Auswirkungen des EuGH-Urteils

Wie SAP für Sicherheit in der Cloud sorgen will

Tausende von Unternehmen haben ihre Datenübermittlungen zwischen Deutschland und den USA bisher auf das Safe-Harbor-Abkommen gestützt. IT-MITTELSTAND fragte schriftlich nach, wie Deutschlands größtes Software-Haus SAP auf das Urteil reagiert. Geantwortet hat der dortige Datenschutzbeauftragte, Mathias Cellarius.

Am 6. Oktober 2015 kippte der Europäische Gerichtshof (EuGH) in einem spektakulären Urteil in der Rechtssache C-362/14 die „Safe Harbor Principles“ – und stellte damit die Rechtmäßigkeit der Datenübermittlung zwischen EU und USA in vielen Fällen infrage. Auslöser des Urteils war die Auseinandersetzung zwischen Max Schrems und Facebook sowie der irischen Datenschutzaufsichtsbehörde über die Zulässigkeit der Datenübermittlung aus Irland in die USA auf Grundlage des Safe-Harbor-Abkommens zwischen EU und USA aus dem Jahr 2000.

ITM: Herr Cellarius, wie ist SAP als Software-Haus und als Service-Provider von dem EuGH-Urteil betroffen?
Mathias Cellarius:
Das Urteil des Europäischen Gerichtshofs betrifft uns vergleichsweise wenig, weil wir uns auch schon in der Vergangenheit nicht auf Safe Harbor verlassen haben. SAP arbeitet seit Jahren mit den EU-Standardvertragsklauseln, die von der EU-Kommission vorgegeben worden sind und einen Transfer von personenbezogenen Daten auch in Drittländer wie die USA ermöglichen, die nicht über dasselbe Datenschutzniveau wie EU-Staaten verfügen. Im Augenblick sind diese die einzige noch verbliebene legale Basis für Datentransfers in Länder außerhalb Europas, die über kein adäquates Schutzniveau verfügen.

Bei Unternehmen, die wir erst kürzlich zugekauft haben, gibt es noch einige Altverträge, die auf Safe Harbor beruhen. Diese stellen wir jetzt sukzessive um, sofern diese nicht bereits den SAP-Standard implementiert haben.

Abgesehen davon verwalten wir Daten für unsere Kunden schon heute in 42 Rechenzentren in zwölf Ländern weltweit. Das Wichtigste: Wir bieten bereits eine Alternative für europäische Unternehmen. Diese besteht darin, mit Software-Anbietern zusammenzuarbeiten, die personenbezogene Daten ausschließlich innerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) speichern und bei denen gewährleistet ist, dass von außerhalb der EU/EWR nicht darauf zuge-griffen werden kann, auch nicht zu Wartungszwecken.

Mit „EU Access from SAP“ bieten wir bereits einen solchen Service an. Personenbezogene Daten werden dabei in Rechenzentren ausschließlich innerhalb der EU/EWR sowie der Schweiz (mit ihrem der EU gleichwertigen Datenschutzniveau) gespeichert und verarbeitet. Ohne vorherige Freigabe durch den Kunden sind keine Zugriffe von außerhalb Europas auf diese personenbezogenen Daten möglich.

Diesen Service gibt es für On-Premise-Lösungen sowie für eine Vielzahl von Cloud-Services. SAP ist dabei, dieses Angebot zu erweitern. Vereinbarungen, mit denen wir unseren Kunden eine lokale Datenverarbeitung zusagen, bieten wir übrigens auch in anderen Regionen der Welt an.

Auch wenn wir wenig betroffen sind: Die Wirtschaft, zunehmend auch die Gesellschaft funktionieren heute global. In unserem digitalen Zeitalter brauchen wir die Möglichkeit, Daten international austauschen zu können. Wir treten daher für möglichst einheitliche Standards ein, natürlich auf einem angemessenen Datenschutzniveau. Mindestens in Europa sollten wir einheitliche Regelungen haben; sich national abzu-schotten, kann keine Lösung sein. Nur mit globalen Standards können wir aber die Vorteile und Effizienz-gewinne der Cloud-Lösungen vollständig nutzen.

