Hat "Safe Harbor" noch eine Zukunft?
Mit dem "Safe Harbor"-Programm der EU sollen US-Unternehmen die Möglichkeit bekommen, im Rahmen der europäischen Datenschutzgesetze Geschäfte machen zu können. "Safe Harbor"-zertifizierten Firmen wurde nachgewiesen, dass sie personenbezogene Daten von EU-Bürgern gesetzeskonform erheben und verarbeiten. Safe Harbor fußt auf den sieben grundlegenden Prinzipien der europäischen Datenschutzrichtlinie von 1995:
Information des Betroffenen
Möglichkeit zum "Opt-out"
Einschränkungen der Datenweitergabe
Datensicherheit gewährleisten
Datenintegrität wahren
Zugriffsmöglichkeit für den Anwender auf seine hinterlegten Daten
Aktive Durchsetzung des Datenschutzes seitens des Unternehmens
Eine Zertifizierung ist über ein Self-Assessment oder einen Drittprüfer möglich und muss alle zwölf Monate erneuert werden. Durch die NSA-Affäre hat Safe Harbor als aussagekräftiges Zeugnis darüber, dass man einem US-Unternehmen ruhigen Gewissens vertrauen könne, jedoch erheblich gelitten - zumal eine Zertifizierung keinesfalls zwingend ist, um in Europa Geschäfte machen zu dürfen. Daher zweifelt so manch einer an der Zukunft des Programms.
Die EU-Kommission hat 13 Empfehlungen ausgesprochen, die Angemessenheit und Aussagekraft von Safe Harbor-Zertifikaten zu verbessern. Beispielsweise solle die US-Handelskommission FTC alle Safe-Harbor-Unternehmen zu unabhängigen Compliance-Audits bitten. "Damit Safe Harbor zukunftstauglich ist, muss es die USA aktiv unterstützen. Im Sommer 2014 werden wir sehen, wie stark das Interesse seitens der US-Regierung wirklich ist - entweder Safe Harbor wird gestärkt oder abgeschafft", machte EU-Kommissarin Viviane Reding bereits klar, dass die Zukunft des Programms keinesfalls sicher ist.
- Checkliste Cloud-SLAs
Um zu beurteilen, ob ein Cloud-Provider kundenfreundliche SLAs anbietet, lassen sich folgende Kriterien anlegen und überprüfen: - Punkt 1:
Kurze und klare Gestaltung von Inhalt, Struktur und Formulierung. - Punkt 2:
Version in der Landessprache des Kunden. - Punkt 3:
Klare Definitionen von Fach- und Produktbegriffen zu Beginn. - Punkt 4:
Detaillierte Ankündigung und Planung der Wartungsfenster (Beispiel: "Viermal im Jahr an vorangemeldeten Wochenenden"). - Punkt 5:
Leistungsbeschreibung in Tabellenform (Übersicht!). - Punkt 6:
Klar definierte Bereitstellungszeiträume für neue Ressourcen (Beispiele: Bereitstellung virtueller Server bei Managed Cloud in maximal vier Stunden; Bereitstellung kompletter Umgebungen oder dedizierter Server in fünf bis zehn Tagen). - Punkt 7:
Bereitstellung von klar abgegrenzten Konfigurationsoptionen für Ressourcen (Beispiel: Konfiguration von Servern nach Gigahertz, Gigabyte). - Punkt 8:
Einfach unterscheidbare Service-Levels (Beispiel: Silber, Gold, Platin); Abgrenzungskriterien können sein: Verfügbarkeit, Bereitstellungszeiten, fest reservierte Kapazitäten ja/nein, Support-Level (Telefon, E-Mail). - Punkt 9:
Bei IaaS-Angeboten unbedingt auf Netzwerk-Konfigurationsmöglichkeiten und Bandbreite achten (Volumen? Im Preis inkludiert ja/nein?). - Punkt 10:
Kundenfreundlicher Reporting- beziehungsweise Gutschriftenprozess (am besten aktive Gutschriften auf Kundenkonto; kein bürokratischer, schriftlicher Prozess; möglichst einfache Beweis- und Nachweispflicht für Kunden). - Punkt 11:
Reaktionszeiten und Serviceverfügbarkeit klar beschreiben (zentrale Hotline; Reaktionszeiten auf Incidents in Stunden). - Punkt 12:
Nennung der Rechenzentrumsstandorte mit Adresse und sonstigen Informationen wie Zertifizierungen und Tier. - Punkt 13:
Definition der Verfügbarkeiten: Unterschiede hinsichtlich Verfügbarkeit Server/VM und Verfügbarkeit Admin-Konsole definieren. - Punkt 14:
Erläuterung zu Möglichkeiten der SLA-Überwachung beziehungsweise des Incident-Reportings für den Anwender (Beispiel: Link auf Monitoring-Dashboard).
