Safe Harbor, EU/US Privacy Shield und GDPR - alles nur eine Farce?

Datensicherheit im internationalen Business

| Autor / Redakteur: Holger Dyroff * / Florian Karlstetter

Rechtssicherheit beim Cloud Computing: Mittelfristig soll die Europäische Datenschutzgrundverordnung (General Data Protection Regulation, kurz GDPR) den Schutz sensibler Daten innerhalb der EU gewährleisten. Doch reicht dieser Ansatz aus? Eher nicht ...
Rechtssicherheit beim Cloud Computing: Mittelfristig soll die Europäische Datenschutzgrundverordnung (General Data Protection Regulation, kurz GDPR) den Schutz sensibler Daten innerhalb der EU gewährleisten. Doch reicht dieser Ansatz aus? Eher nicht ... (Bild: © v.poth - Fotolia.com)

Europäische Unternehmen, die Geschäfte mit US-Kunden, -Partnern oder -Lieferanten tätigen, kommen sich beim Thema Datenschutz mittlerweile vor wie in einer schlechten Gerichts-Soap. Und es wird nicht besser …

Wegen der Ankündigung, persönliche Daten der Bürger zu erfassen, geht ein Aufschrei durchs Land. Demonstrationen werden organisiert, es wird zum Boykott aufgerufen, Publizisten wettern gegen die Neugier des Staates. Schließlich muss das Bundesverfassungsgericht eingreifen. Nein, die Rede ist nicht von der Post-Snowden-Ära, sondern von 1987. Stichwort Volkszählung - und nur weil der Staat ein paar Angaben zu Wohnungen, Familienmitgliedern und Arbeit haben wollte, wurde in Deutschland zu zivilem Ungehorsam aufgerufen.

Heute wird erfasst, wer wann wo was eingekauft hat; wo man gestanden hat, als man telefoniert hat; wie lange man auf welcher Webseite welche Inhalte angesehen hat. All das rund um die Uhr und meist ohne Kenntnisse der Betroffenen. Öffentliche Empörung 2016? Fehlanzeige!

Big Data sind Realität

Edward Snowden konnte etwas Licht ins Dunkel bringen, das Verhalten von Firmen und Anwendern hat sich bisher aber kaum geändert. Big Data ist in unserer vernetzten Welt einfach Realität, ob man will oder nicht. Viele Services werden gar nicht angeboten, wenn man als User nicht bereit ist, das Datensammeln zu erlauben.

Wer Zugriff auf diese Daten hat, der hat Macht und Macht macht Gewinn. Bestes Beispiel ist hier Google. Und dass alles, was gesammelt und ausgewertet werden kann, auch genutzt wird ist keine Möglichkeit sondern Realität. Die US-Geheimdienste haben es getan und werden es wohl weiterhin tun und alleine sind sie dabei bestimmt nicht.

Während Privatleute eine persönliche Kosten-Nutzen-Analyse von Komfort versus Sicherheit durchführen und sich weit gehend auf die nationale Gesetzgebung verlassen, stellt sich die Lage für international agierende Unternehmen weitaus komplizierter dar. Besonders schwierig ist die Situation mit Blick auf die USA, da es sich dabei einerseits um einen wichtigen Handelspartner handelt und andererseits die wichtigsten Cloud-Player fast alle amerikanische Wurzeln haben: Amazon, Google, Facebook, Microsoft, Salesforce, um nur einige zu nennen.

Laut der EU-Datenschutzrichtlinie 95/46/EG dürfen personenbezogene Daten aus EU-Staaten aber grundsätzlich nicht in Staaten übertragen werden, in denen der Datenschutz mit dem EU-Recht nicht vergleichbar ist. Und dazu zählen auch die USA. Damit europäische Unternehmen (EU) personenbezogene Daten sicher in die USA transferieren können, wurde im Jahr 2000 das Safe-Harbor-Abkommen zwischen den USA und der EU beschlossen. US-Unternehmen konnten danach erklären, eine Reihe von Verpflichtungen (Safe Harbor Principles) einzuhalten und sich auf einer Liste des US-Handelsministeriums eintragen lassen.

Aus Raider wird Twix - sonst ändert sich nix

Im September 2015 entschied der Europäische Gerichtshof (EuGH) in der Sache Max Schrems gegen Facebook gegen die Übermittlung von Daten durch Facebook in die USA - und damit indirekt auch gegen die Zulässigkeit von Safe Harbor. Am 6. Oktober 2015 erklärte der EuGH folgerichtig Safe Harbor für ungültig, weil Informationen in den USA nicht ausreichend vor Geheimdiensten und anderen Behörden geschützt seien. Wer die Snowden-Enthüllungen auch nur oberflächlich verfolgt hat, wird diese Einschätzung sicher teilen. Als Nachfolger von Safe Harbor konnten die Verhandlungspartner kurz vor Ablauf der eingeräumten Übergangsfrist am 2. Februar 2016 den “EU/US Privacy Shield” aus dem Hut zaubern, der sich aber nur in Nuancen vom Vorgänger unterscheidet.

