Safe Harbor Abkommen


// Folgen des EuGH-Urteils

Kommentar zum Safe-Harbor-Urteil

Data-Center in Europa sind keine Lösung

Frank Hißen studierte an der TU Darmstadt Informatik mit Schwerpunkt IT-Sicherheit. Seit über 15 Jahren arbeitet er als Software-Entwickler und IT-Berater; machte sich 2009 selbständig. Er ist sowohl für große aber auch mittelständische Unternehmen tätig. Im Bereich IT-Security ist Frank Hißen spezialisiert auf Applikationssicherheit und Kryptographie, im Entwicklungsbereich vor allem auf Java.
Wie meine Erfahrung seit dem Bekanntwerden der NSA-Affäre zeigt, wird in Großunternehmen längst gelebt, was durch den Europäischen Gerichtshof unlängst entschieden wurde. Die technische Umsetzung wirft jedoch Fragen auf.
Frank Hißen, Software-Entwickler und IT-Berater, kommentiert das Safe-Harbor-Urteil.
Frank Hißen, Software-Entwickler und IT-Berater, kommentiert das Safe-Harbor-Urteil.
Foto: Frank Hißen

Europäischer DatenschutzDatenschutz und US-amerikanische Gesetze sind nicht vereinbar. Das führte in vielen IT-Projekten längst zu der Praxis, dass eigene Systeme nicht mit Hilfe von Cloud-Diensten aus den USA geschaffen werden durften, sofern darin personenbezogene Daten erfasst werden sollten. Andererseits hatten auch Drittanbieter von Web-Services, die beispielsweise die Infrastruktur von Amazon nutzten, schlechte Karten als Dienstleister beauftragt zu werden, falls dort personenbezogene Daten erfasst wurden. Auch der Einsatz von Verschlüsselungstechniken half dabei nicht - sofern die Verschlüsselung der Daten erst in der amerikanischen Cloud erfolgte. Zu sehr hatten die Enthüllungen um die NSA und der Einfluss des amerikanischen Staates auf US-IT-Dienstleister die technischen Möglichkeiten aufgezeigt, die zum Datenabfluss auch tatsächlich genutzt werden. Alles zu Datenschutz auf CIO.de

Datensicherheit heißt für viele europäische Unternehmen nicht, die Daten unverschlüsselt auf amerikanischen Servern abzulegen.
Datensicherheit heißt für viele europäische Unternehmen nicht, die Daten unverschlüsselt auf amerikanischen Servern abzulegen.
Foto: Maksim Kabakou - Fotolia.com

Natürlich gilt bekanntlich "wo kein Kläger, da kein Richter". Das führt dazu, dass in manchen Unternehmen durchaus personenbezogene Daten unverschlüsselt auf den meist sehr günstigen US-amerikanischen Cloud-Diensten erfasst und gespeichert werden. Viele Dienste basieren zum Beispiel auf der kostengünstigen Infrastruktur-Plattform die Amazon oder Google anbieten.

Als Nutzer, was durchaus auch als Unternehmenskunde verstanden werden soll, der Dienste an Dritte auslagert, ist dies oftmals überhaupt nicht erkennbar. Nur vertraglich lässt sich zusichern, dass ein US-Dienst nicht genutzt wird. Hier sind Juristen gefragt, um deutsche Unternehmen rechtlich sauber aus der Schusslinie zu nehmen, sofern dies überhaupt möglich ist.

Whitepaper: Der Nutzen des Chief Data Officers

Der Chief Data Officer (CDO) wird immer öfter zu einer zentralen Führungkraft in Unternehmen auf der ganzen Welt. Der Grund ist die zunehmende Relevanz von Daten. Denn Daten sind überall und allgegenwärtig; sie untermauern jede Transaktion, jeden Betrieb und jegliche Interaktion innerhalb und außerhalb von Organisationen. Daten sind aber auf eine Infrastruktur angewiesen, sie müssen gespeichert, archiviert, analysiert und gesichert werden. Dafür braucht es den CDO. In dieser IBM-Studie wird die Rolle des CDO durchleuchtet und gezeigt, welche Vorteile Unternehmen konkret von ihm haben.

