ein.

Business_Cloud_SafeHarbor_Google_StGhislain_Belgien

Anbieter von Cloud-Services wie Google gehen dazu über, Rechenzentren in EU-Ländern zu betreiben (hier St. Ghislain in Belgien). Dadurch wollen sie die Vorgaben des EU-Datenschutzgesetzes erfüllen. Bild: Google

Seit September 2015 läuft ein Berufungsverfahren in Sachen Microsoft versus United States. Dessen Ergebnis wird maßgeblichen Einfluss darauf haben, ob und inwieweit amerikanische Cloud-Service-Provider in ihren Datacentern in Europa einen Datenschutz à la EU umzusetzen können. Angesichts der Brisanz des Verfahrens ist es nicht verwunderlich, dass mehr als 20 der größten amerikanischen Cloud-Service-Provider, IT-Unternehmen und Anbieter von Netzwerkausrüstung Microsoft unterstützen, darunter eBay, Salesforce, HP, Apple, Cisco und AT&T.

Die Zeit läuft ab

Die Artikel-29-Gruppe der EU räumt Unternehmen, die auf Basis von Safe Harbor personenbezogene Daten auf Servern in den USA speichern, bearbeiten oder dort bearbeiten lassen, eine Frist bis Ende Januar 2016 ein. Bis dahin müssen sie andere rechtliche Grundlagen für solche Transfers etablieren. Der Karlsruher Rechtsanwalt Timo Schutt spricht denn auch von einer „Galgenfrist „ für deutsche Unternehmen: „Jedes Unternehmen muss die vereinbarte Frist nutzen und bis zum 31.01.2016 die Datenübermittlungen umstellen, beispielsweise indem ausschließlich europäische Anbieter genutzt beziehungsweise auf Rechenzentren in der EU zurückgegriffen wird.“ Bestehende Vereinbarungen auf Basis der EU-Standardvertragsklauseln und Binding Rules behalten bis Ende Januar ihre Gültigkeit. Allerdings ist völlig unklar, was nach diesem Termin passiert. Es ist höchst unwahrscheinlich, dass bis dahin ein „Safe Harbor 2.0“ oder andere Regelungen mit den USA ausgehandelt wurden. Auf der absolut sicheren Seite sind nur Nutzer von Cloud-Diensten, die auf Service-Provider mit Sitz in der EU zurückgreifen. Dies gilt auch für amerikanische Cloud-Anbieter, die Rechenzentren in EU-Staaten unterhalten – vorbehaltlich des Ausgangs des Berufungsverfahrens von Microsoft. Sollte Microsoft dieses verlieren, könnte dies bedeuten, dass auch die Bearbeitung von personenbezogenen Daten in Rechenzentren unzulässig ist, die US-Unternehmen in der EU betreiben. Darauf zu vertrauen, dass die Datenschutzbehörden ein Auge zudrücken, wenn ein Unternehmen das Urteil des EuGH ignoriert, ist fahrlässig: „Da es hier um den Schutz von Grundrechten geht, müssten die deutschen Datenschutzbehörden ab sofort von sich aus aktiv werden und die Datenschutzpraxis und -regelungen der Unternehmen überprüfen“, sagt Günter Untucht , Leiter der EMEA-weiten Rechtsabteilung des japanischen IT-Sicherheitsanbieters Trend Micro. Spätestens ab Februar 2016 müssen sich Nutzer von Cloud-Services daher darauf gefasst machen, dass sie Besuch von Vertretern der Datenschutzbehörden bekommen.

Fazit

Welche Folgen das Microsoft-Urteil haben mag, oder wie auch immer die politischen Entscheidungen in Bezug auf die kurz-bis mittelfristigen Möglichkeiten eines Austauschs von personenbezogenen Daten zwischen der EU und den USA ausfallen mögen: Einzel-Abkommen mit jedem einzelnen Daten-Inhaber zu schließen und damit rechtlich auf der sicheren Seite zu sein ist schlichtweg unpraktikabel. Und das letzte Wort in Sachen EU-Standardvertragsklauseln ist noch nicht gesprochen. Dass es über kurz oder lang die Möglichkeit geben muss, dass beispielsweise hiesige Firmen, die regelmäßig mit Tochterunternehmen oder Kunden und Partnern in den USA interagieren, auch personenbezogene Daten gesetzeskonform austauschen können, steht außer Frage. Bis ein Nachfolgeabkommen da ist, wird es aller Voraussicht nach jedoch noch eine ganze Weile dauern. Auf einem anderen Blatt steht jedoch die Frage nach der Cloud-Anbieter-Wahl. Sind bei den Cloud-Daten auch personenbezogene Informationen im Spiel, bleibt nach wie vor nur ein einziger Schluss: Unternehmen sind hier gut beraten, einen Cloud-Anbieter zu wählen, der sowohl seine Rechenzentren als auch seinen Firmensitz im Inland hat.

Seite teilen

Must Reads von anderen Tech-Seiten
silicon.de: Safe-Harbor-Nachfolger – EU-Datenschützer verlangen Nachbesserungen Weiterlesen

 

CANCOM.info: Drei Gründe für die Hybrid Cloud – Das leistet der Cloud-Mix in Unternehmen Weiterlesen

 

Scope Online: Cloud Computing in der Produktion – Drei Mythen über Business Cloud-Lösungen  Weiterlesen

Pressemitteilungen

Nürnberg, im Dezember 2018: VR-Brillen, Roboter, an Computerspiele erinnernde Lernumgebungen – beim Finale des von WorldSkills ... Weiterlesen
Die CANCOM SE hat heute gegenüber dem Vorstand der Pironet AG ihr am 22. August 2018 gemäß § 327a Abs. 1 Satz 1 AktG gestelltes ... Weiterlesen
Köln, den 14. September 2018: Die langjährigen Partner IBM und CANCOM bauen ihr Cloud-Geschäft gemeinsam weiter aus: Der weltweit ... Weiterlesen
Köln, den 28. August 2018: Zu den anspruchsvollsten Prüfstandards für Informationssicherheit und Compliance zählt der ... Weiterlesen