Das Ende von Safe Harbor – was tun? - Sicherheit - Heise Partnerzones Sicherheit . Dell, Cloud, Mobile, Security, Enterprise, Business, Software . Cloud, Mobile und Security: Erfahren Sie alles über die Lösungen von Dell /styles/zones/basis.css

Das Ende von Safe Harbor – was tun?

Das Safe-Harbor-Abkommen zwischen der Europäischen Union und den USA, das bislang den Transfer von nach EU-Recht geschützten Daten regelte, ist erst einmal Geschichte. Das entsprechende Ungültigkeits-Urteil des Europäischen Gerichtshofs vom 6. Oktober 2015 hat auch für deutsche Unternehmen Konsequenzen.

 - Quelle: Fotolia, M. Weissblick

Quelle: Fotolia, M. Weissblick

Autor: Thomas Fischer

Ob bei Cloud-Diensten, SaaS-Angeboten, Social-Media-Plattformen oder anderen Internet-Services: Immer dann, wenn es um die Übermittlung von nach EU-Recht geschützten persönlichen Daten an in den USA gehostete Anbieter geht, griff bisher die sogenannte Safe-Harbor-Regelung. Das „Sicherer Hafen“-Verfahren sollte die Einhaltung europäischer Datenschutzbestimmungen sicherstellen. Andernfalls wäre der Datentransfer unzulässig, weil die USA nicht alle von der EU geforderten Schutzstandards erfüllen, etwa das Verbot der willkürlichen Verarbeitung sensibler personenbezogener Informationen. Ausnahmen sind nach EU-Recht nur bei einem wichtigen öffentlichen Interesse möglich.

EU-Datenschutz umschifft

Am 21. Juli 2000 verabschiedete das US-Handelsministerium verschiedene erweiterte Kriterien des Datenschutzes, bei denen die europäischen Datenschutzrichtlinien berücksichtigt wurden. Diese waren Grundlage des Safe-Harbor-Abkommens, mit dem die Europäische Kommission im gleichen Jahr den Datentransfer an US-Unternehmen erlaubte.

Die Unternehmen mussten sich für dieses Verfahren bei der Federal Trade Commission speziell registrieren. Dies geschah mit Angabe der Art der gespeicherten Daten und der Verpflichtung auf Einhaltung der Safe-Harbor-Kriterien. Die Liste der eingetragenen Unternehmen liest sich wie das Who‘s who der amerikanischen Wirtschaft, darunter alle namhaften Größen der IT- und Internet-Industrie, und ist im Internet frei einsehbar.

Mit Urteil vom 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) das Safe-Harbor-Verfahren jedoch für ungültig erklärt. Auslöser der Entscheidung war der österreichische Datenschutzaktivist Maximilian Schrems. Der junge Jurist klagte seit 2011 zunächst in Irland, später in Österreich gegen Facebook, weil dieses Unternehmen ungeniert Daten von EU-Bürgern zu den Servern der Firmenzentrale in die USA weiterleitet. Diese Klagen hatten anfangs keinen Erfolg. Erst als im Zuge der Enthüllungen von Edward Snowden bekannt wurde, wie der amerikanische Geheimdienst NSA in seinem PRISM-Programm den Datenverkehr von Konzernen wie Google und Facebook überwacht und dreist ausspioniert, kam neue Bewegung in die Klage, die schließlich vor dem EuGH landete.

In seinem Urteil (Rs. C-362/14) stellte das höchste europäische Gericht fest, dass Safe Harbor für amerikanische Geheimdienste keinen Hinderungsgrund für den Zugriff auf alle beliebigen Daten eines in den USA ansässigen Unternehmens darstellt. Und damit auch auf die dort gespeicherten Daten von EU-Bürgern, die durch das Verfahren eigentlich geschützt sein sollten. Als Folge des Ungültigkeits-Urteils waren die Datenschutzaufsichtsbehörden in den einzelnen Mitgliedsstaaten der EU sofort dazu befugt, den Datentransfer im Rahmen des Safe-Harbor-Verfahrens zu untersagen.