Die Cloud ist tot, es lebe die Cloud!

Kommentar zum EU-US Privacy Shield

Die Cloud ist tot, es lebe die Cloud!

05.02.16 - Womit niemand gerechnet hat, ist passiert: Die Vertreter der EU und der USA haben sich mit dem „EU-US Privacy Shield“ auf einen Nachfolger für Safe Harbor geeinigt. Ein Kommentar von Holger Dyroff, Geschäftsführer von ownCloud. lesen

Die neue Regelung ist bis heute nicht in Kraft getreten, weil die Ratifizierung seitens der EU noch aussteht. Aber sowohl die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff, als auch die Artikel-29-Gruppe führender Datenschützer haben sehr schnell Nachbesserungsbedarf angemeldet. Und die Ratifizierung ist seit Ende April noch zweifelhafter geworden: Da hat der US Supreme Court Änderungen an den “Federal Rules of Criminal Procedure” genehmigt, die den Bundesbehörden weit reichende Möglichkeiten an die Hand geben, Rechner auf der ganzen Welt zu hacken und zu durchsuchen.

Vertrauensbildende Maßnahmen sehen anders aus…

Was nun, was tun?

Vertreter von Unternehmen stehen mittlerweile kopfschüttelnd an der Seitenlinie. Sie kommen sich vor wie in einer schlechten Gerichts-Soap und fragen sich, wie sie ihr Business zukünftig rechtssicher gestalten können. Und zwar beiderseits des Atlantiks, denn auch für die großen US-Cloud- und Service-Anbieter ist die Situation sehr unbefriedigend. Zahlreiche Anbieter haben bereits mit der Eröffnung von Rechenzentren auf europäischem Boden reagiert, etwa NetSuite, AWS oder auch Microsoft. Die Frage ist aber, inwieweit dieses Modell europäische Daten wirklich schützt, da die US-Behörden amerikanische Unternehmen auch dann anzapfen dürfen, wenn die Daten im Ausland liegen.

US-Urteil führt Datensicherheit ad absurdum

Cloud-Recht: Hilft eine Reform der Datenschutzgesetze?

US-Urteil führt Datensicherheit ad absurdum

25.09.14 - Microsoft ist gezwungen, Kundendaten an US-Behörden herauszugeben, auch wenn diese in Europa gespeichert sind, so ein US-Urteil. Die Frage ist jetzt, wie sich das verlorene Vertrauen in Cloud Computing wiederherstellen lässt. lesen

In den USA hat Microsoft sogar das US-Justizministerium verklagt, weil nach Auffassung des Unternehmens ein Maulkorberlass bei Suchanfragen für Kundendaten die US-Verfassung verletzt. Für deutsche Kunden hat Microsoft dieses Problem mit dem Daten-Treuhändermodell mit der Telekom sehr kreativ und elegant gelöst: Deutsche Nutzer von Azure können die Daten optional in den deutsche Telekom-Rechenzentren hosten lassen. In dem Fall ist vertraglich geregelt, dass Microsoft als amerikanisches Unternehmen technisch und organisatorisch keine Möglichkeit besitzt, die Daten dort einzusehen. Kreativ und elegant ist der Ansatz, aber wohl keine Blaupause für die ganze Cloud-Branche.

Die Microsoft-Cloud geht mit T-Systems als Datentreuhänder an Land

Cloud-Dienste aus deutschen Rechenzentren

Die Microsoft-Cloud geht mit T-Systems als Datentreuhänder an Land

11.11.15 - Die Aufhebung des Safe-Harbor-Abkommens durch den EuGH stellt alle US-amerikanischen Cloud-Anbieter vor rechtliche Probleme. Microsoft hat wohl eine Lösung gefunden: Deutsche Rechenzentren für Microsoft-Cloud-Dienste mit T-Systems als Daten-Treuhänder. lesen

GDPR - mit Klagen darf gerechnet werden

Mittelfristig soll die Europäische Datenschutzgrundverordnung (General Data Protection Regulation, kurz GDPR) den Schutz sensibler Daten innerhalb der EU gewährleisten. Mit dem Inkrafttreten der Verordnung wird von offizieller Seite bis 2018 gerechnet, sie betrifft dann auch US-amerikanische Unternehmen.

Auswirkungen der neuen Datenschutz-Grundverordnung

Cloud, Sicherheit und die EU GDPR

Auswirkungen der neuen Datenschutz-Grundverordnung

25.02.16 - Kurz vor Weihnachten wurde der Entwurf zu einer der bislang wichtigsten Verordnungen für den IT-Bereich fertiggestellt. Die Datenschutz-Grundverordnung (GDPR), die die bisherige Datenschutzrichtlinie der Europäischen Union ersetzen soll, wird voraussichtlich Anfang 2016 veröffentlicht und soll 2018 allgemein in Kraft treten. lesen

Wichtigster Grundsatz der GDPR ist, dass personenbezogene Daten dem Nutzer gehören - und nicht dem Unternehmen, das die Daten verarbeitet. Auf Anfrage soll der Nutzer jederzeit in strukturierter Form erfahren können, welche Daten über seine Person gesammelt wurden. Unterfüttert werden die rechtlichen Vorgaben mit Bußgeldern von bis zu 4 Prozent des weltweiten Umsatzes - bei einem gemeldeten Jahresumsatz etwa von Facebook in Höhe von rund 12,5 Milliarden US-Dollar im Jahr 2014 wären das etwa 500 Millionen US-Dollar!

Wer glaubt, dass es sich bei der Androhung von Bußgeldern aktuell um einen Papiertiger handelt, durfte sich erst kürzlich eines besseren belehren lassen, als die Datenschutzaufsichtbehörden gleich gegen mehrere Unternehmen in Hamburg Bußgeldverfahren eingeleitet haben. Aber es gibt auch heftige Kritik an der GDPR: Der Münsteraner Informationsrechtler Thomas Hoeren beispielsweise hat die Verordnung auf Heise Online als “größte Katastrophe des 21. Jahrhunderts” und “hirnlos” bezeichnet.

Man kann also sicher davon ausgehen, dass nach Inkrafttreten auch gegen die GDPR Klagen geführt werden - von Rechtssicherheit sind wir aktuell so weit entfernt, wie es nur geht.

Rechtssicher international agieren

Wie können Unternehmen vor dem andauernden juristischen Hickhack überhaupt noch rechtssicher international arbeiten? Vor allem ist es wichtig, dass bei allen personenbezogenen und sensiblen Daten der Speicherort im europäischen Wirtschaftsraum liegt. Im Idealfall sollten Unternehmen die Speicherung dieser Daten eigenverantwortlich in die Hand übernehmen, um sich vor Klagen und auch vor Wirtschaftsspionage zu schützen. Eine angemessene Verschlüsselung sollte ebenso Standard sein wie eine saubere Rechteverwaltung der Nutzer, um unerlaubte Zugriffe auszuschließen.

Holger Dyroff ist Geschäftsführer der ownCloud GmbH.
Holger Dyroff ist Geschäftsführer der ownCloud GmbH. (Bild: ownCloud)

ownCloud als praktikabler Lösungsansatz

Mit der Lösung von ownCloud lässt sich auch ein dezentralisierter Cloud-Ansatz realisieren, bei dem Server von verschiedenen Standorten via “Federated Cloud-Sharing” zu einer Cloud zusammengefasst werden können. Mit Regeln kann dann festgelegt werden, dass bestimmte Daten beispielsweise aus den USA heraus nicht geöffnet, verändert oder heruntergeladen werden können. Es sollte mittlerweile allen Verantwortlichen in den Unternehmen klar sein, dass der unbestrittene Komfort und die Flexibilität der bekannten Public-Cloud-Anbieter letzten Endes teuer erkauft sein können. Dazu muss aber ein Umdenken stattfinden!

Daten gehören zu den Kronjuwelen moderner Organisationen und bei der Verwaltung und Speicherung dürfen vor allem hinsichtlich Datenschutz keine Kompromisse eingegangen werden. Auf der anderen Seite ist dann aber auch davon auszugehen, dass ein nachweislich sauberer Umgang mit Daten in Zukunft ein großes Argument für einen Anbieter sein kann.

BSI untersucht Betrieb und Sicherheit von ownCloud

Zusätzliche Verschlüsselungsoptionen angekündigt

BSI untersucht Betrieb und Sicherheit von ownCloud

23.06.15 - Die Open-Source-Lösung ownCloud wird immer häufiger in Unternehmen eingesetzt, um sicher und transparent firmenintern und -übergreifend Dokumente zu teilen und zu synchronisieren. Anlass für das Bundesamt für Sicherheit in der Informationstechnik (BSI), sich ownCloud genauer anzusehen. lesen

Tipp der Redaktion: Private Cloud im Eigenbau

Der folgende Workshop beschreibt, wie man mithilfe von ownCloud und Synology NAS eine eigene private Cloud-Umgebung aufbaut.

OwnCloud auf Synology NAS installieren

Private Cloud im Eigenbau

OwnCloud auf Synology NAS installieren

20.04.16 - Nutzt ein Unternehmen Network Attached Storage zur zentralen Datenspeicherung, fällt die Wahl häufig auf Synology NAS. Eine Private Cloud auf OwnCloud-Basis lässt sich damit im Übrigen auch betreiben. lesen

* Holger Dyroff, Geschäftsführer der ownCloud GmbH

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44116774 / Initiativen )