ITM: SAP ist ja auch in den USA präsent. Unterliegt die SAP SE damit nicht automatisch auch US-Recht? Wie kann sich SAP davon distanzieren, wenn die US-Justiz/Regierung von der US-Tochter die Herausgabe von Daten fordert?
Cellarius:
SAP hält sich grundsätzlich an das geltende Recht, wo immer SAP tätig ist. Bei Anfragen von Behörden und Gerichten muss ein global aufgestelltes Unternehmen aber stets genau prüfen, an welches Konzernunternehmen sich die Anfrage richtet, welches Recht anwendbar ist und ob die Anfrage danach rechtlich zulässig und begründet ist. Für ein datenverarbeitendes Unternehmen wie SAP kommt dabei als mögliche weitere Dimension das Rechtsverhältnis zu den Kunden hinzu.

Vor diesem Hintergrund lässt sich kaum eine pauschale Aussage treffen, vielmehr muss man Einzelfälle genau prüfen. Für die SAP SE gilt: Sie ist ein deutsches Unternehmen mit Sitz in Walldorf. Die Ausgangslage für eine Prüfung etwaiger Herausgabeverlangen wäre mithin deutsches Recht. Gegen ein unberechtigtes Herausgabeverlangen würden wir uns mit allen rechtlich zur Verfügung stehenden Mitteln zur Wehr setzen.

ITM: Angenommen, die US-Regierung fordert von SAP die Herausgabe der Daten eines Kunden. Auch wenn SAP rein rechtlich nicht zur Herausgabe verpflichtet wäre, könnte SAP sich (marktpolitisch) überhaupt weigern? Würde SAP vor Gericht gehen?
Cellarius:
Der Fall ist hypothetisch. Uns ist kein Fall bekannt, in dem es eine solche Forderung an SAP gegeben hätte.

ITM: Vor Gericht und auf hoher See ist man in Gottes Hand: Was würde SAP tun, wenn schlussendlich ein US-Gericht die Herausgabe der Daten fordert?
Cellarius:
Wie bereits dargestellt, wird SAP jeden Anspruch auf Herausgabe von (personenbezogenen) Daten auf seine Rechtmäßigkeit überprüfen. Wer den Service „EU Access from SAP“ nutzt, für den ist das in Europa kein Thema. Grund hierfür ist, dass die Verarbeitung, Speicherung und ein möglicher Zugriff auf personenbezogene Daten aus Rechenzentren erbracht werden, die sich ausschließlich in Europa, dem Europäischen Wirtschaftsraum sowie der Schweiz befinden. Solange der Kunde nicht selbst einen Fernzugriff von außerhalb auf solche Daten gestattet, die innerhalb dieser Region liegen, könnte auch eine US-Behörde mangels potentiellen Zugriffs auf solche Daten aus den USA keine Herausgabe verlangen.

ITM: Zum Schluss ein anderes Thema im gleichen Zusammenhang: Mit Hana bietet SAP ja auch eine Datenhaltungsplattform an. Warum können Kunden sicher sein, dass keine Backdoors für Geheimdienste eingebaut sind? Gewähren Sie z.B. Einblick in (bzw. Kontrolle über) den Code? Das ist ja eines der Argumente, die Open-Source-Datenbanken für sich haben ...
Cellarius:
Unser CEO Bill McDermott hat es bereits deutlich gesagt: Es gibt in Hana keine Backdoors. Dass wir nicht preisgeben, wie unser Code aussieht und auch sonst keine Details darüber diskutieren, wie wir damit umgehen, gehört natürlich auch zu den Sicherheitsmaßnahmen, die wir treffen. Das ist aber nichts Besonderes, sondern das können unsere Kunden von uns erwarten. 

Bildquelle: Thinkstock / iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok