Das Safe Harbor Abkommen – Auswirkungen des EuGH Urteils auf Nutzer und Anbieter von Cloud Speicher Lösungen

Anfang Oktober 2015 hat der Europäische Gerichtshof eine Grundsatzentscheidung zur Datensicherheit und Datenhaltung abgegeben. Diese hat weitreichende Folgen für Unternehmen. Grob zusammengefasst wurde das Ergebnis durch eine Klage des Juristen Max Schrems ausgelöst, welche unter anderem wiederum auf den PRISM Skandal und Edward Snowden zurückzuführen ist.

Im PRISM-Skandal kam ans Licht, dass die NSA unter anderem auf die Daten von Facebook und weiteren Unternehmen zugreifen kann, die auf Servern in den USA abgespeichert wurden.

Max Schrems hatte den europäischen Ableger von Facebook mit Sitz in Dublin über die irische Datenschutzbehörde aufgefordert, die persönlichen Daten nicht in die USA zu übertragen, da sie dort nicht gründlich genug geschützt wären. Die irische Datenschutzbehörde hatte diese Entscheidung nachfolgend an den EuGH zu Prüfung übergeben.

Die Entscheidung des EuGH zum Safe Harbor Abkommen

Der EuGH hat der Klage zugestimmt und festgehalten, dass die persönlichen Daten in den USA nicht mehr ausreichend geschützt sind und somit das Safe Harbor Abkommen, d.h. den Rahmenvertrag zum Austausch der Daten zwischen Europa und den USA, für ungültig erklärt (Details zu Safe Harbor siehe EuGH Entscheidung 2000/520/EC [1]).

Da das Safe Harbor Abkommen für ungültig erklärt wurde, dürfen Unternehmen sich nicht mehr auf dieses Rahmenwerk berufen wenn es um den Transfer von personenbezogenen Daten geht.

Die Unternehmen müssen ab sofort vor dem Transfer prüfen, ob EU-Standardverträge oder BCRs (Binding Corporate Rules) verwendet werden dürfen. Ob diese allgemeinen Standards aber auch weiterhin gültig sind wird — zumindest in Deutschland — noch untersucht und wurde noch nicht entschieden [2].

Die Folgen für Cloud Speicher Anbieter durch Safe Harbor

Das Urteil des EuGH ist nicht nur für die auslösende Applikation Facebook von Bedeutung, sondern prinzipiell für alle Unternehmen, die mit persönlichen Daten von Benutzern arbeiten welche in die USA transferiert werden. Folglich dürfte dies auch für die Anbieter von Cloud Services bzw. Online Speicher relevant sein, falls dort persönliche Daten von Benutzer gespeichert sind. Diese könnten nach demselben Muster bearbeitet werden, d.h. hier hätte die NSA laut Snowden ebenfalls die Möglichkeit „mitzulesen“.

Es gibt eine Reihe von Möglichkeiten, die zur Lösung der Safe Harbor Problematik beitragen können. Eine vollständige rechtliche Entkopplung bzw. eine Wandlung hin zu einem nicht amerikanischen Unternehmen würde für mehr Schutz sorgen, da dies ein weiteres „Hindernis“ für die NSA, zumindest im legalen Sinne, darstellt.

• Es könnten explizite Einzelverträge mit den Benutzern geschlossen werden, die alle Arten des Transfers an Partner und die Form der Verarbeitung darstellt und von den einzelnen Nutzern unterzeichnet wird.
• Anstatt auf den Cloud-Daten-Anbieter könnte zudem noch auf Cloud Software gesetzt werden, die es ermöglich eine persönliche Daten Cloud auf der eigenen Infrastruktur
• Die deutlich einfachere Lösung ist allerdings auf Server zu verzichten, die in den USA stehen direkt auf europäische Unternehmen ohne amerikanische Server zu setzen. Denn sie sind nicht von dieser Safe Harbor Problematik betroffen.

Was müssen Cloud Service Anbieter in Zukunft leisten?

Bei der künftigen Auswahl eines Cloud-Speicher-Anbieters sollte man daher sicher sein, dass die Daten nicht in den USA, sondern in Europa — präferiert in Deutschland — gespeichert werden, da hier nochmals verschärfte Datenschutzrichtlinien gelten. Unabhängig von der Schutzthematik ist Facebook aber ebenfalls ein gutes Beispiel für das Thema Migration. Das wird spätestens beim Wechsel zur neuen „Online Festplatte“ bzw. Cloud Speicher wichtig.

Würde es eine Möglichkeit geben, das gesamte Facebook Profil samt Kontakten, Freunden, Spielen, Berechtigungen und Co. auf einmal von Facebook zu Google+ oder anderen sozialen Netzwerken zu migrieren, wären die Facebook Benutzerzahlen heute wahrscheinlich niedriger als Sie es sind da vor allem die fehlende Migrationsmöglichkeit bzw. der Aufwand einer Migration die Benutzer von einem Wechsel abhält.

Dasselbe sollte auch beim Cloud Speicher bedacht werden, d.h. auch hier sollte zu einem Anbieter gewechselt werden, welcher die Möglichkeit bietet möglichst leicht zu ihm zu migrieren aber auch wieder zu demigrieren.

Folgende Faktoren sollten daher bei der Auswahl des Cloud Anbieters beachtet werden:

• Der passende Fokus (Business oder Endkunden),
• technischen Sicherheit (Backups, Virenschutz, Spiegelung, Redundanz und Co)
• Unternehmensgerichtstand / Bindende Gesetze
• Für den Anbieter geltende Datenschutzbestimmungen (europäischen Datenschutzrichtlinien oder noch strengere nationale Richtlinien wie in Deutschland)
• Möglichkeit des eigenverantwortlichen Hostings / OnPremise Hosting
• Möglichst leichte Migration vom Bestandsanbieter über verfügbare Tools
• Geringe Ausstiegsbarrieren z.B. durch proprietäre Verschlüsselungen oder ähnliches
• OpenSource Software zur Absicherung gegen spätere Kosten und Steigerung der Transparenz
• Existenz von Schnittstellen welche zur Datenmigration genutzt werden können.

Durch die Safe Harbor Entscheidung des EuGH müssen zukünftig konkretere Verträge zwischen US amerikanischen Unternehmen und Anwendern geschlossen werden, da die aktuell geltende Praxis, die sich auf das Safe Harbor Abkommen gestützt hat, nicht mehr angewendet werden kann.

Hierbei sind alle Systeme, die personenbezogene Daten austauschen, betroffen, d.h. die Entscheidung ist nicht nur für Facebook relevant sondern z.B. auch für Cloud-Speicher Anbieter. Ob und wie im Detail diese (Einzel)-Verträge aussehen bzw. ob andere Standardregelungen herangezogen werden können, muss auf nationaler Ebene geprüft und noch final fixiert werden. Wer schon jetzt Sicherheit haben möchte und künftig nicht Änderungen überrascht werden will, sollte schon heute auf rein europäische Anbieter setzen.

Mehr zu Datenmigration erfahren

Quellen