Was kommt nach dem Safe-Harbor-Urteil?

Datentransfer in die USA

Mit dem Urteil zu Safe Harbor, in dem die bestehende Vereinbarung zwischen den USA und Europa für ungültig erklärt wurde, hat der Europäische Gerichtshof (EuGH) die IT-Industrie und die Anwenderunternehmen überrascht. Betroffene müssen nun neue Wege finden, wie ihre Daten in den USA entsprechend der EU-Datenschutzrichtlinien verarbeitet werden. Welche Möglichkeiten es gibt, erläutert Dr. Dierk Schindler, Head of EMEA Legal & Worldwide Contract Management bei Netapp.

  • Datentransfer in die USA

    Wie können IT-Verantwortliche ihre Daten in den USA entsprechend der EU-Datenschutzrichtlinien verarbeiten?

  • Dr. Dierk Schindler, Netapp

    Dr. Dierk Schindler, Head of EMEA Legal & Worldwide Contract Management bei Netapp

IT-DIRECTOR: Herr Schindler, nach dem Safe-Harbor-Urteil: Wie sieht die aktuelle Situation aus?
D. Schindler:
Es besteht große Unklarheit, wie mit dem Urteil umzugehen ist. Denn es ist immer noch nicht so ganz klar, welche Auswirkungen sich konkret für Unternehmen ergeben. Fest steht nach dem EuGH-Urteil allerdings, dass die Übertragung personenbezogener Daten in die USA auf Basis von Safe Harbor nun verboten ist – und zwar unwiderruflich. Genau genommen wurde mit dem Urteil eine im Jahr 2000 zwischen der EU und den USA getroffene Vereinbarung rückwirkend für ungültig erklärt. Wer in den vergangenen Jahren auf Basis von Safe Harbor mit den USA Daten austauschte, muss von Seiten der Aufsichtsbehörden jedoch keine rückwirkenden Maßnahmen befürchten.

Das große Problem in der Praxis ist aber, dass auch unklar ist, ob und wie sich diese Entscheidung auf die rechtlichen Alternativen zu Safe Harbor auswirkt. Ein verbreiteter Lösungsansatz ist die Nutzung der sogenannten „Standardvertragsklauseln“ (EU Model Clauses). Einige Experten und Datenschützer weisen darauf hin, dass auch dort dasselbe Dilemma besteht. Im Zweifel kann ein US-amerikanischer Datenverarbeiter gesetzlich gezwungen sein, Behörden dennoch Datenzugriff zu ermöglichen.

Bleibt die individuelle Einwilligung der Betroffenen. Doch auch diese steht kaum als wirkliche, flächendeckende Lösungsalternative zur Verfügung. Mal abgesehen von dem immensen logistischen und administrativen Aufwand, müsste die Einwilligung auch auf Basis vollständiger Informationen erfolgen und unter ausdrücklichem Hinweis auf das fehlende Schutzniveau in den USA und welche Risiken das birgt. Diesen Standard dürfte in der Praxis heute kaum jemand erfüllen können.

Die derzeit bestmögliche verfügbare Lösung sind die Binding Corporate Rules (BCRs), also verbindliche Unternehmensregeln für die Datenverarbeitung. Unternehmen, welche diese wirksam und vollständig eingeführt haben, sind bis auf weiteres gut aufgestellt. Diese Lösung ist jedoch sehr aufwendig und daher nicht schnell umsetzbar. Zudem kündigten die Datenschutzbehörden an, bis auf weiteres keine neuen BCRs oder individuelle Datenexportverträge in Deutschland zu genehmigen.

IT-DIRECTOR: Was müssen IT-Verantwortliche jetzt tun?
D. Schindler:
Für Unternehmen bleibt prinzipiell die Möglichkeit, auf Standardvertragsklauseln zu setzen. Diese von der Europäischen Kommission bereitgestellten Musterverträge sind als taugliche Rechtsgrundlage zur Herstellung eines angemessenen Datenschutzniveaus für den Datentransfer gedacht – ohne weitere Genehmigung der Datenschutzbehörden. Aber Achtung: Dies galt und gilt immer unter der Voraussetzung, dass auch tatsächlich ein wirksamer Schutz besteht, der technisch und organisatorisch nachhaltig abgesichert wird.

Im Grunde gibt es derzeit de facto nur eine wirklich sichere Alternative, nämlich personenbezogene Daten nur noch auf Servern innerhalb Europas zu verarbeiten. Ab Ende Januar 2016 werden dann die Karten wieder neu gemischt. Die nationalen EU-Datenschutzbehörden werden bestehende Verfahren bis dahin prüfen. Darüber hinaus sind die USA und die EU-Kommission weiterhin in Verhandlungen über eine Nachfolgeregelung zu Safe Harbor. Zeitpunkt und Ausgang sind derzeit noch völlig offen, geht es doch um nichts Geringeres, als die Überbrückung eines grundverschiedenen Ansatzes des Themas ‚Datenschutz‘.

