Rechtssicheres Cloud Computing

Safe-Harbor-Urteil des EuGH – wie geht es weiter?

Mit der Entscheidung des Europäischen Gerichtshofs (EuGH) zu Safe Harbor stehen viele Verantwortliche hinsichtlich des Datenschutzes beim Cloud Computing in einem luftleeren Raum.

Safe-Harbor-Urteil

Kein sicherer Hafen mehr: Das Safe-Harbor-Urteil des EuGH verändert die Datenschutzanforderungen beim Cloud Computing.

Fünfzehn Jahre lang regelte das Safe-Harbor-Abkommen die Auftragsdatenverarbeitung zwischen Unternehmen in Europa und den Vereinigten Staaten. Die enorme Entwicklung von Cloud Computing trug dazu bei, dass mehr und mehr datenverarbeitende US-amerikanische Unternehmen sich auf den „sicheren Hafen“ beriefen und personenbezogene Daten aus Europa verarbeiteten. Mit der Entscheidung des Europäischen Gerichtshofs (EuGH) stehen Unternehmen in Deutschland und der EU nun hinsichtlich des Datenschutzes in einem luftleeren Raum. Schnelles, aber dennoch umsichtiges Handeln ist nun angesagt. Nach der wegweisenden Entscheidung gibt die EU-Kommission Handlungsorientierung. Die verschiedenen juristischen und technischen Möglichkeiten sollten jedoch gut geprüft werden, insbesondere im Hinblick auf langfristige Folgen.

Möglich, aber unsinnig

Ein gangbarer Weg wäre, sämtliche bestehenden Verträge mit US-Anbietern oder deren europäischen Tochterunternehmen zu kündigen. Doch laufen Dienste nicht isoliert und sind zumeist stark in die Abläufe integriert. Zudem stellt sich die Frage nach einer sofort verfügbaren Alternative.

Auch könnten betroffene europäische Unternehmen und deren Endkunden das ausdrückliche Einverständnis für die Auftragsdatenverarbeitung in den USA einholen. Es dürfte jedoch für das einzelne Unternehmen recht sehr aufwändig sein, die notwendige Individualregelung der Auftragsdatenvereinbarung auf die strengen Erfordernisse des § 9 Bundesdatenschutzgesetz zuzuschneiden.

Praktikabel und machbar

Vor allem kleine und mittelgroße Unternehmen können mit ihrem Cloud-Provider einen ergänzenden Vertrag abschließen, in dem man sich darauf einigt, dass die Auftragsdatenverarbeitung künftig nach den Standardvertragsklauseln der EU geregelt wird.

Großunternehmen und Konzerne können sich als verbindliche Richtlinien zum Umgang mit personenbezogenen Daten auch sogenannte Binding Corporate Rules (BCR) auferlegen und deren Einhaltung garantieren. Jedoch müssen diese BCR von nationalen Datenschutzbehörden anerkannt werden, bevor sie rechtssicher sind. Weit werden Unternehmen so jedoch nicht kommen, bestehen hier doch grundsätzlich dieselben Bedenken wie gegen Safe Harbor.

Eine akzeptable technische Lösung wäre die Ende-zu-Ende-Verschlüsselung der Daten beispielsweise nach dem AES256-Verfahren. Reibungslos funktioniert dies jedoch nur bei reinen Speicherdiensten , da hier die Daten nicht mehr weiterverarbeitet werden; oder bei Anbietern von Infrastrukturen, da sich in diesem Fall die technischen Details festlegen lassen wie beispielsweise verschlüsselte virtuelle Datenträger oder Übertragungen.

Hieb- und stichfest

Wollen deutsche Unternehmen personenbezogene Daten durch Dritte verarbeiten lassen und eine langfristige Lösung finden, sollten sie nach einem Dienstleister Ausschau halten, der Hauptsitz und Rechenzentren in Deutschland hat. Sind diese beiden Bedingungen erfüllt, können sie sicher sein, den strengen deutschen Datenschutzbestimmungen zu entsprechen.

Kurzfristig ist ein solcher Anbieterwechsel natürlich nicht machbar – vom Aufwand, den so eine Lösung nach sich zieht, ganz zu schweigen. Besonders Unternehmen, die spezielle Geschäftsanwendungen aus der Cloud beziehen (Software as a Service, SaaS), stehen vor einem vergleichbaren Problem wie beim Austausch langfristig genutzter On-Premise-Anwendungen: Fakt ist, dass die Unternehmensdaten ausgelesen und migriert werden müssen.

Besser stellt sich die Situation bei allen allgemeinen IT-Infrastruktur-Anwendungsfällen dar. Ein solcher Wechsel ist meist mit einem wahrhaft überschaubaren Aufwand zu bewältigen. Cloud-Qualitätsanbieter sind darauf spezialisiert, ihren Kunden sichere virtuelle Infrastrukturen einzurichten. Und sie sind flexibel genug, den Kunden die vollkommene Kontrolle über ihre Daten zu belassen.

* Der Autor, Andreas Gauger, ist Gründer und Chief Marketing Officer (CMO) von Profitbricks

Bildquelle: Thinkstock/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok