„Gutgemeinter Selbstbetrug“

Gastkommentar zum gekippten Safe-Harbor-Abkommen

| Autor / Redakteur: Andreas Gauger / Dr. Stefan Riedl

Der europäische Gerichtshof hat das Safe-Harbor-Abkommen für nichtig erklärt.
Der europäische Gerichtshof hat das Safe-Harbor-Abkommen für nichtig erklärt. (Bild: Uli-B_Fotolia.com)

Andreas Gauger, Gründer von ProfitBricks, stellt das vom EuGH gekippte Safe-Harbor-Abkommen aus seiner Sicht dar. Seine Forderung: Unternehmen müssen jetzt handeln.

Still ruhte der See. Bedächtig schwappte das Wasser an die Hafenmauer. Die Matrosen an Land und auf See wähnten sich lange in Sicherheit. Bislang ging die EU-Kommission davon aus, dass die Übertragung von Daten in die USA rechtmäßig ist, insofern dort ein vergleichbares Datenschutzniveau herrsche – ein sicherer Hafen, auch für deutsche Unternehmen. Mit der erklärten Ungültigkeit des Safe-Harbor-Abkommens durch die oberste europäische Gerichtsinstanz, den Europäischen Gerichtshof EuGH, sind nicht nur sämtliche Schiffe auf Grund gelaufen. Das Wasser im Hafenbecken wurde abgelassen.

Andreas Gauger, CMO und Gründer von ProfitBricks
Andreas Gauger, CMO und Gründer von ProfitBricks (Bild: ProfitBricks)

Datenschutz-Unterschiede

Im Rückblick erscheint das Safe-Harbor-Abkommen wie ein gutgemeinter Selbstbetrug, der nur dazu diente, die systemimmanenten Unterschiede, die im Bezug auf den Datenschutz zwischen Europa und den USA herrschen, zu leugnen. Datenverarbeitende US-Unternehmen konnten sich den Safe-Harbor-Prinzipien unterwerfen und so ihre Kunden Glauben lassen, deren Daten ordnungsgemäß zu verarbeiten und zu speichern. Und was soll ich sagen? Kaum eines der bekannten US-amerikanischen Großunternehmen hat darauf verzichtet, dem Abkommen beizutreten. Auf diese Weise haben sie jahrelanges Bemühen unterminiert – Bemühen, das darauf abzielte, effektiv wirkende und juristisch saubere Datenschutznetze aufzuspannen.

Unternehmen müssen handeln

Die bittere Erkenntnis, dass US-Behörden jederzeit auf Daten zugreifen können, die sich in den Rechenzentren der europäischen Niederlassungen ihrer amerikanischen Mütter befinden – und das auch in großem Stil taten – kam einem Tsunami gleich. Das Entsetzen und gleichzeitig die juristische Hilflosigkeit, die sich dann breit machte, gleichen der rechtlichen Situation, in der wir uns heute befinden.

Unternehmen in Deutschland müssen jetzt handeln. Sie können theoretisch auf die Standardvertragsklauseln der EU oder Binding Corporate Rules zurückgreifen. Weit werden sie damit jedoch nicht kommen, bestehen gegen diese doch dieselben Bedenken wie gegen Safe Harbor. Kleinen und mittelgroßen Unternehmen wird es zudem nur sehr eingeschränkt möglich sein, große US-Unternehmen dazu zu bewegen, Individualvereinbarungen – sogenannte Auftragsdatenvereinbarungen (AVD) – hinsichtlich des Datenschutzes zu treffen.

Darin legen die Vertragspartner nach § 9 Bundesdatenschutzgesetz die zu treffenden technischen und organisatorischen Maßnahmen zum Schutz der Daten nach deutschen Datenschutzbestimmungen fest. Diese Individualvereinbarung sollte jedoch präzise und absolut vollständig formuliert sein, andernfalls drohen hohe Bußgelder. In der Theorie ist der Abschluss dieser AVD natürlich möglich, in der Praxis jedoch ein komplexes Unterfangen: Unternehmen müssen erst einmal einen Provider finden, der eine solche Individualvereinbarung mit ihnen abschließt und darüber hinaus sicherstellen, dass diese Vereinbarung sowohl wasserdicht ist, als auch vom Auftragnehmer eingehalten wird. Dabei dürfte es zur Zeit wohl kaum ein Unternehmen mit Hauptsitz in den USA geben, das – mit ganz wenigen Ausnahmen – die Daten seiner deutschen Kunden ordnungsgemäß speichert.

Sichere Alternative?

Die momentan einzig sichere Alternative aus meiner Sicht für deutsche Unternehmen ist es, ihre Daten einem deutschen Cloud-Anbieter anzuvertrauen, dessen Unternehmenszentrale und Rechenzentren sich in Deutschland befinden. Nur so gehen sie sicher, dass sie den strengen Vorgaben des Bundesdatenschutzgesetzes entsprechen. Qualitätsanbieter in der Cloud schaffen es darüber hinaus durchaus, ihren Kunden sichere, Cloud-basierte virtuelle Infrastrukturen einzurichten und sind flexibel genug, den Kunden vollkommene Kontrolle über ihre Daten zu belassen. Dem Datenschutz wird umfassend Genüge getan: Hier bleiben die Daten direkt an Land. Sie brauchen keinen Hafen.

Patriot Act & Co. konterkarieren EU-Rechtsprechung

Safe-Harbor-Urteil wirkungslos

Patriot Act & Co. konterkarieren EU-Rechtsprechung

20.10.15 - Das jüngste Urteil des Europäischen Gerichtshofs gegen die Rechtmäßigkeit des Safe-Harbor-Abkommens muss deutschen und europäischen Datenschützern wie Öl heruntergegangen sein. Und doch sind Internet-Nutzer im internationalen Datenverkehr noch lange nicht auf der sicheren Seite. lesen

Cloud-Zertifizierung, Transparenz und das Ende von Safe Harbor

Nachbericht Insider Talk „Cloud-Zertifikate“

Cloud-Zertifizierung, Transparenz und das Ende von Safe Harbor

27.10.15 - Welche Bedeutung haben Cloud-Zertifikate nach dem Safe-Harbor-Urteil, zum Beispiel bei der Prüfung des Cloud-Standortes? Wird es bald ein einheitliches Verfahren zur Cloud-Zertifizierung geben? Diesen und vielen weiteren Fragen ging der aktuelle Insider Talk zur Cloud-Zertifizierung nach. Mit dabei als Experten und Talk-Gäste waren Andreas Weiss (EuroCloud) und Henry Krasemann (ULD). lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43679208 / Compliance)