Safe-Harbor-Urteil

Konsequenzen für den Datenschutz in der EU

Seite: 2/2

Firmen zum Thema

Langfristige, strategische Lösungen

Vor allem die Standardverträge werden von den Datenschützern ähnlich kritisiert wie das Safe-Harbor-Abkommen. Erste Stimmen aus diesem Kreis betonten, dass die Datenschutzbehörden entsprechend der EuGH-Entscheidung berechtigt sind, die Rechtmäßigkeit der Auftragsdatenverarbeitung zu prüfen. Es ist also durchaus möglich, wenn nicht gar wahrscheinlich, dass auch die Standardklauseln ins Wanken geraten.

Kurz und gut: Die EU-Standardvertragsklauseln sind formalrechtlich die schnellste Lösung für das Datenschutzvakuum im Geschäftsverkehr mit US-Cloud-Providern. Sie sind aber vermutlich keine Lösung für die Dauer. Unternehmen tun also gut daran, sich weitere Optionen zu erarbeiten, zum Beispiel

  • die technische Lösung. Eine wirksame Möglichkeit ist die Verschlüsselung sämtlicher Daten. Dazu muss allerdings eine sogenannte Ende-zu-Ende-Verschlüsselung nach einem aktuell sicheren Standard verwirklicht sein – beispielsweise dem AES256-Verfahren.

Diese Lösung ist grundsätzlich praktikabel, funktioniert aber reibungslos nur bei zwei Arten von Services: Erstens bei reinen Speicherdiensten wie Dropbox, da hier die Daten nicht mehr weiterverarbeitet werden. Zweitens bei Infrastrukturanbietern, da hier die technischen Details abgestimmt werden können. So ist es zum Beispiel vergleichsweise leicht möglich, mit verschlüsselten virtuellen Datenträgern und Übertragungen zu arbeiten.

Idealerweise greifen die Geschäftspartner dabei auf Hardware-Sicherheitsmodule (HSM) zurück, mit denen alle aktuellen (sicheren) Verfahren für Verschlüsselung, Signierung und Schlüsseltausch verwirklicht werden können. Sie sind zum Beispiel bei der Absicherung von Transaktionen im Finanzsektor bewährt.

Alles dort lassen, wo es bereits ist

Doch auch die technische Lösung hat wie die anderen Optionen eine äußerst untechnische Basis: Vertrauen. Denn kaum ein Unternehmen hat die Möglichkeit, sämtliche technischen Details oder die wirkliche Umsetzung von Serviceverträgen im Einzelnen zu kontrollieren.

Auch die Aufsichtsbehörden werden kaum flächendeckende Untersuchungen in den USA in die Wege leiten können. Deshalb sollten europäische Unternehmen auf lange Sicht grundsätzliche, strategische Entscheidungen über den Einsatz von Cloud-Diensten treffen.

  • Die langfristige Lösung: Die deutschen Unternehmen, die personenbezogene Daten durch Dritte verarbeiten lassen wollen, können sich nach einem Dienstleister umschauen, der in Deutschland sitzt. Für die Nutzung der Cloud gilt: Nur mit einem Cloud-Anbieter mit Hauptsitz und Rechenzentren in Deutschland gehen sie sicher, den strengen deutschen Datenschutzbestimmungen zu entsprechen.

Dieser Weg bedeutet für die Unternehmen einen erhöhten Aufwand und ist sicherlich nicht in kurzer Frist begehbar. Dies gilt aber besonders für Unternehmen, die stark spezialisierte Geschäftsanwendungen aus der Cloud beziehen (Software as a Service, SaaS). Sie stehen vor einem vergleichbaren Problem wie beim Austausch langfristig genutzter On-Premise-Anwendungen: Die Unternehmensdaten müssen aufwändig ausgelesen und konvertiert werden.

Viel besser sieht es hingegen für alle allgemeinen IT-Anwendungs- und Verarbeitungsfälle aus. Sie machen bei weitem den größeren Teil der Arbeitslasten aus. Hier haben die Nutzer von Infrastruktur-Dienstleistungen die Nase vorn, denn der Wechsel zu einem anderen Anbieter ist im Regelfall gut zu bewältigen.

Andreas Gauger
Andreas Gauger
(Bild: ProfitBricks)

* Über den Autor

Andreas Gauger ist Gründer und CMO von ProfitBricks.

(ID:43660633)