Sollte Safe Harbor nicht weitergeführt werden, muss für jeden Datentransfer zwischen Europa und den USA ein entsprechender Compliance-Vertrag ausverhandelt werden. Dieser umfasst Kontrollprüfungen, Audits und drohende Strafen bei Nichtbeachtung. Wird das europäische Datenschutzrecht wie geplant reformiert, drohen verstoßenden US-Anbietern dann Strafzahlungen in schwindelerregender Höhe.
Forrester-Analyst Rose ist überzeugt, dass es gar nicht erst soweit kommen wird: "Ich glaube, dass Safe Harbor überleben wird. Einfach deshalb, weil die amerikanischen Behörden alles dafür tun werden, die entsprechenden EU-Forderungen umzusetzen. Unabhängige Audits und zusätzliche Compliance-Zertifikate werden Safe Harbors Fortbestand sichern."
Was versteht man unter "Binding Corporate Rules"?
Die "Binding Corporate Rules" (BCR) werden häufig als wichtige Ergänzung zum Safe Harbor-Programm gesehen und sind ebenfalls per Zertifikat zu belegen. Sie beziehen sich auf die Datenverarbeitung innerhalb eines global agierenden Unternehmens. Es werden dadurch auch solche Unternehmenseinheiten erreicht, die weder innerhalb der EU noch in den USA sitzen. Jedes multinationale Unternehmen kann eigene BCRs erstellen, was desto aufwändiger und kostspieliger ist, je mehr Staaten abgedeckt werden müssen.
Transferiert also beispielweise Microsoft Großbritannien personenbezogene Daten in ein Rechenzentrum in Mexiko, würden dort weder die allgemeinen EU-Richtlinien noch die speziellen britischen Datenschutzgesetze noch die Safe-Harbor-Regeln gelten. Weil sich die BCRs aber auf den gesamten Microsoft-Konzern beziehen, verpflichtet sich das Unternehmen dennoch, die festgelegten Spielregeln auch in Mexiko zu beherzigen. EU-Unternehmen, die personenbezogene Daten über Ländergrenzen hinweg auslagern, sollten in jedem Fall eigene BCRs aufstellen und sich auch ausschließlich mit solchen Partnern zusammentun, die ebenfalls welche haben.
Welche Vorgaben macht die EU bezüglich Drittstaaten?
Laut Artikel 25 der EU-Datenschutzrichtlinie dürfen EU-Mitgliedsstaaten personenbezogene Daten in Nicht-EU-Staaten transferieren, wenn das dortige Datenschutzniveau den EU-Standards ähnlich erscheint und als ausreichend angesehen wird. Das ist häufig einzelfallabhängig - muss aber laut Richtlinie in jedem Fall nach einigen festen Kriterien objektiv beurteilt werden können: die Art der Daten, der Zweck und die Dauer ihrer Verarbeitung, das Ursprungs- und Zielland sowie die Gesetze, Marktregeln und IT-Sicherheitsniveau des Ziellandes. Besteht der Verdacht, dass das gewünschte Datenschutzniveau nicht erreicht wird, ist die EU-Kommission seitens des EU-Mitglieds davon zu unterrichten respektive umgekehrt.