Der Verband warnt vor negativen Konsequenzen durch das Safe-Harbor-Urteil des Europäischen Gerichtshofs (EuGH). "Es besteht die Gefahr, dass in Zukunft gar keine personenbezogenen Daten mehr in die USA übertragen werden dürfen", mahnt Susanne Dehmel, Bitkom-Geschäftsleiterin Datenschutz und Sicherheit. Dann könnten Unternehmen und andere Organisationen personenbezogene Daten nur noch auf Servern innerhalb Europas verarbeiten.
Safe Harbor ist keine rechtsgültige Grundlage mehr
Der EuGH hatte Anfang Oktober geurteilt, dass personenbezogene Daten nicht mehr auf Grundlage des Safe-Harbor-Abkommens in die USA übertragen werden dürfen. Die Richter begründeten das Urteil mit den umfassenden Zugriffsmöglichkeiten der US-Behörden und dem mangelnden Rechtsschutz für EU-Bürger. So konnten Europäer in den USA bislang nicht rechtlich gegen Datenschutzverstöße von Behörden vorgehen. Inzwischen gibt es Leitlinien seitens des Europäischen Kommission, wie mit dem Urteil umzugehen ist.
Lesen Sie auch:
Betroffen sind unter anderem die Anbieter und Nutzer von Cloud-Services, sozialen Netzwerken, Online-Shops etc. Auch die Tochtergesellschaften von US-Unternehmen in Europa können die Daten ihrer Mitarbeiter und Kunden nicht mehr einfach auf der Grundlage von Safe Harbor in den USA verarbeiten. Das gleiche gilt für US-Töchter europäischer Unternehmen. (Siehe auch die aufschlussreiche FAQ des Bitkom zum Thema).
Finanzieller und organisatorischer Aufwand
"Die Kunden wären von vielen innovativen Online-Diensten aus den USA abgeschnitten und müssten Qualitätseinbußen oder höhere Kosten in Kauf nehmen", fürchtet Dehmel. Außerdem drohe ein hoher finanzieller und organisatorischer Aufwand, wenn die Datenverarbeitung nach Europa verlegt werden müsse. Der Bitkom plädiert für eine "politische Lösung". EU-Kommission und US-Regierung müssten sich auf Standards einigen, die ein ausreichendes Datenschutzniveau für EU-Bürger in den USA gewährleisteten.
- Aktuelle Entwicklungen zu Cloud-Security und -Datenschutz
Ob Unternehmensdaten in der Cloud "sicher" sind, hängt davon ab, welchen Datenschutzregeln der jeweilige Anbieter verpflichtet ist. Häufig geht hier es um Europa vs. USA. Die aktuellen Entwicklungen um "Safe Harbor" haben die Debatte neu befeuert. Eine klare Antwort ist immer noch in weiter Ferne. - Marktanteile
Auf die "Großen Vier" Amazon Web Services, Microsoft, IBM / Softlayer und Google entfielen im zweiten Quartal 2015 rund 54 Prozent des weltweiten Umsatzes mit Cloud-Services. Nordamerika ist mit etwa der Hälfte der Umsätze der größte regionale Markt, vor Europa und Asien/Pazifischer Raum. - Standorte
Für deutsche Unternehmen ist laut einer Studie von Bitkom Research und KPMG wichtig, dass ein Cloud Service Provider im deutschen oder EU-Rechtsraum angesiedelt ist oder dort Rechenzentren unterhält. - Erfahrungen der Nutzer
Anwender in Deutschland haben bessere Erfahrungen mit Private Clouds gemacht als mit IT-Diensten, die sie über Public Clouds beziehen. - Transformation als Treiber
Cloud Computing hat bei vielen deutschen Unternehmen einen hohen Stellenwert, wenn es um die strategische Ausrichtung der IT-Umgebung geht. Daran ändern auch Debatten um den Datenschutz nichts. - Public Cloud Provider
Alle führenden amerikanischen Anbieter von Public Cloud Services haben mittlerweile Rechenzentren in EU-Mitgliedsstaaten oder Deutschland aufgebaut. Damit tragen sie dem Wunsch von Unternehmen Rechnung, die Daten nicht in Datacentern lagern wollen, die in anderen Rechtsräumen angesiedelt sind. - Google
Google hat sich mit einer gewissen Verspätung als Cloud-Service-Provider positioniert. Mittlerweile bietet das Unternehmen nach dem Baukastenprinzip eine Palette von Cloud-Services an. - Verschlüsselungslösungen
Für die Verschlüsselung und Schlüsselverwaltung setzen Microsoft und andere Cloud-Service-Provider besonders sichere HSMs (Hardware Security Modules) ein. Microsoft nutzt bei Azure HSM-Systeme von Thales. Andere Anbieter von HSM, die in Cloud-Umgebungen zum Zuge kommen, sind Utimaco und Gemalto (SafeNet). - Microsoft-Prozess
Microsoft gegen die Vereinigten Staaten von Amerika: In dem Berufungsverfahren will Microsoft die Herausgabe von E-Mail-Daten an ein US-Gericht verhindern, die auf Servern im Cloud-Datacenter in Irland gespeichert sind. - SAP-Sicherheitsarchitektur
