Safe-Harbor-Urteil

Konsequenzen für den Datenschutz in der EU

Seite: 2/3

Firmen zum Thema

Eine wirklich praktikable Alternative ist die „Generalabsolution“ durch die Kunden also nicht. Stattdessen sieht das EU-Datenschutzrecht zwei weitere Möglichkeiten vor, die allerdings ebenfalls einer genauen Betrachtung bedürfen.

  • Die einfache Lösung für den Mittelstand: Vor allem kleine und mittelgroße Unternehmen sollten mit dem Cloud Provider einen ergänzenden Vertrag abschließen, der die Auftragsdatenverarbeitung anhand der sogenannten Standardvertragsklauseln der EU regelt. Ein Vorteil dieser Möglichkeit: Der Vertrag muss nicht der Aufsichtsbehörde vorgelegt werden.
  • Die große Lösung für Konzerne: Besser für die oft komplexen Anforderungen eines Großunternehmens oder eines weiträumig verflochtenen Konzerns sind die „Binding Corporate Rules (BCR)“. Sie müssen individuell vereinbart und den Aufsichtsbehörden vorgelegt werden.

Zum Hintergrund: Der Begriff der BCR bezeichnet einen rechtlichen Rahmen für verbindliche Richtlinien zum Umgang mit personenbezogenen Daten. Ausgearbeitet hat diesen Rahmen die Artikel-29-Datenschutzgruppe, das unabhängige EU-Beratungsgremium für den Datenschutz. Der Inhalt der Richtlinien wird von den Unternehmen individuell gestaltet, es gibt aber eine Reihe von vorgeschriebenen Inhalten.

Weitere Informationen zu den BCR geben zwei EU-Dokumente: Die „Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen“ und der eigentliche „Rahmen für verbindliche unternehmensinterne Datenschutzregelungen“.

Langfristige, strategische Lösungen

Vor allem die Standardverträge werden von den Datenschützern ähnlich kritisiert wie das Safe-Harbor-Abkommen. Erste Stimmen aus diesem Kreis betonten, dass die Datenschutzbehörden entsprechend der EuGH-Entscheidung berechtigt sind, die Rechtmäßigkeit der Auftragsdatenverarbeitung zu prüfen. Es ist also durchaus möglich, wenn nicht gar wahrscheinlich, dass auch die Standardklauseln ins Wanken geraten.

Kurz und gut: Die EU-Standardvertragsklauseln sind formalrechtlich die schnellste Lösung für das Datenschutzvakuum im Geschäftsverkehr mit US-Cloud-Providern. Sie sind aber vermutlich keine Lösung für die Dauer. Unternehmen tun also gut daran, sich weitere Optionen zu erarbeiten, zum Beispiel

  • Die technische Lösung. Eine wirksame Möglichkeit ist die Verschlüsselung sämtlicher Daten. Dazu muss allerdings eine sogenannte Ende-zu-Ende-Verschlüsselung nach einem aktuell sicheren Standard verwirklicht sein – beispielsweise dem AES256-Verfahren.

Diese Lösung ist grundsätzlich praktikabel, funktioniert aber reibungslos nur bei zwei Arten von Services: Erstens bei reinen Speicherdiensten wie Dropbox, da hier die Daten nicht mehr weiterverarbeitet werden. Zweitens bei Infrastrukturanbietern, da hier die technischen Details abgestimmt werden können. So ist es zum Beispiel vergleichsweise leicht möglich, mit verschlüsselten virtuellen Datenträgern und Übertragungen zu arbeiten.

Lesen Sie bitte auf der nächsten Seite weiter.

(ID:43681207)