Safe-Harbor-Urteil Konsequenzen für den Datenschutz in der EU

Autor / Redakteur: Andreas Gauger* / Stephan Augsten

Das Safe-Harbor-Urteil des Europäischen Gerichtshofs kippte in Sachen Datenschutz die Rechtsgrundlage für viele Verträge mit US-Cloud-Providern. Doch es gibt Lösungen – sowohl schnelle als auch strategisch langfristige.

Firmen zum Thema

Trotz des Safe-Harbor-Urteils gibt es Mittel und Wege, die Daten und ihre Übertragung gesetzeskonform abzusichern.
Trotz des Safe-Harbor-Urteils gibt es Mittel und Wege, die Daten und ihre Übertragung gesetzeskonform abzusichern.
(Bild: Archiv)

Die Überraschung war groß: Anfang Oktober hat der Europäische Gerichtshof (EuGH) das sogenannte Safe-Harbor-Abkommen faktisch ausgesetzt. Das Abkommen – ausgehandelt von der EU-Kommission – regelte seit dem Jahr 2000 die Auftragsdatenverarbeitung zwischen Unternehmen in Europa und den Vereinigten Staaten.

Bis dahin galt die USA wegen der stark von den EU-Gepflogenheiten abweichenden Datenschutzregeln als unsicheres Drittland, in das die Übertragung von personenbezogenen Daten verboten ist. Dank des Safe-Harbor-Abkommens sollten Unternehmen solche Daten laut Auffassung der EU-Kommission rechtlich sauber bei Dienstleistern in den USA speichern können.

In der Anfangszeit betraf dies nur wenige Unternehmen, doch Service-Verträge und Cloud Computing haben in den vergangenen zehn Jahren einen starken Aufschwung erlebt. Nach Angaben der Datenschutzbehörden mehrere haben seither Tausend datenverarbeitende US-Unternehmen Safe Harbor als Basis in Anspruch genommen, um personenbezogene Daten aus der EU zu verarbeiten.

Das Urteil des EuGH hat die Lage für alle Unternehmen aus der EU, insbesondere deutsche Unternehmen, die mit solchen Datenverarbeitern Verträge eingingen, nicht einfacher gemacht. Durch die Entscheidung ist eine Art datenschutzrechtliches Vakuum entstanden. Europäische und deutsche Unternehmen, die auf Basis von Safe Harbor Daten durch US-Anbieter verarbeiten lassen, müssen also rasch handeln, sollten sich aber dabei nicht zu voreiligen Schritten verleiten lassen.

Juristische und technische Lösungen

Folgt man der Auffassung der EU-Kommission, so gibt es theoretisch eine Reihe von Möglichkeiten, die unklare rechtliche Lage zu beenden. Außerdem bestehen aufwändige technische Sicherungssysteme, die man einsetzen könnte. Aber nicht jede ist überhaupt oder ganz überwiegend rechtssicher und in gleicher Weise für alle Unternehmen geeignet.

  • Die unrealistische Lösung: Die sofortige Kündigung bestehender Verträge mit Anbietern in den USA ist keine gute Option, da in den meisten Unternehmen die Dienste zu stark in Prozesse und andere IT-Services eingebunden sein werden. Für etliche Unternehmen wird zudem ein Ersatz mangels kurzfristig verfügbarer Alternativen unmöglich sein.
  • Die unsinnige Lösung: Grundsätzlich ist es möglich, bei allen betroffenen Unternehmen und deren Endkunden die ausdrückliche Einwilligung für die Speicherung für die Auftragsdatenverarbeitung in den USA einzuholen. Diese Möglichkeit ist aber nicht besonders sinnvoll, da einerseits nicht alle Bestandskunden zustimmen werden und andererseits die Einwilligung jederzeit widerrufen werden kann.

Lesen Sie bitte auf der nächsten Seite weiter.

Eine wirklich praktikable Alternative ist die „Generalabsolution“ durch die Kunden also nicht. Stattdessen sieht das EU-Datenschutzrecht zwei weitere Möglichkeiten vor, die allerdings ebenfalls einer genauen Betrachtung bedürfen.

  • Die einfache Lösung für den Mittelstand: Vor allem kleine und mittelgroße Unternehmen sollten mit dem Cloud Provider einen ergänzenden Vertrag abschließen, der die Auftragsdatenverarbeitung anhand der sogenannten Standardvertragsklauseln der EU regelt. Ein Vorteil dieser Möglichkeit: Der Vertrag muss nicht der Aufsichtsbehörde vorgelegt werden.
  • Die große Lösung für Konzerne: Besser für die oft komplexen Anforderungen eines Großunternehmens oder eines weiträumig verflochtenen Konzerns sind die „Binding Corporate Rules (BCR)“. Sie müssen individuell vereinbart und den Aufsichtsbehörden vorgelegt werden.