Konsequenzen für deutsche Unternehmen

Da auch die deutschen Datenschutzbehörden keinen Datenexport auf Basis des alten Safe-Harbor-Abkommens mehr genehmigen wollen, sind viele hiesige Unternehmen von dem EuGH-Urteil betroffen. Nämlich prinzipiell alle, die ihre Datenverarbeitung nicht in firmeneigenen Rechenzentren mit Standorten in der EU betreiben.

Das Aus für Safe Harbour umfasst auch den Datentransfer über Dritte. Daher sind insbesondere IT-Dienstleister mit Hauptsitz in den USA kritisch zu hinterfragen, die sich nun nicht mehr auf ihren Platz auf der FTC-Liste berufen können. Besonderes Augenmerk sollte dabei den Anbietern aus den Bereichen Cloud-Dienste und SaaS (Software as a Service) zukommen. Auch Speicher-, Tracking-Analyse-, Hosting- und andere Internetservices können rechtlich problematisch sein. Und zwar immer dann, wenn dabei personenbezogene Daten verarbeitet und gespeichert werden, die nach den deutschen Datenschutzrichtlinien unter besonderem Schutz stehen.

Der Firmenhauptsitz allein stellt jedoch kein Ausschlusskriterium dar, entscheidend sind vielmehr die Standorte der Rechenzentren und Serverparks, die bei international vertretenen Firmen oft in verschiedenen Ländern liegen. Bei Standorten in der EU sind keine rechtlichen Schwierigkeiten zu erwarten. Allerdings muss gewährleistet sein, dass die Niederlassungen nicht US-Recht unterliegen. Andernfalls könnten auch hier wieder US-Geheimdienste auf die Daten zugreifen. Falls die Dienstleister auf Nachfrage hier keine verlässlichen Angaben machen können, sollten sich deutsche Auftraggeber besser zeitnah nach europäischen Alternativen umsehen.

Gut aufgestellt als Dienstleister ist in diesem Zusammenhang beispielsweise bereits das Unternehmen Dell. Wie Alexander Neff, General Manager & Executive Director EMEA Central bei Dell Software, in einem Interview mit dem Insider-Portal erklärte, können europäische Unternehmen als Geschäftspartner sicher sein, dass die Datenverarbeitung auf Dell-Servern geschieht, die innerhalb der Europäischen Union stehen, und dass die darauf gespeicherten Daten die Grenzen Europas nicht verlassen.

Ausblick

Das Ende des bisherigen Safe-Harbor-Verfahrens zwingt die meisten Unternehmen, ihre Zusammenarbeit mit Cloud-, SaaS- und anderen IT-Dienstleistern, die in den USA beheimatet sind, neu zu hinterfragen und gegebenenfalls nach Alternativen zu suchen. Auf der rechtlich sicheren Seite fahren Unternehmen nur, wenn sie Partner wählen, die die Datenverarbeitung in der EU garantieren.

Offiziell endet die Schonfrist, bis zu der entsprechende Maßnahmen eingeleitet sein sollten, schon Ende Januar 2016. Allerdings laufen bereits Verhandlungen zwischen den USA und der EU-Kommission, die möglichst bald zu einem neuen Abkommen für den Datentransfer und -schutz führen sollen. Wann hier eine Einigung erzielt werden kann, ist jedoch – auch angesichts der laufenden Diskussion um eine Novellierung des Datenschutzes in der EU – noch nicht absehbar.

Weitere Artikel zum Thema

Wenn Daten in die Cloud sollen – Pro und Kontra

Mit der Cloud dynamisch auf sich plötzliche ändernde Unternehmensprozesse reagieren (Interview)

Projekt Cloud-Lösung – Vertrauen zum Partner garantiert den Erfolg (inkl. Whitepaper)

1 | 2