EU-Server-Standorte und hohe Security-Standards werden Gebote der Stunde

Safe Harbor ist abgeschafft: Konsequenzen des EuGH-Urteils

safe Cloud

15 Jahre lang galt Safe Harbor für den Transfer und die Verarbeitung personenbezogener Daten aus Europa in die USA. Anfang Oktober wurde das Datenschutzabkommen vom Europäischen Gerichtshof (EuGH) für null und nichtig erklärt1 – was ein kleines juristisches Erdbeben auslöste und Anwender aufschreckt, teils aber auch erfreute Gesichter hinterlässt.

Die NSA-Massenüberwachung klingt vor allem dank Edward Snowden noch nachhaltig in den Ohren europäischer Internetznutzer. Und ist einer der Gründe, warum laut des EuGH das Safe-Harbor-Abkommen zwischen der EU und den USA seit dem 6. Oktober 2015 ungültig ist. So zumindest die feste Überzeugung des zuständigen Generalanwalts Yves Bot, der sich damit in dem Rechtsstreit zwischen dem Österreicher Max Schrems und der irischen Datenschutzbehörde bezüglich des Streitpunkts „Datenschutz bei Facebook“2 in einem ersten Etappensieg auf Seiten des Klägers stellte.

Das Safe-Harbor-Abkommen war eine der meistgenutzten rechtlichen Grundlagen für den Datenaustausch. Weil aber kein hinreichender Schutz europäischer Daten vor einem Zugriff durch die US-Behörden garantiert werden konnte – wichtige Stichworte sind hier NSA und Patriot Act – lautet die Botschaft an die USA nun: Eine unterschieds- und grundlose Massenüberwachung ist mit den europäischen Grundrechten3 nicht vereinbar.

Übermächtige Konkurrenz durch Google, Facebook & Co. bald Geschichte?

Detailfragen, wie mit den Daten in Zukunft hundertprozentig korrekt umzugehen ist, sind natürlich noch ungeklärt. In der grauen Theorie könnten die US-Anbieter bei der Verarbeitung europäischer Kundendaten nun auf die Standardvertragsklauseln4 der EU oder Binding Corporate Rules (BCR) hinweisen. Die Crux dabei ist allerdings, dass diese genauso kritisch beäugt und bewertet werden wie auch Safe Harbor. Idee Nummer Zwei wäre, die ausdrückliche Einwilligung aller Beteiligten zur Übertragung und Verarbeitung ihrer Daten einzuholen – was aufgrund der schieren Menge zig Millionen Betroffener ebenfalls eher unwahrscheinlich ist.

Die Anwender werden kritischer und verlangen maximale Sicherheit

Eine wirklich sichere Lösung für deutsche Unternehmen wäre in der derzeitigen Situation, auf einen deutschen Cloud-Anbieter zu setzen: mit Hauptsitz und Rechenzentren in Deutschland, die den strengen Vorgaben des Bundesdatenschutzgesetzes5 entsprechen, das momentan ja auch neu verhandelt wird. Viele Global Player mit für Anwender undurchsichtigen Angeboten jenseits des Atlantiks rätseln nun, was die kommenden Monate bringen und was jetzt der beste und vor allem auch juristisch korrekte Weg ist.

Freuen können sich hingegen alle Unternehmen mit Cloud-Centern in Europa oder besser noch in Deutschland. Deren Auftragsbücher werden sich sicher füllen, schließlich handeln sie entsprechend der hiesigen Anforderungen an Compliance, Datenschutz und IT-Security etwa durch End-to-End-Verschlüsselung. Deutschen Unternehmen zum Beispiel ist es laut einer Studie6 von Bitkom Research und KPMG wichtig, dass ein Cloud Service Provider im deutschen oder EU-Rechtsraum angesiedelt ist oder dort auch seine Rechenzentren unterhält. So erwarten 83 Prozent7 der Kunden, dass der Cloud-Anbieter seine Rechenzentren ausschließlich in Deutschland betreibt.8

Standordpräferenzen bei Auswahl eines Cloud-Providers

Was sollten Unternehmen nun tun? Handeln!

Bei der aktuellen Debatte, die in erster Linie eine Datenschutz- und Sicherheitsdebatte ist, gilt es vor allem eines zu beachten: Externe Dritte mit professionell aufgestellten Cloud-Rechenzentren verfügen in der Regel über deutlich bessere Sicherheitsvorkehrungen und -erfahrungen als Unternehmen, die ihre Data Center in Eigenregie hosten und warten. Denn die Mehrheit der Unternehmen ist nicht vertraut mit dem komplexen Aufbau und aufwändigen Betrieb sicherer Rechenzentrum-Strukturen, vor allem aufgrund der stetig wachsenden Sicherheitsanforderungen.

Jetzt gilt es, einen gesetzeskonformen Server zu nutzen, der definitiv in Europa steht, um künftig mit „Made in Europe“, wenn nicht sogar mit „Made in Germany“ zu werben. Natürlich kostet das Geld. Und wahrscheinlich auch etwas mehr als bisher. Aber die Alternative hieße, nicht gesetzeskonform zu agieren. Und das kann sich niemand leisten.

Welche Security-Lösungen sich für einen datenschutzkonformen Cloud-Einsatz angesichts der aktuellen Entwicklungen nun anbieten, erfahren Sie in diesem Whitepaper.

Kommentare

Noch nicht bewertet

Es gibt noch keine Kommentare

Kommentar hinterlassen