Zum Hintergrund: Der Begriff der BCR bezeichnet einen rechtlichen Rahmen für verbindliche Richtlinien zum Umgang mit personenbezogenen Daten. Ausgearbeitet hat diesen Rahmen die Artikel-29-Datenschutzgruppe, das unabhängige EU-Beratungsgremium für den Datenschutz. Der Inhalt der Richtlinien wird von den Unternehmen individuell gestaltet, es gibt aber eine Reihe von vorgeschriebenen Inhalten.

Weitere Informationen zu den BCR geben zwei EU-Dokumente: Die „Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen“ und der eigentliche „Rahmen für verbindliche unternehmensinterne Datenschutzregelungen“.

Langfristige, strategische Lösungen

Vor allem die Standardverträge werden von den Datenschützern ähnlich kritisiert wie das Safe-Harbor-Abkommen. Erste Stimmen aus diesem Kreis betonten, dass die Datenschutzbehörden entsprechend der EuGH-Entscheidung berechtigt sind, die Rechtmäßigkeit der Auftragsdatenverarbeitung zu prüfen. Es ist also durchaus möglich, wenn nicht gar wahrscheinlich, dass auch die Standardklauseln ins Wanken geraten.

Kurz und gut: Die EU-Standardvertragsklauseln sind formalrechtlich die schnellste Lösung für das Datenschutzvakuum im Geschäftsverkehr mit US-Cloud-Providern. Sie sind aber vermutlich keine Lösung für die Dauer. Unternehmen tun also gut daran, sich weitere Optionen zu erarbeiten, zum Beispiel

  • Die technische Lösung. Eine wirksame Möglichkeit ist die Verschlüsselung sämtlicher Daten. Dazu muss allerdings eine sogenannte Ende-zu-Ende-Verschlüsselung nach einem aktuell sicheren Standard verwirklicht sein – beispielsweise dem AES256-Verfahren.

Diese Lösung ist grundsätzlich praktikabel, funktioniert aber reibungslos nur bei zwei Arten von Services: Erstens bei reinen Speicherdiensten wie Dropbox, da hier die Daten nicht mehr weiterverarbeitet werden. Zweitens bei Infrastrukturanbietern, da hier die technischen Details abgestimmt werden können. So ist es zum Beispiel vergleichsweise leicht möglich, mit verschlüsselten virtuellen Datenträgern und Übertragungen zu arbeiten.

Lesen Sie bitte auf der nächsten Seite weiter.

Andreas Gauger
Andreas Gauger
(Bild: ProfitBricks)

Idealerweise greifen die Geschäftspartner dabei auf Hardware-Sicherheitsmodule (HSM) zurück, mit denen alle aktuellen (sicheren) Verfahren für Verschlüsselung, Signierung und Schlüsseltausch verwirklicht werden können. Sie sind zum Beispiel bei der Absicherung von Transaktionen im Finanzsektor bewährt.

Alles dort lassen, wo es bereits ist

Doch auch die technische Lösung hat wie die anderen Optionen eine äußerst untechnische Basis: Vertrauen. Denn kaum ein Unternehmen hat die Möglichkeit, sämtliche technischen Details oder die wirkliche Umsetzung von Serviceverträgen im Einzelnen zu kontrollieren.

Auch die Aufsichtsbehörden werden kaum flächendeckende Untersuchungen in den USA in die Wege leiten können. Deshalb sollten europäische Unternehmen auf lange Sicht grundsätzliche, strategische Entscheidungen über den Einsatz von Cloud-Diensten treffen.

  • Die langfristige Lösung: Die deutschen Unternehmen, die personenbezogene Daten durch Dritte verarbeiten lassen wollen, können sich nach einem Dienstleister umschauen, der in Deutschland sitzt. Für die Nutzung der Cloud gilt: Nur mit einem Cloud-Anbieter mit Hauptsitz und Rechenzentren in Deutschland gehen sie sicher, den strengen deutschen Datenschutzbestimmungen zu entsprechen.

Dieser Weg bedeutet für die Unternehmen einen erhöhten Aufwand und ist sicherlich nicht in kurzer Frist begehbar. Dies gilt aber besonders für Unternehmen, die stark spezialisierte Geschäftsanwendungen aus der Cloud beziehen (Software as a Service, SaaS). Sie stehen vor einem vergleichbaren Problem wie beim Austausch langfristig genutzter On-Premise-Anwendungen: Die Unternehmensdaten müssen aufwändig ausgelesen und konvertiert werden.

Viel besser sieht es hingegen für alle allgemeinen IT-Anwendungs- und Verarbeitungsfälle aus. Sie machen bei weitem den größeren Teil der Arbeitslasten aus. Hier haben die Nutzer von Infrastruktur-Dienstleistungen die Nase vorn, denn der Wechsel zu einem anderen Anbieter ist im Regelfall gut zu bewältigen.

* Über den Autor

Andreas Gauger ist Gründer und CMO von ProfitBricks.

(ID:43681207)