Der Termin bis Ende Januar 2016 wird als eine Art Umstellungsfrist gesehen. Auch wenn dieses Datum nicht bindend für die lokalen Aufsichtsbehörden ist, muss ab dann mit erhöhter Aktivität der Behörden gerechnet werden. Es gibt dementsprechend bereits erste Landesdatenschutzbehörden, die bei einer Reihe von Unternehmen kurzfristig Überprüfungen angekündigt haben. Es wartet auf die IT-Verantwortlichen also kurzfristig eine Menge Arbeit. Zunächst gilt es zu analysieren, welche Daten aus der eigenen Organisation bislang in den USA verarbeitet bzw. dorthin gespeichert wurden. Anschließend müssen die Verantwortlichen gemeinsam mit ausländischen Niederlassungen und eventuell auch mit Kunden und Partnern eine neue Rechtsgrundlage definieren, die den Datenaustausch zwischen der EU und den USA nach der neuen Rechtslage absichern.

IT-DIRECTOR: Viele Unternehmen nutzen heute schon Cloud-Dienste der großen US-Anbieter. Müssen sie diese jetzt kündigen und die IT wieder klassisch im eigenen Rechenzentrum betreiben?
D. Schindler:
Selbstverständlich können Unternehmen auch weiterhin die Public Cloud als Teil ihrer Hybrid-Cloud-Lösung nutzen. Zunächst ist es wichtig, die verwendeten Cloud-Services zu analysieren und sich Klarheit über die Art der Daten zu verschaffen, für die sie genutzt werden. Aus Sicht des Datenschutzes müssen IT-Verantwortliche sicherstellen, dass die eigenen, personenbezogenen Daten beim Provider ordnungsgemäß geschützt und gesichert sind. Darüber hinaus ist es wichtig zu wissen, wo alle Instanzen der Daten gespeichert werden und wie der Datentransfer erfolgt. Auch das richtige Maß an Policy Management ist zu überprüfen, damit nur berechtigte Personen auf die Daten zugreifen können. Zertifizierungen der Anbieter sowie eigene Stichproben mit geeigneten Monitoring-Werkzeugen helfen, die Angaben der Cloud Provider zu überprüfen.

IT-DIRECTOR: Welche technologischen Ansätze gibt es denn, um jetzt hybride Clouds entsprechend den Datenschutzvorschriften zu verwenden?
D. Schindler:
Je nach Hersteller und IT-Dienstleister wird man hier unterschiedliche Antworten bekommen. So sehen einige Anbieter schon alleine in einer starken AES-Verschlüsselung eine valide Methode, um die Anforderungen an Datenschutz und Datensicherheit zu erfüllen. Dies mag bei der reinen Archivierung von Backup-Daten zutreffen. Sobald jedoch Compute-Workloads aus der Cloud außerhalb Deutschlands bezogen werden, sind andere Mechanismen notwendig.

Wir haben gemeinsam mit Dr. Jens Bücking, Rechtsanwalt und Fachanwalt für IT-Recht, einen kostenfreien Leitfaden zur sicheren Nutzung von Cloud-Ressourcen entwickelt. In diesem Zusammenhang stellen wir auf unserer Webseite eine Lösung vor, wie Unternehmen hybride Cloud-Infrastrukturen mit Co-Location-Providern aufbauen, die ihren Standort in unmittelbarer Nähe der Public-Cloud-Anbieter haben. Der Kunde betreibt dort ein eigenes privates Speichersystem, von dem aus exklusive Datenverbindungen zu Public-Cloud-Anbietern hergestellt werden. Durch die geografische Nähe beider Clouds entsteht eine “Cloud an der Cloud” mit geringen Latenzzeiten. Die Services und Ressourcen der Public-Cloud-Anbieter greifen hierbei direkt auf die Daten des privaten Storage-Systems des Kunden zu. Dies ist entscheidend, denn hierbei werden keine Unternehmensdaten permanent in die Public Cloud verschoben. Das bedeutet: Daten bleiben in einem Storage-System gespeichert, das unter uneingeschränkter, dauerhafter Kontrollhoheit des Unternehmens verbleibt. Da Co-Location die Cloud zur Erweiterung der eigenen IT-Ressourcen nutzt, also ohne explizite Übergabe der Daten in eine Drittverantwortung, gilt dieses Konzept als technische Verlängerung eines unter Eigenkontrolle stehenden IT-Systems und fällt damit nicht unter die strengen Voraussetzungen an eine Datenübermittlung in Drittstaaten. Zudem fällt keine Auftragsdatenverarbeitung an, die vertraglich und kontrolltechnisch abzusichern wäre.

Technische Basis hierfür ist eine Multi-Cloud-Infrastruktur, die beispielsweise durch unser Data-Fabric-Konzept realisiert werden kann. Dieses Konzept setzt sich aus verschiedenen Technologien zusammen, wie das Speicherbetriebssystem Data Ontap und Private Storage. Unternehmen behalten so die Kontrolle über die eigenen Daten, auch bei Nutzung der Public Cloud. IT-Verantwortliche erfüllen damit Compliance-Anforderungen, da jederzeit transparent ist, wo sich die Daten befinden. Gleichzeitig bleiben Daten auch jederzeit beweglich, verfügbar, sicher und vertraulich.

Bildquelle: Thinkstock/Bananastock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok