Privacy Shield
Datenschützer machen ernst
Fortsetzung des Artikels von Teil 1
Datenverarbeitung grundsätzlich überdenken
Eine dauerhafte und gleichzeitig befriedigende Lösung ist derzeit nicht in Sicht. Dennoch sollten Unternehmen jetzt handeln. Denn arbeitet der beauftragte Dienstleister auf Basis von Safe Harbor oder beruft sich gar schon auf das Privacy Shield, wird das beauftragende Unternehmen vor Ort zur Rechenschaft gezogen. Das Mindeste, was Unternehmen demnach derzeit tun sollten: ihre Dienstleister und deren Geschäftspraktiken unter die Lupe nehmen und kritisch das Thema Datenschutz hinterfragen. Manche Dienstleister sind bereit, immerhin auf Basis der europäischen Standardvertragsklauseln zu arbeiten, einem Regelwerk, das europäische Datenschutzstandards zugrunde legen möchte, aber nach Ansicht von Datenschutzexperten ebenfalls Lücken aufweist. Am sichersten wären Indvidualvereinbarungen zum Datenschutzniveau auf Basis des Bundesdatenschutzgesetzes BDSG oder wenigstens der Standardvertragsklauseln. Diese müssen allerdings zwischen Unternehmen und beauftragtem Dienstleister von Fall zu Fall ausgehandelt und von offizieller Seite genehmigt werden. Ein oft langwieriger Prozess. Ob dessen Ergebnis langfristig rechtlich haltbar sein wird, ist keineswegs sicher.
Dabei bieten die Verwirrung und der nun offensichtliche Beweis, dass amerikanische Datenschutzvorstellungen den deutschen nicht entsprechen, auch die Chance, grundsätzlich über das Thema nachzudenken. Denn die Frage, unter welchen Bedingungen der Transfer und die Verarbeitung personenbezogener europäischer Daten insbesondere in den USA als datenschutzrechtlich unbedenklich gelten kann, wird die Gesetzgeber und Datenschützer noch eine Weile beschäftigen. Auf der sicheren Seite sind Unternehmen, die Dienstleister beauftragen, die – wie sie selbst – den strengen deutschen Datenschutzbestimmungen unterliegen, weil sie ihren Hauptsitz in Deutschland haben. Einen Dienstleister zu beauftragen, der lediglich das Rechenzentrum auf deutschen Boden hat, genügt dabei nicht, rechtlich bindend ist der Hauptgeschäftssitz.
Cloud Made in Germany
Alternativen – und das nicht nur aus datenschutzrechtlicher Sicht – gibt es. Den Angeboten der großen Weltmarktführer stehen innovative, flexible Lösungen aus Deutschland gegenüber, die den Cloud-Markt beeinflussen. So hat sich beispielsweise der Berliner Infrastructure-as-a-Service-Anbieter Profitbricks auf die Fahnen geschrieben, die virtuelle Cloud zu einem vollwertigen Ersatz für traditionelle On-Premise-Hardware zu machen; eine Cloud, deren virtuelle Instanzen betrieben werden können wie echte Server – laut Anbieter datenschutzrechtlich einwandfrei und sicherheitstechnisch auf höchstem Niveau.
Eng an der Hardware ausgerichtete Virtualisierung und die Nutzung der aus dem Hightech-Computing stammenden Technologie „Infiniband“ garantieren eine hohe Performance. Besonders bei Big-Data-Analysen kommen Cloud-Umgebungen ansonsten schon mal an ihre Grenzen. Zudem stellt der Dienstleister jedem Kunden dedizierte Ressourcen zur Verfügung – gleichzeitig ein Performance-Vorteil und eine wichtige Datensicherheitsmaßnahme. So entsteht das eigene, private Rechenzentrum in der Public Cloud. Die Migration in die Cloud mittels eines Datacenter Designers soll dabei helfen, gewachsene Strukturen nahezu unverändert in der Cloud abzubilden und Ressourcen flexibel hinzu- oder abzuschalten. Der Nebeneffekt: Die Bindung an den Dienstleister ist nur so eng wie nötig. Aufwändige Migrationen in die Cloud mit einem Dienstleister, von dem man sich kaum wieder lösen kann (Stichwort: Lock-in), ließen Unternehmen bisher eher zögerlich agieren. Mit flexiblen, sicheren Services aus Deutschland wird sich die Vision des Cloud Computing weiter durch-setzen: Kostentransparente, datensichere Ressourcen nach Bedarf.
Andreas Gauger ist Gründer und Chief Marketing Officer von Profitbricks
- Datenschützer machen ernst
- Datenverarbeitung grundsätzlich überdenken
- Hintergrund: Privacy Shield reicht für gesetzeskonforme Datenverarbeitung nicht aus
Lesen Sie mehr zum Thema
