Cloud4.DE statt Safe Harbor

09.10.2015

Das Safe-Harbor-Abkommen zum Austausch personenbezogener Daten zwischen der EU und den USA ist laut einem neuen Urteil des Europäischen Gerichtshofes vom 6. Oktober 2015 ungültig. Die Regelung galt als Sicherungsnetz, um den Datenaustausch zwischen Ländern mit verschiedenen Datenschutzniveaus rechtlich abzusichern. Für deutsche Unternehmen kann das Urteil weitreichende Folgen haben.

Schnelle Fakten:

  • Das Urteil betrifft alle Unternehmen, die personenbezogene Daten in die USA übermitteln, z.B. durch Speichern in der Dropbox, OneDrive oder auch in Google-Apps/Mail.
  • Personenbezogene Daten sind sämtliche Daten, aus denen sich Rückschlüsse auf Einzelpersonen ziehen lassen, also bspw. Kunden- oder Mitarbeiterdaten.
  • Alternative Regelungen mit den USA bieten aktuell keine Rechtssicherheit.
  • Umfassende Absicherung kann nur durch Speicherung der Daten innerhalb der EU gewährleistet werden.

Bisher konnten Unternehmen durch Teilnahme am Safe-Harbor-Programm signalisieren, dass personenbezogene Daten mit einem “angemessenen Schutzniveau” verarbeitet werden; durch das Urteil des EuGH sind jetzt Alternativen gefragt. Laut Meinung des EuGH sind die umfangreichen Zugriffsrechte amerikanischer Behörden auf elektronische Kommunikation mit europäischen Datenschutz-Grundrechten nicht vereinbar.

Unternehmen müssen jetzt umdenken und Ihre Datenflüsse genau analysieren: Oftmals werden unbewusst und vielfach personenbezogene Daten in die USA übermittelt. Beispielsweise bei der Nutzung von Cloud-Services wie Dropbox, Microsoft OneDrive oder beim Versand von E-Mails (Google Apps, GoogleMail). Auch cloudbasierte CRM- oder Projektmanagementtools bergen häufig kritische Datenbestände. So ist das Urteil gerade für kleine und mittelständische Unternehmen, die die eigene IT-Infrastruktur in den letzten Jahren zugunsten von Cloud-Diensten in den USA reduziert haben, ein großes Risiko. Für Privatnutzer ändert sich vorerst wenig: Unternehmen wie Facebook holen sich die Einverständnis zur Datenverarbeitung meist direkt bei der Anmeldung. Die Entscheidung über den persönlichen Datenschutz liegt hier bei der Einzelperson.

Auch Unternehmen können wie bisher Einzelvereinbarungen treffen. Für Firmen mit großem Datenbestand ist diese Lösung jedoch nicht zweckmäßig und Einzelvereinbarungen zwischen Arbeitgeber und -nehmer sind häufig problematisch. Als Alternativen empfiehlt die EU-Kommission Binding Corporate Rules oder EU-Standardvertragsklauseln. Experten wie der ehemalige Bundesdatenschutzbeauftragte Peter Schaar sind aber der Meinung, dass auch diese Alternativen vom Urteil betroffen sind, da auch in diesen Vertragswerken ein uneingeschränkter Zugriff von Regierungsorganisationen ausgeschlossen werden müsse, was nach US-Recht faktisch zurzeit nicht möglich sei. Bis in ferner Zukunft eine Neuregelung geschlossen wird, könnten die deutschen Datenschutzbehörden grundsätzlich Strafen für nicht-konforme Übermittlung von Personendaten verhängen.

Für Unternehmen bleibt so der Umstieg auf Dienstleister mit deutschen Serverstandorten als sicherste und zukunftsfähige Lösung. pk systems ist kompetenter Ansprechpartner, Ihre genutzten Dienste zu analysieren, konforme Alternativlösungen anzubieten und die Migration durchzuführen.

Mit unserem neuen Produkt Cloud4.DE bieten wir Ihnen hochverfügbare, gemanagte Serverlösungen aus einem deutschen Rechenzentrum an. So können wir Ihnen beispielsweise Mail-, File und Datenbankserver bis zu ganzen VDI-Umgebungen schnell und skalierbar zur Verfügung stellen. Ein umfangreiches Sicherheitskonzept sichert Ihre Daten vor fremdem Zugriff und die Verarbeitung unterliegt jederzeit deutschen Datenschutzrichtlinien. Schaffen Sie sich jetzt Sicherheit und kontaktieren Sie uns!