EU und USA handeln Grundsatzdeal zu Datenaustausch aus
02.02.2016
Riesige Datenmengen fließen derzeit von Europa in die USA. Doch die rechtliche Grundlage dafür fehlt, seitdem der Europäische Gerichtshof im vergangenen Oktober das Safe-Harbor-Abkommen für den transatlantischen Datenaustausch gekippt hat. Das soll sich nun ändern.
"Schutzschild" statt "sicherer Hafen": Die EU und die USA haben sich nach zähen Verhandlungen auf neue Regeln für den Datenaustausch geeinigt. "Dieser neue Rahmen für die transatlantischen Datenflüsse schützt die Grundrechte der Europäer und gewährleistet Rechtssicherheit für Unternehmen", versicherte EU-Justizkommissarin Vera Jourova in Straßburg. Der Grünen- Europaabgeordnete Jan Philipp Albrecht nannte die Vereinbarung mit dem sperrigen Namen "EU-US-Privacy Shield" hingegen einen "Ausverkauf des EU-Grundrechts auf Datenschutz".
Mehr Rechtssicherheit oder Ausverkauf von Grundrechten?
Die Vereinbarung war nötig geworden, nachdem der Europäische Gerichtshof (EuGH) im Oktober die zuvor geltende "Safe-Harbor"-Vereinbarung gekippt hatte. In den USA seien Informationen nicht ausreichend vor dem Zugriff von Behörden und Geheimdiensten geschützt, urteilten die Luxemburger Richter. Betroffen sind nach Expertenangaben nicht nur große Netzwerke wie Facebook sondern praktisch alle Unternehmen, die Daten mit amerikanischen Partnern austauschen, auch viele Mittelständler.
Jahrelang unumstritten, wurde das Safe-Harbor-Abkommen Ende 2016 vom Europäischen Gerichtshof als unzureichend außer Kraft gesetzt. Foto: U.S. Department of Commerce
Eine massenhafte Überwachung der Daten, die unter den jetzt ausgehandelten Regelungen übermittelt werden, soll ausgeschlossen werden. Dazu gibt es angeblich schriftliche Zusicherungen aus dem Büro von US-Geheimdienstdirektor James Clapper geben.
Der Schutzschild-Rahmen (Privacy Shield) sei nicht mit dem alten Safe-Harbor-Abkommen aus dem Jahr 2000 zu vergleichen, versicherte EU-Kommissionsvize Andrus Ansip. "Zu der Zeit hatten wir keinerlei Vorstellung von den Möglichkeiten der Massenüberwachung."
Ein Ombudsmann soll Anlaufstelle im Krisenfall sein
Bundesinnenminister Thomas de Maizière (CDU) begrüßte die Einigung. Er sprach von einem "wichtigen Schritt in Richtung auf Regeln, die für alle diesseits und jenseits des Atlantiks gelten". Als "großen Fortschritt" wertete es der Minister laut Mitteilung seines Hauses, dass sich die USA zur Einrichtung eines Ombudsmannes bereiterklärt hätten und es gemeinsame Berichtspflichten geben werde.
Die EU-Kommission führte für die Europäische Union Verhandlungen mit Vertretern der US-Regierung. Tausende Unternehmen, die auf die Regelungen angewiesen sind, haben nun Aussicht auf Rechtssicherheit. "Diese Vereinbarung ist unumgänglich, weil sie einen verlässlichen Rahmen für internationale Datentransfers schafft", kommentierte Markus Beyrer vom EU-Arbeitgeberdachverband Business Europe. Die Organisation European Digital Rights geht hingegen davon aus, dass die "Notlösung" fehlschlagen werde.
Die Angst vor Datenverlust beschäftigt die Anwender. Foto: Bitkom Research / KPMG
Geplant ist nun nach EU-Angaben, dass das US-Handelsministerium Firmen, die Daten aus Europa verarbeiten, überwacht. Wer sich nicht an Standards hält, dem drohen Sanktionen. Wer seine Datenschutzrechte im Namen der nationalen Sicherheit der USA verletzt sieht, könne sich an einen Ombudsmann wenden, der unabhängig von den US-Geheimdiensten sein soll, hieß es. Dies soll US-Außenminister John Kerry zusichern.
