Privacy Shield
Recht und Ordnung für die Cloud
Die Auswirkungen der Aufhebung des Safe Harbor Abkommens und die Einführung des designierten Nachfolgers Privacy Shield auf europäische Unternehmen wirft immer noch Fragen auf. Das können IT-Verantwortliche tun, um den künftigen Datenschutzanforderungen der EU gerecht zu werden.
Cloud-basierte Geschäftsmodelle sind auf dem Vormarsch: Immer mehr Unternehmen verlagern ihre Anwendungen und Dienste sukzessive in die Cloud, und immer mehr innovative junge Anbieter drängen mit nativen Cloud-Lösungen in den Markt.
Paukenschlag aus Luxemburg
Der anhaltende Cloud-Boom hat im vergangenen Herbst allerdings einen spürbaren Dämpfer bekommen: Anfang Oktober erklärte der Europäische Gerichtshof (EuGH) das Safe Harbor Abkommen, das bis dato den Datenaustausch zwischen europäischen und amerikanischen Unternehmen regelte, für ungültig. Safe Harbor habe sich angesichts der offengelegten Spionagetätigkeit der USA als unzureichend erwiesen, um den Schutz der Daten der EU-Bürger zu gewährleisten.
Transatlantische Unterschiede
Tatsächlich bewerten die Institutionen dies- und jenseits des Atlantiks die Bedeutung des Datenschutzes höchst unterschiedlich. In Europa im Allgemeinen – und in Deutschland mit seinem verbrieften Recht auf informationelle Selbstbestimmung im Besonderen – zählt der Datenschutz zu den Grundrechten und darf weder von privater noch von staatlicher Seite aus eingeschränkt werden. In den USA hingegen fällt die Data Privacy in den Bereich des Verbraucherschutzes und wird eher pragmatisch gehandhabt. Sie genießt zwar ebenfalls einen hohen Stellenwert, kann unter bestimmten Bedingungen – Stichwort: nationale Sicherheit – allerdings von einer Reihe staatlicher Institutionen beschränkt werden. Diese Diskrepanz lässt sich nicht wegdiskutieren, war im Safe Harbor Abkommen aber allenfalls unzureichend berücksichtigt. So gesehen ist die Einschätzung des Abkommens durch den EuGH nur konsequent.
Die Zukunft heißt Privacy Shield
Für Unternehmen, die ihr Business ganz oder teilweise über die Cloud abwickeln, begründet das Aus von Safe Harbor eine enorme rechtliche Unsicherheit. Viele etablierte Geschäftsprozesse – von der Übergabe von PCI-Daten an amerikanische Partner über das Filesharing via Dropbox bis hin zu globalen, gehosteten Services – finden aktuell in einer juristischen Grauzone statt.
Dass dieses Vakuum auf Dauer untragbar ist, hat auch die Legislative schnell erkannt: Schon Anfang Februar präsentierte die Europäische Kommission das Framework für den Safe-Harbor-Nachfolger „Privacy Shield“. Doch Unternehmen können sich nicht entspannt zurücklehnen können, denn schon jetzt zeichnet sich ab, dass das neue Abkommen in Zukunft jährlich auf den Prüfstand gestellt werden wird, um sicherzustellen, dass die vereinbarten Schutzmechanismen von allen Beteiligten eingehalten werden. Unter Umständen könnte es also ebenso schnell und unvermittelt kippen wie sein Vorgänger. Die Unternehmen müssen sich also darauf einstellen, dass der Safe-Harbor-Nachfolger möglicherweise von einem Tag auf den anderen wieder aufgehoben wird. Ob in diesem Fall ebenso schnell wieder ein Ersatz in den Startlöchern stehen würde, ist mehr als fraglich. Wer sich nicht rechtzeitig auf dieses Szenario vorbereitet, riskiert hohe Geldbußen und andere Strafen.
- Recht und Ordnung für die Cloud
- EU-weite Datenschutz-Grundverordnung kommt
- Absicherung der Zugriffe auf Cloud-Anwendungen
Lesen Sie mehr zum Thema
