CRN-Interview zum Safe Harbor-Nachfolger
Privacy Shield ist »fauler Kompromiss«
Fortsetzung des Artikels von Teil 2
Risiko Cloud-Provisorien
CRN: Zumindest bis der Privacy Shield umgesetzt werden kann, bewegen sich derzeit viele Unternehmen mit der Speicherung von Nutzerdaten auf gefährlichem Gebiet. Welche Gefahren sehen Sie für deutsche Firmen und Bürger und was raten Sie ihnen?
Deutschmann: Im Moment müssen Unternehmen auf Behelfsmittel wie Corporate Binding Rules und Standardvertragsklauseln zurückgreifen, um Rechtssicherheit gewährleisten und die Forderungen der Aufsichtsbehörden erfüllen zu können. Es handelt sich dabei jedoch um provisorische Instrumente, keine langfristige Lösung um eine ausreichende Investitionssicherheit zu bieten.
Besonders sensibel ist in diesem Zusammenhang der Bereich des Cloud Computing. Die Branche boomt, in einer Vielzahl der Fälle werden die Daten allerdings in den USA gespeichert. Hier wird eine dauerhafte Lösung benötigt. Brainloop rät schon seit mehreren Jahren dazu, Daten in lokalen Rechenzentren im europäischen Rechtsraum zu lagern.
Wichtig ist zudem, dass Unternehmen jederzeit für die Sicherheit ihrer Daten Sorge tragen – selbst und gerade dann, wenn sie diese an externe Dritte auslagern. Sie müssen diese Drittanbieter sorgfältig auswählen und sicherstellen, dass die dort verwendeten Prozesse und Technologien ebenso den Anforderungen entsprechen.
CRN: Immer wieder wird als Lösung gefordert, personenbezogene Daten nur noch in Rechenzentren auf europäischem Boden zu speichern. Aber reicht das alleine wirklich aus, insbesondere angesichts amerikanischere Urteile, nach denen US-Unternehmen auch in Europa gespeicherte Daten offenlegen müssen?
Deutschmann: Das Speichern in Europa ist die einzige wirklich vertretbare Lösung, bis Interessenskonflikte geklärt wurden – und die ernsthafte Bereitschaft besteht, einen Anspruch auf eine gerichtliche Überprüfung zu gewähren. Solange das neue Privacy Shield aber als unilaterales Abkommen mit überwiegendem US-Interesse gehandelt wird, bleibt nur dieser Weg.
Auch muss man differenziert betrachten, was von welchem Unternehmen gefordert werden kann. In den USA gilt zwar seit 2001 der Patriot Act zur Terrorbekämpfung. Er erlaubt es den US-Ermittlungsbehörden nach Section 215 dieses Gesetzes, Daten von Internet-Providern und Cloud-Anbietern einzufordern. Diese Regelung betrifft jedoch die Brainloop AG als deutschen SaaS-Anbieter nicht. In Deutschland gilt das Bundesdatenschutzgesetz (BDSG), egal ob für private Clouds oder Cloud-Provider. Es garantiert das deutsche Grundrecht auf informationelle Selbstbestimmung. Die Übermittlung von Daten aus einer deutschen Cloud an US-Behörden ist nach EU-Recht verboten.
- Privacy Shield ist »fauler Kompromiss«
- Der Bock als Gärtner
- Risiko Cloud-Provisorien
Lesen Sie mehr zum Thema
