Suchen

Sind Cloud Services im Ausland sicher? Datenschutz und Safe Harbor bei ausländischen Cloud Services

| Redakteur: Peter Schmitz

Erst kürzlich wurde die Hamburger Sparkasse (HASPA) kritisiert, weil sie Kundendaten auf Servern in den USA speicherte und Verbaucherschützer darin einen Verstoß gegen das Datenschutzgesetzt sahen. Dabei hat sich die Hamburger Sparkasse nicht nur auf das „Safe Harbor“-Abkommen verlassen, sondern auch ein Zusatz-Abkommen geschlossen. Dennoch war das nicht genug. Aber was können Banken besser machen?

Firmen zum Thema

Trotz Safe Harbor Abkommen ist es fraglich, ob die Speicherung personenbezogener Daten bei Cloud Service Anbietern im Ausland legal ist.
Trotz Safe Harbor Abkommen ist es fraglich, ob die Speicherung personenbezogener Daten bei Cloud Service Anbietern im Ausland legal ist.
( Archiv: Vogel Business Media )

Spiegel-Online berichtete vor einigen Tagen über einen Datenschutz-Vorfall bei der Hamburger Sparkasse (HASPA). Das Kreditinstitut hat offensichtlich personenbezogene Daten zur Verarbeitung und/oder Speicherung an ein in den USA ansässiges Unternehmen übermittelt. Sicher ist jedoch nicht, ob das ganze Vorgehen legal war. Dabei hat sich die HASPA an das zwischen der EU und USA bestehende Datenschutzabkommen „Safe Harbor” gehalten.

Safe Harbor

Bei „Safe Harbor” handelt es sich um ein Abkommen, dass allen EU-Unternehmen ermöglicht, legal Daten in die USA zu übermitteln und dort zu verwalten. US-Unternehmen, die für dieses Abkommen zertifiziert sind, bieten aus Sicht der EU ausreichenden Schutz der Daten und gelten somit als adäquater Partner für den Datenverkehr zwischen der EU und der USA.

Die Zertifizierung läuft jedoch recht willkürlich ab. Ein US-Unternehmen meldet sich schriftlich bei der zuständigen Behörde in den USA, erklärt sich mit den Regularien einverstanden, bestätigt die Konformität zu den vorgegebenen Richtlinien und verweist auf eine angemessene Datenschutzrichtlinie. Eine flächendeckende Kontrolle durch die zuständigen Behörden in Europa und in den USA ist bei solch einem Prozess nur schwer möglich.

Zusätzliche Absicherungen sind notwendig

Zusätzlich zu „Safe Harbor” ist es daher ratsam, eine Verpflichtung vom US-amerikanischen Handelspartner einzuholen, in denen dieser sich zum Schutz der Daten nach dem Bundesdatenschutzgesetz verpflichtet.

„Wer sich lediglich auf ‘Safe Harbor’ verlässt, geht ein hohes Risiko ein”, sagt Scott Sanchez, VP für Cloud Solutions beim Berliner Clud-Service-Anbieter ScaleUp Technologies. „Ich kenne keinen CIO, der meint, dieses Risiko zu akzeptieren sei eine gute Idee”.

Daten in der Cloud

Jegliches Speichern von Daten in der Wolke sollte deshalb durch entsprechende Verträge ausreichend abgesichert sein. Auch die HASPA hielt sich an diesen Rat und hat sich eine Zusatz-Verpflichtung des US-Anbieters eingeholt. Doch da die Daten in eine ausländische Wolke ausgelagert wurden, wurde Kritik laut. „Das muss nicht sein“, so Sanchez.

„Wir raten unseren Kunden immer dazu, solch einen Transfer transparent zu machen. Dies ist aber anscheinend bei der HASPA nicht geschehen. Viel einfacher ist es aber, die Daten erst gar nicht in ein anderes Land auszulagern. Suchen sie sich doch einen Anbieter innerhalb ihrer geographischen Grenzen, dann können auch ihre Kunden ruhiger schlafen.”

(ID:2048313)