Diskussion um Safe Harbor

Starke Kritik am EU-US Privacy Shield

11.03.2016 von Heinrich Vaske
Das Safe-Harbor-Abkommen ist außer Kraft, stattdessen kommt nun das "EU-US Privacy Shield". Während Politik und Verbände jubeln, stellen Datenschützer Fragen – und zwar unbequeme.
  • Wie die noch zu schaffende Behörde eines "Ombudsmanns" aussehen solle, bei dem Beschwerden zu Übergriffen von Geheimdiensten auflaufen können, sei völlig unklar.
Foto: Gutzemberg - Shutterstock.com

Mit dem EU-US Privacy Shield haben die EU-Kommission und die USA einen neuen Rechtsrahmen für den transatlantischen Datenaustausch vereinbart, nachdem im Oktober 2015 die bis dahin gültige Safe-Harbor-Regelung vom Europäischen Gerichtshof (EuGH) kassiert worden war. Hintergrund waren die Schnüffeleien der US-Geheimdienste, vor denen Safe Harbor die europäischen Unternehmen nicht angemessen sicherte.

Das Privacy Shield sieht nun vor, dass die amerikanische Federal Trade Commission (FTC) US-Unternehmen kontrolliert, die Daten aus Europa verarbeiten. Verstoßen diese Firmen gegen bestimmte Datenschutzstandards, drohen Sanktionen. Außerdem sollen sich Konsumenten und Unternehmen, die sich in ihren Datenschutzrechten verletzt fühlen, an einen unabhängigen Ombudsmann wenden können. Eine massenhafte Überwachung von Daten, die unter den neuen Regeln ausgetauscht werden, ist damit nach Ansicht der Verhandlungspartner ausgeschlossen. Noch ist das Abkommen nicht rechtsgültig: Vertreter der EU-Staaten und des Europaparlaments müssen es noch prüfen.

Verbände und Politiker sind happy

Bundesinnenminister Thomas de Maizière und wichtige ITK-Fachverbände begrüßten das Abkommen. Der Minister sagte, es sei ein "wichtiger Schritt in Richtung auf Regeln, die für alle diesseits und jenseits des Atlantiks gelten". Dass die Amerikaner einem Ombudsmann und gemeinsamen Berichtspflichten zugestimmt hätten, sei ein großer Fortschritt.

Der Bitkom betonte, EU-Bürger erhielten im Rahmen des Privacy Shield Möglichkeiten, sich gegen unbefugte Zugriffe auf ihre Daten zu wehren. In einem Beschwerdeverfahren könnten sie - mit Unterstützung des Ombudsmanns - gegen Datenschutzverstöße vorgehen.

Wie die Cloud zum Datentresor werden soll
Aktuelle Entwicklungen zu Cloud-Security und -Datenschutz
Ob Unternehmensdaten in der Cloud "sicher" sind, hängt davon ab, welchen Datenschutzregeln der jeweilige Anbieter verpflichtet ist. Häufig geht hier es um Europa vs. USA. Die aktuellen Entwicklungen um "Safe Harbor" haben die Debatte neu befeuert. Eine klare Antwort ist immer noch in weiter Ferne.
Marktanteile
Auf die "Großen Vier" Amazon Web Services, Microsoft, IBM / Softlayer und Google entfielen im zweiten Quartal 2015 rund 54 Prozent des weltweiten Umsatzes mit Cloud-Services. Nordamerika ist mit etwa der Hälfte der Umsätze der größte regionale Markt, vor Europa und Asien/Pazifischer Raum.
Standorte
Für deutsche Unternehmen ist laut einer Studie von Bitkom Research und KPMG wichtig, dass ein Cloud Service Provider im deutschen oder EU-Rechtsraum angesiedelt ist oder dort Rechenzentren unterhält.
Erfahrungen der Nutzer
Anwender in Deutschland haben bessere Erfahrungen mit Private Clouds gemacht als mit IT-Diensten, die sie über Public Clouds beziehen.
Transformation als Treiber
Cloud Computing hat bei vielen deutschen Unternehmen einen hohen Stellenwert, wenn es um die strategische Ausrichtung der IT-Umgebung geht. Daran ändern auch Debatten um den Datenschutz nichts.
Public Cloud Provider
Alle führenden amerikanischen Anbieter von Public Cloud Services haben mittlerweile Rechenzentren in EU-Mitgliedsstaaten oder Deutschland aufgebaut. Damit tragen sie dem Wunsch von Unternehmen Rechnung, die Daten nicht in Datacentern lagern wollen, die in anderen Rechtsräumen angesiedelt sind.
Google
Google hat sich mit einer gewissen Verspätung als Cloud-Service-Provider positioniert. Mittlerweile bietet das Unternehmen nach dem Baukastenprinzip eine Palette von Cloud-Services an.
Verschlüsselungslösungen
Für die Verschlüsselung und Schlüsselverwaltung setzen Microsoft und andere Cloud-Service-Provider besonders sichere HSMs (Hardware Security Modules) ein. Microsoft nutzt bei Azure HSM-Systeme von Thales. Andere Anbieter von HSM, die in Cloud-Umgebungen zum Zuge kommen, sind Utimaco und Gemalto (SafeNet).
Microsoft-Prozess
Microsoft gegen die Vereinigten Staaten von Amerika: In dem Berufungsverfahren will Microsoft die Herausgabe von E-Mail-Daten an ein US-Gericht verhindern, die auf Servern im Cloud-Datacenter in Irland gespeichert sind.
SAP-Sicherheitsarchitektur
Die Grundlage für Cloud-Services, die den Anforderungen von Compliance- und Datenschutzregeln genügen, sind umfassende Sicherheitsmaßnahmen in Cloud-Datacentern. Eine Schlüsselrolle spielen dabei Verschlüsselungs- und Authentifizierungsmaßnahmen.
Constantin Gonzalez, AWS
Constantin Gonzalez, Solutions Architect bei Amazon Web Services: "Amazon Web Services bietet Anwender eine Art ferngesteuerte Hardware. Für die Kontroller der Daten ist der Nutzer selbst verantwortlich."
Speicherorte
Laut einer Analyse von Skyhigh Networks entsprechen zwei Drittel der Cloud-Services, die in Europa zur Verfügung stehen und von Firmen in dieser Region genutzt werden, nicht den EU-Datenschutzregelungen.
Khaled Chaar, Pironet NDH
Khaled Chaar, Managing Director Business Strategy bei der Cancom-Tochter Pironet NDH: "Bei der Debatte um die Sicherheit von Daten in der Cloud sollte ein weiterer Aspekt berücksichtigt werden: Cloud-Rechenzentren verfügen in der Regel über deutlich bessere Sicherheitsvorkehrungen als Data Center von Unternehmen. Denn für die meisten Firmen gehört der Aufbau sicherer Rechenzentrums-Strukturen nicht zum Kerngeschäft und ist schlichtweg zu aufwändig, insbesondere aufgrund der stetig wachsenden Sicherheitsanforderungen."
Hartmut Thomsen, SAP
Hartmut Thomsen, Managing Director der SAP Deutschland SE & Co. KG: "SAP befolgt die rechtlichen Rahmenbedingungen in den Ländern, in denen das Unternehmen geschäftlich tätig ist. Ebenso wichtig sind für uns die Wünsche unserer Kunden. Für diese besteht deshalb – abhängig vom jeweiligen Cloud-Produkt – die Möglichkeit, sich für Cloud-Dienstleistungen zu entscheiden, die SAP innerhalb der EU bereitstellt."
René Büst, Crisp Research
René Buest, Senior Analyst und Cloud Practice Lead bei dem Marktforschungs- und Beratungsunternehmen Crisp Research: "Für international tätige Unternehmen ist es schlichtweg unverzichtbar, einen Cloud-Service-Provider mit einer Präsenz in vielen Regionen der Welt auszuwählen."
Geteilte Verantwortung in der Public Cloud
In der Public Cloud gehorchen die Services verschiedenen Herren: Management und Sicherheit von Infrastruktur wie Storage, Netzwerk, Datenbank und Rechenpower auf der einen Seite, Verwantwortung für VMs, Anwendungen und Daten auf der anderen Seite.
Rechtslage in Deutschland
Gerade die Angst vor Angriffen und Datenverlusten schreckt viele Anwender nach wie vor vor der Cloud ab.
Compliance-Sorgen
Auch die Sorge, Compliance-Bestimmungen in der Cloud nicht einhalten zu können, treibt viele Anwender um.
CASB - das Geschäft mit dem Cloud-Zugang
Durch sogenannte CASB (Cloud Access Security Broker) soll der gesicherte Zugang zu Cloud-Diensten sichergestellt werden. Hier entwickelt sich zunehmend ein eigener Markt.