Die Grundlage für Cloud-Services, die den Anforderungen von Compliance- und Datenschutzregeln genügen, sind umfassende Sicherheitsmaßnahmen in Cloud-Datacentern. Eine Schlüsselrolle spielen dabei Verschlüsselungs- und Authentifizierungsmaßnahmen. - Constantin Gonzalez, AWS
Constantin Gonzalez, Solutions Architect bei Amazon Web Services: "Amazon Web Services bietet Anwender eine Art ferngesteuerte Hardware. Für die Kontroller der Daten ist der Nutzer selbst verantwortlich." - Speicherorte
Laut einer Analyse von Skyhigh Networks entsprechen zwei Drittel der Cloud-Services, die in Europa zur Verfügung stehen und von Firmen in dieser Region genutzt werden, nicht den EU-Datenschutzregelungen. - Khaled Chaar, Pironet NDH
Khaled Chaar, Managing Director Business Strategy bei der Cancom-Tochter Pironet NDH: "Bei der Debatte um die Sicherheit von Daten in der Cloud sollte ein weiterer Aspekt berücksichtigt werden: Cloud-Rechenzentren verfügen in der Regel über deutlich bessere Sicherheitsvorkehrungen als Data Center von Unternehmen. Denn für die meisten Firmen gehört der Aufbau sicherer Rechenzentrums-Strukturen nicht zum Kerngeschäft und ist schlichtweg zu aufwändig, insbesondere aufgrund der stetig wachsenden Sicherheitsanforderungen." - Hartmut Thomsen, SAP
Hartmut Thomsen, Managing Director der SAP Deutschland SE & Co. KG: "SAP befolgt die rechtlichen Rahmenbedingungen in den Ländern, in denen das Unternehmen geschäftlich tätig ist. Ebenso wichtig sind für uns die Wünsche unserer Kunden. Für diese besteht deshalb – abhängig vom jeweiligen Cloud-Produkt – die Möglichkeit, sich für Cloud-Dienstleistungen zu entscheiden, die SAP innerhalb der EU bereitstellt." - René Büst, Crisp Research
René Buest, Senior Analyst und Cloud Practice Lead bei dem Marktforschungs- und Beratungsunternehmen Crisp Research: "Für international tätige Unternehmen ist es schlichtweg unverzichtbar, einen Cloud-Service-Provider mit einer Präsenz in vielen Regionen der Welt auszuwählen." - Geteilte Verantwortung in der Public Cloud
In der Public Cloud gehorchen die Services verschiedenen Herren: Management und Sicherheit von Infrastruktur wie Storage, Netzwerk, Datenbank und Rechenpower auf der einen Seite, Verwantwortung für VMs, Anwendungen und Daten auf der anderen Seite. - Rechtslage in Deutschland
Gerade die Angst vor Angriffen und Datenverlusten schreckt viele Anwender nach wie vor vor der Cloud ab. - Compliance-Sorgen
Auch die Sorge, Compliance-Bestimmungen in der Cloud nicht einhalten zu können, treibt viele Anwender um. - CASB - das Geschäft mit dem Cloud-Zugang
Durch sogenannte CASB (Cloud Access Security Broker) soll der gesicherte Zugang zu Cloud-Diensten sichergestellt werden. Hier entwickelt sich zunehmend ein eigener Markt.
Nach dem Verbot von Safe Harbor sind die Unternehmen gezwungen, die Datenübermittlung von persönlichen Daten in die USA auf eine neue rechtliche Grundlage zu stellen. Alternativen sind die Standardvertragsklauseln der EU-Kommission, von den Datenschutzbehörden genehmigte "verbindliche Unternehmensregelungen" (Binding Corporate Rules) oder die Einwilligung der Betroffenen. Laut Dehmel haben bereits viele Unternehmen mit der Umstellung ihrer Verträge begonnen - ohne allerdings sicher sein zu können, dass diese Anpassungen nun dauerhaft gültig sind.
Was sollen Anbieter tun, die Safe Harbor nutzen?
Der Bitkom empfiehlt, zunächst eine Bestandsaufnahme vorzunehmen und zu klären, welche Datenströme sich auf Safe Harbor stützen. Das sollte sich aus den Verträgen zur Datenverarbeitung ergeben. Im zweiten Schritt wäre zu überlegen, welche alternativen Rechtsgrundlagen für den Datentransfer in Frage kommen. Darauf ausgerichtete Datenschutzerklärungen, Werbematerialien und Texte auf Webseiten müssen ebenfalls angepasst werden.
Welche Alternativen kommen in Frage?
Kurzfristig lässt sich Safe Harbor nur durch den Einsatz von Standardvertragsklauseln ersetzen. Deutsche Unternehmen sollten diese möglichst ohne Änderungen übernehmen. Ist das nicht möglich, sollten sie die Auslegung und das übliche Vorgehen der für sie zuständigen Datenschutzaufsicht in Erfahrung bringen.
Was tun, wenn Daten in den USA verarbeitet werden?
Die gewählten US-Dienstleister sollten in der Lage sein zu erklären, welche rechtskonforme Lösung sie anbieten können. US-Firmen, die sich bisher auf Safe Harbor gestützt haben, sind in der Regel längst dabei, angemessene Lösungen zu implementieren. Manche Anbieter haben ihren Kunden bereits die Umstellung auf Standardvertragsklauseln angeboten.