Die US-Seite sagt laut EU eine Aufsicht der eigenen Justiz- und Sicherheitsbehörden zu. Beide Partner sollen die Umsetzung der Vereinbarungen jedes Jahr gemeinsam überprüfen. "Wenn es irgendwelche Probleme gibt, dann können wir sie sofort beheben", betonte Ansip. Die erste Überprüfung stünde laut Jourova im kommenden Jahr an.
Datenschutzaktivist Max Schrems, der das EuGH-Urteil zum Thema "Safe Harbor" erstritten hatte, sprach auf Twitter abfällig von einem "Bullshitbingo", also von erwartbaren Floskeln. Der Europaabgeordnete Albrecht bemängelte, dass die EU-Kommission nun nur auf Basis von Erklärungen der US-Regierung die Dinge anders einschätze als im Oktober 2015. Die Details seien unklar. Die Einigung sei "ein Witz".
Wie die Cloud zum Datentresor werden soll
Aktuelle Entwicklungen zu Cloud-Security und -Datenschutz Ob Unternehmensdaten in der Cloud "sicher" sind, hängt davon ab, welchen Datenschutzregeln der jeweilige Anbieter verpflichtet ist. Häufig geht hier es um Europa vs. USA. Die aktuellen Entwicklungen um "Safe Harbor" haben die Debatte neu befeuert. Eine klare Antwort ist immer noch in weiter Ferne.
Marktanteile Auf die "Großen Vier" Amazon Web Services, Microsoft, IBM / Softlayer und Google entfielen im zweiten Quartal 2015 rund 54 Prozent des weltweiten Umsatzes mit Cloud-Services. Nordamerika ist mit etwa der Hälfte der Umsätze der größte regionale Markt, vor Europa und Asien/Pazifischer Raum.
Standorte Für deutsche Unternehmen ist laut einer Studie von Bitkom Research und KPMG wichtig, dass ein Cloud Service Provider im deutschen oder EU-Rechtsraum angesiedelt ist oder dort Rechenzentren unterhält.
Erfahrungen der Nutzer Anwender in Deutschland haben bessere Erfahrungen mit Private Clouds gemacht als mit IT-Diensten, die sie über Public Clouds beziehen.
Transformation als Treiber Cloud Computing hat bei vielen deutschen Unternehmen einen hohen Stellenwert, wenn es um die strategische Ausrichtung der IT-Umgebung geht. Daran ändern auch Debatten um den Datenschutz nichts.
Public Cloud Provider Alle führenden amerikanischen Anbieter von Public Cloud Services haben mittlerweile Rechenzentren in EU-Mitgliedsstaaten oder Deutschland aufgebaut. Damit tragen sie dem Wunsch von Unternehmen Rechnung, die Daten nicht in Datacentern lagern wollen, die in anderen Rechtsräumen angesiedelt sind.
Google Google hat sich mit einer gewissen Verspätung als Cloud-Service-Provider positioniert. Mittlerweile bietet das Unternehmen nach dem Baukastenprinzip eine Palette von Cloud-Services an.
Verschlüsselungslösungen Für die Verschlüsselung und Schlüsselverwaltung setzen Microsoft und andere Cloud-Service-Provider besonders sichere HSMs (Hardware Security Modules) ein. Microsoft nutzt bei Azure HSM-Systeme von Thales. Andere Anbieter von HSM, die in Cloud-Umgebungen zum Zuge kommen, sind Utimaco und Gemalto (SafeNet).
Microsoft-Prozess Microsoft gegen die Vereinigten Staaten von Amerika: In dem Berufungsverfahren will Microsoft die Herausgabe von E-Mail-Daten an ein US-Gericht verhindern, die auf Servern im Cloud-Datacenter in Irland gespeichert sind.
