Update: Safe Harbour heißt jetzt EU-US-Privacy Shield

Cloud? Legal, illegal, schnurzpiepegal [Update]

UPDATE: Der rechtsfreie Raum ist wieder geschlossen.

[Update DI 02.02.2016 - 17:20]

Der rechtsfreie Raum ist wieder geschlossen, die Einigung über neue Regeln beim Datenverkehr zwischen EU und USA ist da. (Die kurzzeitige Illegalität des Bitstreams über den großen Teich widersprach wohl dem Geist der modernen Kontrollgesellschaft.)

Laut Nachrichten-Meldungen überwacht und sanktioniert das US-Handelsministerium Unternehmen, die Daten aus Europa verarbeiten. Die ganze Angelegenheit unterliegt der Aufsicht der Justiz- und Sicherheitsbehörden. Beide Partner sollen die Umsetzung der Vereinbarungen alljährlich überprüfen können.

Als Gremium für Anliegen der EU-Bürger soll es einen Ombusdman geben, der erstaunlicherweise unabhängig von den US-Geheimdiensten arbeiten darf. Das will der US-Aussenminister der EU sogar schriftlich geben. Diese neue Regelung gilt allerdings noch nicht, die einzelnen EU-Mitgliedsstaaten müssen ihr noch jeweils einzeln zustimmen.

[Der ursprüngliche Artikel]

Guten Morgen, willkommen in der Anarcho-Cloud von 2016. Falls Sie in einem Unternehmen US-Cloudservices einsetzen: Sie arbeiten seit heute Morgen Null Uhr (vermutlich) illegal. Und jetzt? Eine ebenso berechtigte wie nutzlose Frage. Es gibt für Unternehmen kaum eine andere Möglichkeit als schulterzuckend Business As Usual zu machen.

Doch der Reihe nach: Bis zum Herbst 2015 war die Welt für Anbieter und Nutzer von B2B-Cloudservices in den USA noch in Ordnung. Die Safe-Harbor-Regelung mit den USA garantierte seit dem Jahr 2000 europäischen Kunden ein Datenschutzniveau wie in der EU. Doch Anfang Oktober legte der Europäische Gerichtshof (EuGH) den sicheren Hafen trocken und entzog 15 Jahren bequemer Rechtspraxis die Grundlage.

Die Richter kritisierten die Vorgehensweise der USA: Es gebe keinen Rechtsschutz für EU-Bürger und die Gesetzeslage erlaube US-Behörden den Datenzugriff. De facto entsprach das einer Kündigung des Safe-Harbor-Abkommens. Die Datenschutzbeauftragten einigten sich im Anschluss auf eine Übergangsfrist bis Februar 2016.

Ab diesem Zeitpunkt, also ab heute, prüfen die Datenschutzbehörden, ob Unternehmen sich nicht mehr auf das ausgesetzte Abkommen berufen. Bei Verstößen droht ein Bußgeld, das bis zu 300.000 Euro betragen kann. Gleichzeitig forderten die Datenschützer die EU-Kommission auf, verbesserte Verträge mit den USA auszuhandeln. Was ist inzwischen politisch geschehen? Nichts!

Compliance beim Datenschutz war gestern

Für deutsche Unternehmen bedeutet dies, dass alle Serviceverträge ungültig sind, sofern sie sich ausschließlich auf das Safe-Harbor-Abkommen berufen. Doch die aktuelle Datenschutzrichtlinie der EU sieht zwei alternative Wege vor, die ebenfalls eine rechtlich abgesicherte Auftragsdatenverarbeitung erlauben sollen.

Zum einen kann dies mit „Bindung Corporate Rules (BCR)“ geregelt werden. Dabei handelt es sich um individuell ausgehandelte Datenschutzregeln, die EU-Richtlinien berücksichtigen müssen. Die zweite und einfachere Möglichkeit sind die vorgefertigten Standardvertragsklauseln der EU, die einfach in eine konkrete Vereinbarung eingefügt werden können.

Beide Verfahren, vor allem die Standardvertragsklauseln, haben sich in den vier Monaten seit dem Ende der Safe-Harbor-Regelung zur Allzweckwaffe gegen das rechtliche Vakuum im Datenschutz entwickelt. So haben Anbieter wie Salesforce sofort die entsprechenden Klauseln in ihre Verträge kopiert, sofern sie dies nicht wie Microsoft bereits im Vorfeld getan hatten.

Alles in Ordnung also? Leider nein. Denn der europäische Gerichtshof hat ausdrücklich dazu aufgerufen, auch die Ersatzinstrumente zu prüfen. Die Datenschutzkonferenz, der Zusammenschluss aller Datenschutzbehörden, sieht Klauseln und BCR ebenfalls skeptisch.

Sofern die Übergangsfrist nicht kurzfristig noch verlängert wird, können die Datenschützer die Compliance aller Cloud-Serviceverträge infrage stellen. Kein Anbieter und auch kein Nutzer dürfte die grundsätzlichen juristischen Fallstricke der Auftragsdatenverarbeitung behoben haben. Es ist halt so, dass es in den USA ein Behördenprivileg bei der Einsicht in personenbezogene Daten gibt.

Kaum Alternativen zu US-Clouddiensten

In der Konsequenz müssten die Unternehmen den Datenverkehr mit den entsprechenden Clouddiensten sofort einstellen - eine irrsinnige Annahme, da inzwischen viele vom Funktionieren einiger US-Clouddienste direkt oder indirekt abhängig sind.

Es gibt schlicht keinen kurzfristigen Ersatz. Die zumeist enge Verzahnung der Cloud mit der eigenen Business-IT kann nicht ohne weiteres und zum Nulltarif von anderen Dienstleistern übernommen werden. „Daten ausschließlich in Europa zu verarbeiten, ist technisch in vielen Bereichen kaum umsetzbar“, betont Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit.

Das Wegfallen der meisten US-Services würde zu einer Wirtschaftskrise führen, meint auch der Bundesverband der Deutschen Industrie (BDI). „Ein Abbruch des transatlantischen Datenaustauschs hätte unabsehbare Konsequenzen für tausende Unternehmen und Millionen Nutzer“, erklärte BDI-Hauptgeschäftsführer Markus Kerber.

Er kritisiert das Gemäkel an den Ersatzinstrumenten. „Die Wirtschaft erwartet, dass diese Instrumente nach wie vor Bestand haben.“ Auch aus Sicht des Bitkom sind sie eine wirksame Grundlage. Dabei sei sichergestellt, dass EU-Datenschutzbehörden Verträge prüfen und Verstöße ahnden könnten. Betroffene hätten zudem die Möglichkeit, in Europa vor Gericht zu ziehen.

Für Unternehmen gibt es im Moment keine praktikable Alternative zu den Ersatzinstrumenten. Die globale Vernetzung ist zu weit fortgeschritten und in gewisser Weise alternativlos. Mittelfristig ist das eine Einladung an hiesige IT-Dienstleister, leistungsfähige Cloudservices zu schaffen. Doch vorerst ist die einzig mögliche Konsequenz: Weitermachen.

Bildquelle: Thinkstock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok