VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

SecurityDie USA gelten nach dem Entschluss des Europäischen Gerichtshofs zum Safe-Harbor-Abkommen nicht mehr als datenschutzkonform. Doch sind die Daten in Europa wirklich überall gleich gut geschützt? Ein Überblick über die Lage nach der EuGH-Entscheidung.

Es ist eine einzelne Entscheidung, aber sie hat einer jahrelangen Praxis die Grundlage entzogen: Der Europäische Gerichtshof (EuGH) hat de facto das Safe-Harbour-Abkommen gekündigt. Auf seiner Grundlage war seit 15 Jahren die datenschutzrechtlich unbedenkliche Nutzung von IT-Diensten in den USA geregelt. Auslöser war eine Klage gegen Facebook, das wegen seiner hohen Benutzerzahl ein gutes Beispiel für die schwierige Datenschutzsituation bei Cloud- und Webservices ist. 2011 verlangte der damalige Student und jetzige Jurist Maximilian Schrems aus Österreich Auskunft über seine bei Facebook gespeicherten Daten.

Das Ergebnis: Eine PDF-Datei mit 496 Megabyte. Sie enthielt einige Überraschungen – längst gelöschte Angaben, nicht mehr vorhandene Freunde und eine Liste aller Computer, mit denen er sich angemeldet hatte. Diese widerspricht der EU-Datenschutzrichtlinie, so dass Schrems dagegen klagte.

Uneinheitlicher Datenschutz in der EU

Die irische Datenschutzbehörde, die für die Facebook-Europazentrale in Dublin verantwortlich ist, sah keinen Regelverstoß. Die Auffassung der Iren: Facebook verstoße weder gegen die EU-Richtlinie noch gegen das Safe-Harbour-Abkommen. Andere Datenschützer und Max Schrems schätzen das Vorgehen von Facebook jedoch als problematisch ein – und das EuGH ist ihnen in dieser Einschätzung gefolgt.

Damit ist eine der wenigen wirklich EU-weit einheitlichen Regelungen für den Datenschutz gekippt. Denn erstaunlicherweise ist er in den EU-Staaten ziemlich uneinheitlich geregelt, obwohl die EU-Datenschutzrichtlinie von 1995 das genaue Gegenteil erreichen sollte. Doch die Einzelstaaten mussten sie erst einmal in nationales Recht umsetzen und hatten dabei einen gewissen Spielraum.

Zum Beispiel Österreich. Unser Nachbarland hat im Jahr 2000 ein neues Datenschutzgesetz eingeführt. Es orientiert sich an der EU-Richtlinie und weicht in der Wirkung nur wenig von der deutschen Variante ab. Es gibt jedoch einen sehr prägnanten Unterschied: Österreich kennt nicht die Institution des Datenschutzbeauftragten. Stattdessen müssen die Unternehmen jede Art von Datenspeicherung und -übertragung an die Datenschutzbehörde melden.

Auf den ersten Blick sieht das strenger aus als in Deutschland. Schließlich wird hierzulande der Datenschutzbeauftragte im Unternehmen ernannt und entstammt häufig den eigenen Fachabteilungen. Die Unternehmen sorgen also intern dafür, dass ihr Vorgehen mit dem Bundesdatenschutzgesetz und allen anderen gültigen Regelungen wie etwa der Cookie-Richtlinie übereinstimmt.

In den meisten Ländern der EU müssen die Unternehmen wie in Österreich ihre genaue Vorgehensweise melden und werden dann möglicherweise geprüft. Doch hier ist der Knackpunkt. Die Prüfung erfordert einen Prüfer und daran kann es hapern. So ist zum Beispiel bekannt, dass die Datenschutzbehörde in Irland nur wenig Personal hat. Sie kann ihren Prüfpflichten nicht besonders gut nachkommen – einer der Gründe, warum die Insel bei international agierenden IT-Unternehmen so beliebt ist.

Neuregelung mit Gesetzeskraft

Wenn es allerdings darum geht, Kunden zu überzeugen, wird der ungeliebte EU-Datenschutz rasch zum Werbeargument. So betonen die Amazon Web Services, dass sie aufgrund einer aktuellen Prüfung der luxemburgischen Datenschutzbehörde die EU-Datenschutzgesetze erfüllen. Diese Aussage ist missverständlich, denn die Behörde hat ausschließlich die Datenverarbeitungsvereinbarung geprüft. Sie hat selbst darauf hingewiesen, das „positive Ergebnis dieser begrenzten Untersuchung“ solle nicht „als Beleg dafür missverstanden werden, dass Amazons vertragliche Regelungen als Ganzes den EU-Datenschutzrichtlinien entsprechen.“

Hieran wird deutlich, dass die Art der Prüfung des Datenschutzes sehr unterschiedlich ausfällt. Im Normalfall können die Behörden die Einhaltung nur schwer direkt überwachen. Sie sind aufgrund personeller Unterbesetzung auf Selbstauskünfte angewiesen und prüfen damit lediglich die Übereinstimmung mit der EU-Richtlinie. In Deutschland jedoch haften Geschäftsführer persönlich für die Einhaltung des deutschen Datenschutzes.

Zusammengefasst ergibt sich kein besonders gutes Bild: Selbst nach 20 Jahren sind Rechtsrahmen und administrative Praxis in der EU stark voneinander abweichend. Dies war ein wichtiger Grund dafür, dass die neue Datenschutzrichtlinie der Europäischen Kommission eben keine Richtlinie mehr ist. Sie ist stattdessen eine sogenannte EU-Grundverordnung.