Viel skeptischer äußerten sich indes Datenschützer und Bürgerrechtsorganisationen. Aus ihrer Sicht fehlt es dem Abkommen an Verbindlichkeit, Transparenz und Kontrolle. Die Deutsche Vereinigung für Datenschutz (DVD) monierte, dass hier ungelegte Eier bejubelt würden. Die wesentlichen Verhandlungen über konkrete Vereinbarungen ständen noch bevor. Zwar hätten die USA der EU-Kommission schriftlich zugesichert, dass der Datenzugriff durch nationale Sicherheits- und Strafverfolgungsbehörden eingeschränkt und beaufsichtigt werden soll, doch gebe es dafür bislang kein Gesetz. Vor dem Hintergrund, dass die US-Regierung im letzten Jahr ihrer Amtszeit stehe, sei diese Zusicherung nichts wert, urteilte Werner Hülsmann, stellvertretender Vorsitzender der DVD.

Formloser Austausch von Briefen

Wenig überraschend äußerte sich auch Deutschlands schärfster Datenschützer, der für Schleswig-Holstein zuständige Thilo Weichert, kritisch. Wie die noch zu schaffende Behörde eines "Ombudsmanns" aussehen solle, bei dem Beschwerden zu Übergriffen von Geheimdiensten auflaufen können, sei völlig unklar. Die Position sei "rechtlich unsinnig". Weichert sagte in einer Mitteilung der DVD, deren Vorstandsmitglied er ist: "Bei Grundrechtseingriffen, um die es sich bei den Zugriffen der US-Geheimdienste handelt, bedarf es eines rechtsstaatlichen Kontrollverfahrens." Die geplante Regelung reiche nicht aus, um für europäische Bürger einen wirksamen Schutz ihrer Grundrechte zu gewährleisten.

Ein Scheitern würde allen schaden

Die DVD-Datenschützer glauben auch nicht, dass der Europäische Gerichtshof das EU-US Privacy Shield in der jetzigen Form akzeptieren wird. Die Vereinbarung werde dem "Grundrecht auf Achtung des Privatlebens" nicht gerecht. Käme es nun wieder zu einem Richterspruch gegen eine transatlantische Einigung, würde das die globale Wirtschaft treffen.

Für die EU-Kommission sicherlich unangenehm ist, dass sich mit der "Artikel-29-Datenschutzgruppe" (Article 29 Working Party oder WP 29) auch das unabhängige Beratungsgremium der Kommission kritisch äußerte. Das Gremium, das die euro­päischen Datenschützer vertritt, hatte mit Frist zum 31. Januar 2016 - dem Tag, an dem das Safe-Harbor-Abkommen ungültig wurde - eine Lösung für die Umsetzung der datenschutzrechtlichen Vorgaben des EuGH-Urteils verlangt.

In einer Pressekonferenz teilte die WP29-Vorsitzende Isabelle Falque-Pierrotin nun mit, sie habe bisher zu der Vereinbarung nur mündliche Mitteilungen von Kommissionsmitgliedern erhalten, aber keine Dokumente gesehen. Bis Ende Februar erwarte sie volle Einsicht in die Dokumente, außerdem müsse deren rechtliche Verbindlichkeit dann überprüft werden.

Isabelle Falque-Pierrotin, Article 29 Working Party: Die Verwendung von Safe Harbor über den 31. Januar 2016 hinaus ist illegal. Standardvertragsklausel und Binding Rules befinden sich in einer rechtlichen Grauzone.
Foto: Article 29 Working Party

Generell bekräftigte Falque-Pierrotin, dass es verbindliche, transparente und einklagbare Garantien für den Umgang der US-Geheimdienste mit den Daten europäischer Bürger in den USA geben müsse - ansonsten sei ein Datentransfer in die USA nicht möglich. Deshalb seien die Datenschützer von Ende Februar an bereit zu prüfen, ob der Privacy Shield ihre Bedenken hinsichtlich der Datenverarbeitung durch die US-Geheimdienste ausräume.

Safe Harbor ist jetzt illegal

Falque-Pierrotin sagte, eine Verwendung von Safe Harbor über den 31. Januar 2016 hinaus sei ganz klar illegal. Eine entsprechende Strafverfolgung könne von den nationalen Datenschutzorganisationen in der EU initiiert werden. Unternehmen, die Datentransfers in die USA mit der juristischen Grundlage der "Standardvertragsklausel" oder den "Binding Rules" abgesichert haben, agierten derzeit in einer rechtlichen Grauzone. Erst wenn die rechtlichen Grundlagen für Privacy Shield klar seien, könne geklärt werden, wie es damit weitergehe.

Die WP29-Sprecherin machte deutlich, dass die europäischen Datenschützer über das Privacy Shield letztendlich nicht mehr wüssten als die Öffentlichkeit. Sie seien in die Verhandlungen nicht involviert gewesen. Die EU-Kommission werde innerhalb der nächsten drei Wochen die fertigen Dokumente vorlegen, anhand derer die Vereinbarung überprüft werden könne. Das könne bis April 2016 dauern.