In einigen Artikeln zum Thema wird die Idee angesprochen, dass US-amerikanische Dienstleister nun verstärkt Data-Center in Europa bauen werden, um hier eine gewisse Rechtssicherheit gewährleisten zu können. Auf dem Papier mag das stimmig sein, aus technischer Sicht scheint dies jedoch in der Praxis unrealistisch.
Ein Administrator sitzt auch heute nicht mehr vor der eigentlichen physischen Maschine, um Wartungsarbeiten durchzuführen, sondern greift per komfortablem Fernzugriff auf das jeweilige System zu. Welchen Unterschied soll es da machen, in welchem Land die Daten eigentlich liegen?

Werden Data-Center in Europa, die von amerikanischen Unternehmen aufgebaut und betrieben werden, von Administratoren in den USA - die gegebenenfalls Weisungen von staatlichen Behörden befolgen müssen - durch technische und organisatorische Maßnahmen abgeschottet? Diese Vorstellung ist meiner Ansicht nach als völlig unrealistisch einzustufen. Selbst wenn dies vertraglich aufgrund von Datenschutzanforderungen zugesichert wird, fehlt jegliche Kontrollmöglichkeit technischer Art, ob dies auch tatsächlich umgesetzt wird.

Natürlich darf man Unternehmen aus anderen Ländern nicht unter Generalverdacht stellen, sich nicht an Verträge oder Gesetze in Drittländern zu halten. Aber aus der technischen Sicht, sind Ländergrenzen nicht vorhanden. Es braucht neue Ansätze, um den Anforderungen und der Vereinbarkeit von verschiedenen Datenschutzanforderungen gerecht zu werden. Systeme im Internet kennen keine Länderzuordnung und Data-Center in Europa sind keine Lösung des Problems. Eine Möglichkeit könnte der verstärkte Einsatz von Verschlüsselungstechniken auf Applikationsebene sein.

Links zum Artikel

Thema: Datenschutz

Kommentare zum Artikel

fhissen

Ich habe das natürlich auch schon
gelesen, und das ist in der Tat ein interessanter Ansatz. Eine genaue
Einschätzung hängt hier von den Implementierungsdetails ab. Aus
technischer Sicht ergeben sich hier viele Fragen.

Es ging ja
ohnehin immer um Superuser-/Adminzugriffe; eine Frage ist also zum
Beispiel ob Microsoft überhaupt keinen Zugriff auf die Systeme hat
(Stichwort Störfälle, Debugzugriffe usw.) und wenn dann doch "mal",
wie ist dieser Zugriff gesichert, wie wird er gemonitort, wie wird er
überhaupt freigeschaltet? Ist so ein Zugriff tatsächlich nur
temporär, erfolgt er von Mitarbeitern, die in der EU angestellt
sind? Was passiert, wenn diese Mitarbeiter Hilfe von Kollegen aus den
USA brauchen?
Werden Systemzugriffe gewährt oder nur
Applikationszugriffe.

Damit nur einige Anhaltspunkte. Ich
unterscheide hier stark zwischen vertraglichen Zusicherungen und
technischem Realismus. Für Unternehmen (Betreiber wie Nutzer) steht
aber sicher erstmal die Rechtssicherheit im Vordergrund,
gegebenenfalls wird die durch diese Maßnahmen hergestellt.

ChristianReschke

Wie beurteilen Sie das Modell, wonach Microsoft
seine Dienste Azure, Office und Dynamics CRM künftig aus Rechenzentren in
Magdeburg und Frankfurt anbieten wird und der Zugang zu den Kundendaten bei
einem Datentreuhänder (T-Systems) liegen wird?
Ohne Zustimmung des
Datentreuhänders oder des Kunden hat Microsoft nach eigenen Angaben dann keinen
Zugriff auf Kundendaten.

fhissen

Ich kenne Stackfield zwar nicht, aber Verschlüsselung einzusetzen ist zunächst mal eine gute Entscheidung! Gezielt eingesetzt, kann man so viele der Probleme lösen.

Allerdings ist Verschlüsselung in der Cloud nicht immer einfach. Das wurde von mir in einem anderen Artikel auf TecChannel (IDG) beleuchtet:
http://www.tecchannel.de/siche...

Mathilde Körndl

"Eine Möglichkeit könnte der verstärkte Einsatz von Verschlüsselungstechniken auf Applikationsebene sein."

Aus den genannten Gründen hat sich unser Unternehmen für die Kommunikation bzw das Projektmanagement für das Tool von Stackfield entschieden. Hierbei werden die Daten direkt im Browser End-to-End verschlüsselt und auf Servern in Deutschland abgelegt. Bisher scheint dies eine sehr gute Wahl zu sein!

comments powered by Disqus
Zur Startseite