Die neue Regelung wird in den EU-Mitgliedsstaaten unmittelbare Gesetzeskraft haben und in Deutschland zum Beispiel das Bundesdatenschutzgesetz ablösen. Trotzdem kann die Bundesrepublik auch weiterhin eigene Regeln beschließen. Denkbar wäre eine Festschreibung der Position des Datenschutzbeauftragten, sofern die EU-Datenschutz-Grundverordnung dies über eine Öffnungsklausel vorsieht.

Über eine grundlegende Harmonisierung der Datenschutzregeln hinaus kann eine solche Verordnung allerdings das Praxisproblem nicht lösen. Die Verwaltungswirklichkeit wird sich so bald nicht angleichen. Es ist für Politiker rational, Standortfaktoren möglichst zu erhalten, um auch weiterhin global agierende Unternehmen anzulocken und nicht etwa abzuschrecken. Für deutsche Unternehmer bedeutet das permanente rechtliche Unsicherheit.

Der Unternehmenssitz entscheidet

Denn dann gibt es noch die betriebliche Praxis. So wirbt nicht nur Amazon damit, dass die Rechenzentren in der EU angesiedelt sind. Angesichts der Diskussion über abhörende Geheimdienste ist das eine dringend notwendige PR-Offensive, mit der die Unternehmen hoffen, die deutsche Skepsis in Sachen Cloud abzubauen. Doch selbst wenn die Anbieter tatsächlich die Daten europäischer Kunden nur in der EU speichern, zeigt ein genauer Blick bei manchen Unternehmen eine unangenehme Wahrheit: Die Daten mögen zwar in einem Storage-Array irgendwo in Europa liegen, aber der Administrator mit Vollzugriff sitzt je nach Uhrzeit mal in Indien und mal in den USA. 

Remote-Zugriffe aus allen Richtungen entsprechen natürlich nicht den EU-Datenschutzregeln, egal wie locker oder wie streng man sie interpretiert. Darüber hinaus können Kunden auch über den Rechtsstatus der oft US-basierten Anbieter stolpern. So interpretieren US-Behörden die Niederlassungen in Europa als US-Unternehmen – mit der Folge eines relativ leichten Vollzugriffs auf sämtliche Daten.

Genau diese Zusammenhänge haben das EuGH dazu gebracht, den Kommissionsbeschluss zum Safe-Harbour-Abkommen aufzuheben. Auf Basis des Abkommens hatte die Kommission offiziell die Datenschutzkonformität von US-Anbietern festgestellt. Dadurch konnten europäische Unternehmen Verträge mit US-Anbietern ohne Prüfung des Datenschutzes abschließen. Dieser Automatismus ist jetzt aufgehoben, faktisch sind die entsprechenden Geschäftsbeziehungen jetzt illegal.

Die Lösung? Die Unternehmen haben vier Möglichkeiten: Sie können entweder die EU-Standardvertragsklauseln nutzen, bindende Corporate Rules mit den Auftragnehmern vereinbaren, sich die Datenverarbeitung von allen Kunden genehmigen lassen oder bei den Aufsichtsbehörden um Genehmigung der Datenübertragung nachsuchen.

Diese Wege sind weder einfach noch schnell zu gehen. Für ein Unternehmen auf der Suche nach einem verantwortungsbewussten Cloudprovider kann es nur um eines gehen: Die Daten müssen dauerhaft und unter allen Umständen in Deutschland verbleiben. Und das kann im Moment nur ein deutscher Dienstleister mit der Firmenzentrale und Rechenzentren in Deutschland leisten. Wer als IT-Manager ganz sicher gehen will, deutsche Datenschutzbestimmungen einzuhalten, sollte auf einen Cloud-Provider aus Deutschland setzen. Der er unterliegt den gleichen Bestimmungen wie sein Unternehmen.

Andreas Gauger, ProfitBricksAndreas Gauger, Gründer und CMO von ProfitBricks

www.profitbricks.de

 

 

GRID LIST
Tb W190 H80 Crop Int Ece7bb343adc210e89b8ba448a8c7677

DSGVO – Schutz sensibler Daten

Bereits im Mai 2016 wurde die neue Datenschutzgrundverordnung (DSGVO) verabschiedet. Nun…
Tb W190 H80 Crop Int Ffc54940f3b5a5b27ea7e7e75ad38fbe

DSGVO Tipps zum Umgang mit Google Produkten

Das wahrscheinlich am meisten diskutierte Thema für diesen Monat, die…
Schloss vor Weltkugel

Verschlüsselung: Technik mit Herausforderungen

Bereits die alten Ägypter haben Texte so umgeschrieben, dass sie nur von Empfängern…
Tb W190 H80 Crop Int 38ee284605af848b87cf93447729f5b2

DSGVO: Last-Minute-Punkte für USB-Speicherlösungen

Weniger als ein Monat bis zum „DSGVO-Stichtag“ 25.05.2018: Unternehmen haben nun entweder…
Tb W190 H80 Crop Int 417ceee8e7f7783a566cf649947e9e6d

Mit diesen 9 Tipps sind eure Daten sicherer

Datenschutz geht jeden an – denn jeder einzelne kann dazu beitragen, dass seine…
Tb W190 H80 Crop Int C062476215dce13cdef3d663310bcd3d

Wie die richtige Technologie bei der DGSVO helfen kann

Die EU-Datenschutzgrundverordnung (DSGVO) kommt mit Riesenschritten näher. Obwohl der…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security