EuGH „kippt“ Safe Harbor: Weshalb US-Rechenzentren ab sofort KEIN „sicherer Hafen“ mehr sind

Für einen Paukenschlag sorgte der Europäische Gerichtshof (EuGH) in dieser Woche mit seinem Urteil, die seit dem Jahr 2000 geltende Safe Harbor-Regelung für ungültig zu erklären. Die Regelung sah bisher vor, dass bei US-Unternehmen, die sich in einer Selbstverpflichtung bestimmten datenschutzrechtlichen Prinzipien unterwerfen und diese Selbstverpflichtung in einer Liste des US-Handelsministeriums registrieren lassen, von einem ausreichenden Datenschutzniveau auszugehen sei. Damit könne auch die rechtmäßige Übermittlung personenbezogener Daten an solche US-Unternehmen erfolgen. Bis heute haben sich etwa 5.500 US-Firmen – darunter natürlich auch viele „IT-Größen“ wie IBM, Microsoft, Amazon.com, Google, HP, Dropbox oder Facebook – in diese Liste eintragen lassen.

Patriot Act und NSA: Kritik an „Safe Harbor“ wird immer lauter

Der Düsseldorfer Kreis hatte bereits im April 2010 deutlich gemacht, dass sich deutsche Unternehmen, die Daten in die USA exportieren, nicht auf die Behauptung einer Safe Harbor-Zertifizierung von amerikanischen Unternehmen verlassen dürfen und forderte schon damals konkrete Mindeststandards, die gegebenenfalls auf Nachfrage auch nachgewiesen werden müssten.

Die Regelungen des als Folge der Terroranschläge vom 11. September eingeführten Patriot Act verschärften die Kritik an den Safe Harbor-Regelungen weiter. Im Rahmen des Patriot Act wird US-Sicherheitsbehörden unter Umständen Zugriff auf die in amerikanischen Rechenzentren gespeicherten Daten gewährt, ohne dass der Dateninhaber davon in Kenntnis gesetzt wird. Eine Untersuchung des Unabhängigen Landeszentrums für Datenschutz kam dabei zu dem wenig schmeichelhaften Schluss, Safe Harbor sei „das Papier nicht wert, auf dem es geschrieben steht„.

Die Enthüllungen von Edward Snowden führten dann dazu, dass die deutschen Datenschutzbeauftragten im Juli 2013 die deutsche Bundesregierung und die Europäische Kommission aufforderten, Safe Harbor zu überprüfen und darüber hinaus bekannt gaben, dass sie bis auf weiteres keinen Datenexport in die USA unter dem Safe Harbor Abkommen zulassen.
Aus diesem Blickwinkel ist das EuGH-Urteil eigentlich eine logische Konsequenz.

Aus der US-Cloud in die German Cloud als Ausweg?

Fast könnte man meinen, die amerikanischen Cloud Computing-Anbieter hätten etwas geahnt, denn einer nach dem anderen kündigte in jüngster Vergangenheit an, nun auch in Deutschland ein Rechenzentrum zu eröffnen. „The Amazon cloud has arrived in Germany!“ erklärte beispielsweise der Amazon Web Services-Deutschland-Chef Martin Geier auf einer Veranstaltung im letzten Herbst in Frankfurt und reihte sich damit ein in die Reihe anderer namhafter US-Cloud Service Provider wie Oracle oder Salesforce.com, die ebenfalls den Betrieb von Rechenzentren in Deutschland bekannt gaben.

Was auf den ersten Blick als Lösung für das Safe Harbor Dilemma erscheint – die Daten werden dann ja nicht mehr nach USA exportiert, sondern bleiben datenschutzrechtlich konform in Deutschland, erweist sich auf den zweiten Blick ebenfalls als „Mogelpackung“. Denn wie der aktuelle Rechtsstreit zwischen Microsoft und der US-Justiz zeigt, fordern die amerikanischen Behörden bei ihren Ermittlungen nicht nur Zugriff auf Nutzerdaten in den USA, sondern auch auf Nutzerdaten, die in Rechenzentren amerikanischer Unternehmen außerhalb der USA gespeichert sind.

Die einzige Lösung: Cloud Services „Made in Germany“

Nachdem der erste Schock verdaut ist, werden sich sicher beide Seiten – diesseits und jenseits des Atlantiks – darüber Gedanken machen, einen Mittelweg zu finden, um auch zukünftig ein globales Cloud Business zu ermöglichen. Die Frage bleibt allerdings, wie weit sich die amerikanische Seite zu Datenschutzregelungen verpflichten lässt, die dem europäischen und gerade auch dem deutschen Datenschutzverständnis entsprechen oder zumindest nahe kommen. Die eingangs skizzierten Erfahrungen aus Safe Harbor lassen daran derzeit noch Zweifel aufkommen.

Wir bei PROGTECH sind auf jeden Fall froh, dass wir unsere Backup-as-a-Service-Lösung BAYERN BACKUP von vorne herein als „Cloud Service Made in Germany“ konzipiert haben. Gerade im Bereich Backup und Recovery ist das Speichern personenbezogener Kunden- und/oder Mitarbeiterdaten natürlich an der Tagesordnung.

Die Lösung wird in einem deutschen Rechenzentrum betrieben, die Daten in einem deutschen Rechenzentrum gespeichert. Damit können wir unseren Kunden garantieren, dass ihre Daten den deutschen Rechtsraum zu keiner Zeit verlassen und entsprechend den in Deutschland geltenden Regelungen des Bundesdatenschutzgesetzes sicher vor dem Zugriff Dritter sind.

7 Kommentare

Trackbacks & Pingbacks

  1. […] mit internationalen Cloud Service Providern eine besondere Brisanz erhält. Stichwort: EuGH Safe Harbor Abkommen und EU-US “Privacy […]

  2. […] mit internationalen Cloud Service Providern eine besondere Brisanz erhält. Stichwort: EuGH Safe Harbor Abkommen und EU-US „Privacy Shield“ […]

  3. […] mit internationalen Cloud Service Providern eine besondere Brisanz erhält. Stichwort: EuGH Safe Harbor Abkommen und EU-US „Privacy Shield“ […]

  4. […] mit internationalen Cloud Service Providern eine besondere Brisanz erhält. Stichwort: EuGH Safe Harbor Abkommen und EU-US „Privacy Shield“ […]

  5. […] mit internationalen Cloud Service Providern eine besondere Brisanz erhält. Stichwort: EuGH Safe Harbor Abkommen und EU-US „Privacy Shield“ […]

  6. […] mit internationalen Cloud Service Providern eine besondere Brisanz erhält. Stichwort: EuGH Safe Harbor Abkommen und EU-US „Privacy Shield“ […]

  7. […] den Datenaustausch zwischen der Europäischen Union und den USA regelte und im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt worden war. Doch allein schon die Tatsache, dass die Einigung erst am Abend des 2. Februar […]

Kommentare sind deaktiviert.