Interview: Manged-Services
Neue Häfen für den deutschen Datenschutz
Hendrik van den Berg, Mitbegrün-der und Geschäftsführer von Neos, erklärt im funkschau-Interview, welche Konsequenzen das Safe-Harbor-Urteil mit sich bringt und wie sich Neos als Experte für Managed-IT-Services im deutsch-sprachigen Raum 2016 neu positioniert.
Seit der europäische Gerichtshof (EuGH) im Oktober das Safe-Harbor-Abkommen zur sicheren Datenverarbeitung zwischen europäischen und US-Unternehmen für ungültig erklärt hat, müssen sich auch deutsche Unternehmen Gedanken um ihre Cloud-Lösungen machen – insbesondere wenn personenbezogenen Daten bei einem amerikanischen Cloud-Anbieter gelagert oder verarbeitet werden.
funkschau: Herr van den Berg, was war denn so wichtig bei Safe-Harbor?
Hendrik van den Berg: Vor 15 Jahren vereinbarten die EU und die USA ein Datenaustauschabkommen. Damals wurde von der EU-Kommission nicht erlaubt, Daten von EU-Bürgern in Ländern mit schwächeren Datenschutzregeln, wie zum Beispiel den USA, zu speichern oder zu verarbeiten. Um Geschäfte mit Amerika nicht zu behindern, wurde das Datenschutzabkommen „Safe Harbor“ ins Leben gerufen. Mit dem Beitritt zu diesem Abkommen haben sich amerikanische Unternehmen verpflichtet, sich an die Mindeststandards beim Datenschutz zu halten. Dadurch wurde es europäischen Unternehmen ermöglicht, Daten bei US-Unternehmen zu bevorraten und zu verarbeiten und dabei trotzdem dem europäischen Datenschutznormen zu genügen. Diesem Abkommen sind mittlerweile tausende US-Konzerne beigetreten; darunter die großen Internet-Konzerne wie Google, Microsoft, Facebook, Amazon oder Salesforce.com.
Das Ganze kippte mit dem Urteil von Oktober 2015. Unternehmen, für die das Safe-Harbor Abkommen galt, konnten die Mindeststandards an Datenschutz nicht gewährleisten – was im Wesentlichen mit nationalen Auskunftspflichten gegenüber staatlichen Behörden in den USA zu tun hat. Für die gesamte Internetbranche hat das Urteil des EuGHs somit gravierende Auswirkungen. Mit aktuellen Themen wie „Cloud Computing“, „Internet of Things“ und „Big Data“ werden datenbasierte Geschäftsmodelle und der sichere internationale Datentransfer immer wichtiger. Durch den Wegfall des Safe-Harbor-Abkommens gibt es aktuell keine Rechtsklarheit mehr für die Speicherung, Verarbeitung und den Transfer von persönlichen Daten an beziehungsweise bei US-Anbietern.
Und nun wird es auch für uns in Deutschland ernst: die Behörden drohen mit Prüfungen und bei Datenschutzverstößen mit bis zu 300.000 Euro Strafe. Die Rechtsexperten raten, personenbezogene Daten künftig nur auf Servern innerhalb der EU zu speichern. Das scheint in der Theorie möglich zu sein, dennoch ist es in der Realität für viele Unternehmen sehr schwer umsetzbar. Viele nutzen US-Online-Dienste und fragen sich zu Recht, wie sich dieser Zustand zurückabwickeln ließe. Die Wirtschaft ist verunsichert und sucht nach Alternativen: So gibt es beispielsweise die Möglichkeit, eine Opt-in-Erlaubnis von allen betroffenen Kunden einzuholen, welche dann revisionssicher aufzubewahren ist. Das ist in der Praxis jedoch extrem auf-
wändig.
funkschau: Wie reagieren die US-IT-Riesen auf das Urteil?
van den Berg: Für die großen US-Konzerne geht es darum, auch künftig Daten europäischer Kunden verarbeiten zu dürfen – beispielsweise war hierfür die EU-Standardvertragsklausel eine Option. Hierbei informieren etwa Microsoft oder Google ihre Nutzer über die Änderungen. Anschließend werden die Standardvertragsklauseln zur Zustimmung aufgesetzt. Ferner könnten die Nutzer in die Datenverarbeitung einwilligen, um so den Datenverkehr zu autorisieren. Diese Vorgehensweise der großen US-Unternehmen wurde von EU-Datenschutzbeauftragten gebilligt. In der Konsequenz hat das zur Folge, dass diese Vertragsklauseln, trotz der Entscheidung der EuGH-Richter, weiterhin ihre Gültigkeit haben.
Der Druck nimmt allerdings zu, da Ende Januar Fristen für akzeptierte Safe-Harbor-Alternativen auslaufen und sowohl die EU-Kommission als auch das US-Handelsministerium schon länger ergebnislos über eine neue Version des Abkommens in Verhandlungen stehen. Ob rechtzeitig eine Übereinkunft gefunden wird, ist somit die entscheidende Frage. So oder so könnte es für viele Unternehmen in naher Zukunft richtig ungemütlich werden – in den USA wie in Europa.
funkschau: Was sollte der deutsche Mittelstand dann unternehmen?
van den Berg: Europäische Nutzer von Cloud-Services haben zwei Möglichkeiten. Entweder wählen sie einen Cloud-Service-Provider, der bestenfalls seinen Firmensitz in Europa hat und somit die Datenschutzbestimmungen ohnehin erfüllt. Wer aber auf die Dienste eines US-Unternehmens greift, muss zumindest einen Anbieter wählen, der in der EU ein Rechenzentrum betreibt. Ein Haken gibt es jedoch bei der zweiten Option: seit September 2015 läuft ein Berufungsverfahren zwischen Microsoft und den USA. Hier geht es letztendlich darum, ob und inwieweit ein amerikanischer Anbieter von Cloud-Services mit Rechenzentren in der EU tatsächlich den europäischen Datenschutz umsetzen darf.
Da es letztendlich um den Schutz von Grundrechten geht, sollten die deutschen Datenschutzbehörden ab sofort das Thema angehen und Ihre Arbeit machen.
Unternehmen müssen sich also darauf gefasst machen, dass ihre Datenschutzpolitik überprüft wird.
- Neue Häfen für den deutschen Datenschutz
- Weitere Fragen
- Expertenkommentar: Neos aus Partnersicht
Lesen Sie mehr zum Thema