SAP-Sicherheitsarchitektur Die Grundlage für Cloud-Services, die den Anforderungen von Compliance- und Datenschutzregeln genügen, sind umfassende Sicherheitsmaßnahmen in Cloud-Datacentern. Eine Schlüsselrolle spielen dabei Verschlüsselungs- und Authentifizierungsmaßnahmen.
Constantin Gonzalez, AWS Constantin Gonzalez, Solutions Architect bei Amazon Web Services: "Amazon Web Services bietet Anwender eine Art ferngesteuerte Hardware. Für die Kontroller der Daten ist der Nutzer selbst verantwortlich."
Speicherorte Laut einer Analyse von Skyhigh Networks entsprechen zwei Drittel der Cloud-Services, die in Europa zur Verfügung stehen und von Firmen in dieser Region genutzt werden, nicht den EU-Datenschutzregelungen.
Khaled Chaar, Pironet NDH Khaled Chaar, Managing Director Business Strategy bei der Cancom-Tochter Pironet NDH: "Bei der Debatte um die Sicherheit von Daten in der Cloud sollte ein weiterer Aspekt berücksichtigt werden: Cloud-Rechenzentren verfügen in der Regel über deutlich bessere Sicherheitsvorkehrungen als Data Center von Unternehmen. Denn für die meisten Firmen gehört der Aufbau sicherer Rechenzentrums-Strukturen nicht zum Kerngeschäft und ist schlichtweg zu aufwändig, insbesondere aufgrund der stetig wachsenden Sicherheitsanforderungen."
Hartmut Thomsen, SAP Hartmut Thomsen, Managing Director der SAP Deutschland SE & Co. KG: "SAP befolgt die rechtlichen Rahmenbedingungen in den Ländern, in denen das Unternehmen geschäftlich tätig ist. Ebenso wichtig sind für uns die Wünsche unserer Kunden. Für diese besteht deshalb – abhängig vom jeweiligen Cloud-Produkt – die Möglichkeit, sich für Cloud-Dienstleistungen zu entscheiden, die SAP innerhalb der EU bereitstellt."
René Büst, Crisp Research René Buest, Senior Analyst und Cloud Practice Lead bei dem Marktforschungs- und Beratungsunternehmen Crisp Research: "Für international tätige Unternehmen ist es schlichtweg unverzichtbar, einen Cloud-Service-Provider mit einer Präsenz in vielen Regionen der Welt auszuwählen."
Geteilte Verantwortung in der Public Cloud In der Public Cloud gehorchen die Services verschiedenen Herren: Management und Sicherheit von Infrastruktur wie Storage, Netzwerk, Datenbank und Rechenpower auf der einen Seite, Verwantwortung für VMs, Anwendungen und Daten auf der anderen Seite.
Rechtslage in Deutschland Gerade die Angst vor Angriffen und Datenverlusten schreckt viele Anwender nach wie vor vor der Cloud ab.
Compliance-Sorgen Auch die Sorge, Compliance-Bestimmungen in der Cloud nicht einhalten zu können, treibt viele Anwender um.
CASB - das Geschäft mit dem Cloud-Zugang Durch sogenannte CASB (Cloud Access Security Broker) soll der gesicherte Zugang zu Cloud-Diensten sichergestellt werden. Hier entwickelt sich zunehmend ein eigener Markt.
Die politischen Vereinbarungen müssen nun aber noch umgesetzt werden, zudem muss die EU-Kommission förmlich feststellen, dass damit der Datenschutz in den USA gesichert ist. Dies dürfte der EU-Behörde zufolge einige Wochen dauern. Das Verhandlungsergebnis muss zudem von Vertretern der EU-Staaten bestätigt werden, auch das Europaparlament hat Prüfrechte. Eigentlich hatten die EU-Datenschutzbehörden eine Einigung bis zum 31. Januar gefordert. Sie sollen sich am Mittwoch in Brüssel äußern. (dpa/hv)