Gibt es andere Wege?
Was sind nun die Folgen für Europa und die europäischen Unternehmen? Das kommt darauf an, welches Ziel man verfolgt. Geht es nur um den Mehrwert, den man aus einem Service, für den die Übermittlung von PBD in die USA notwendig ist, ziehen kann, und betrachtet man die Einhaltung des Datenschutzes in dem Zusammenhang lediglich als notwendiges Übel, das es nun mal zu beachten gilt, dann dürfte "Privacy Shield" eine praktikable Lösung darstellen. Geht es aber um tatsächlichen Datenschutz in dem Sinne, dass ein vergleichbares Niveau wie in der EU garantiert ist, dann wohl eher nicht. Hier gilt es abzuwägen und die Sensibilität der Daten mit zu berücksichtigen. Da das Thema in der Öffentlichkeit durch das Urteil des Europäischen Gerichtshofs und die anschließenden Diskussionen auch wesentlich präsenter ist als noch zu Zeiten von "Safe Harbor", dürften sich auch die kritischen Nachfragen von Kundenseite häufen und die Übermittlung von Kundendaten in die USA nicht immer auf große Begeisterung stoßen.
Selbstverständlich bleibt es jedem Unternehmen überlassen, sich im konkreten Fall um individuell ausgehandelte und schärfere Vereinbarungen zu bemühen, doch ist dies eigentlich nicht der Sinn des Abkommens. Standardvertragsklauseln und Binding Corporate Rules stehen seit dem Urteil des Europäischen Gerichtshofs auf wackeligem Fundament und werden unter dem Eindruck von "Privacy Shield" neu zu bewerten sein. Solange in den USA nicht ein Mentalitätswechsel stattfindet, dürfte es dabei bleiben, dass jedes Datenschutzabkommen zwischen Europa und den USA einen Kompromiss darstellt, der das Schutzniveau gegenüber dem EU-Standard absenkt. Möchte ein Unternehmen künftig beispielsweise eine US-gestützte Cloud-Lösung nutzen, empfiehlt sich die Durchführung einer Vorabkontrolle, am besten durch neutrale Experten beziehungsweise Gutachter.
Nationale Alternativen
Als Option, mit der sich das Problem grundsätzlich umgehen lässt, bleibt noch die Nutzung deutscher bzw. europäischer Alternativen. Ansätze hierzu gibt es immer wieder; siehe beispielsweise aktuell die Microsoft Cloud mit deutscher Datentreuhand. Aber es ist nicht einfach. Zu verlockend, vielfältig und günstig sind die Angebote aus Übersee. Nicht immer lässt sich etwas Vergleichbares in heimischen Gefilden finden, oder aber die geschäftlichen Beziehungen erzwingen nun mal den Datenaustausch mit den USA. Unternehmen, die sich dazu entschließen, den USA datentechnisch den Rücken zuzukehren, müssen aber zumindest nicht mehr mit bangem Blick auf das Damoklesschwert starren, das auch über "Privacy Shield" bereits zu hängen scheint. Denn es erscheint aus heutiger Sicht eher fraglich, dass das Urteil der Datenschützer besonders positiv ausfallen wird. Und sollte es erneut zu einer Klage vor dem Europäischen Gerichtshof kommen, kann auch niemand vorhersagen, wie das Urteil der Richter ausfallen wird. Sollte auch "Privacy Shield" gekippt werden, wäre jede weitere Vereinbarung, die die EU-Kommission daraufhin ohne frühzeitige Einbindung der europäischen Datenschützer anstreben würde, von vornherein unglaubwürdig.
- Die Studienteilnehmer
222 Mittelständler nahmen an der Studie teil. Zwei Drittel davon planen mit allen Cloud-Modellen. - Teilnehmende Branchen
Der größte Anteil der Teilnehmer kommt aus dem produzierenden Gewerbe. - Rolle der Cloud
Die Zahl der "Cloud-Verweigerer" liegt heute bei nicht einmal mehr 15 Prozent. - Zukunft gehört Multi-Cloud-Umgebungen
Die Zukunft liegt in Hybrid- und Multi-Cloud-Ansätzen. - Gründe für Cloud-Initiativen
Die Kundenanforderungen lassen Mittelständlern keine Wahl: der Weg führt in die Cloud. - IT-Abteilung entscheidet
IT-Abteilungen haben in Sachen Cloud den Hut auf. Doch kleine Mittelständler haben oft keine, dort entscheidet der Chef selbst. - Cloud-Anteil am IT-Budget
Vier von fünf Mittelständlern investieren weniger als 30 Prozent ihres IT-Budgets in Cloud-Technologien. - Flexibilität ist Trumpf
Anwender möchten flexibler und agiler werden. der Kostenaspekt ist nicht ganz so wichtig. - Immer noch Sicherheitssorgen
Datensicherheit und Datenschutz bleiben die hemmenden Faktoren. - Sichtbare Fortschritte
Die meisten Betriebe sind entweder in der konkreten Planungs- oder bereits in der Implementierungsphase. - Das wandert in die Cloud
E-Mail und Collaboration sind die bevorzugten Cloud-Anwendungen. - Vorhandenes wird verlagert
Am häufigsten werden bestehende Workloads migriert. - Offenheit ist Auswahlkriterium
Ein Public-Cloud-Anbieter muss vor allem offen sein und Integrationsmöglichkeiten bieten. - Bevorzugte Anbieter
AWS, Microsoft und SAP genießen die höchste Aufmerksamkeit im Mittelstand. - Cloud-Management
Als Cloud-Management-Lösungen sind VMware-Lösungen besonders beliebt. - Verantwortung beim Provider
Wer in die Public Cloud geht, sieht die Verantwortung für Betrieb und Sicherheit schwerpunktmäßig beim Anbieter. - Wann Externe ins Spiel kommen
Integration, Betrieb und Architektur sind Themen, bei denen Mittelständler Hilfe suchen. - Wichtig: Skills und Projekterfahrung
Cloud-Integratoren sollten gute Leute und Projekterfahrung haben. - Keine Alleingänge
Anwender arbeiten mit Externen zusammen.
Fazit
Bei allem Vorbehalt, den es bis zum Vorliegen der abschließenden Stellungnahme der "Artikel-29-Datenschutzgruppe" zu hegen gilt, ist die Prognose für "Privacy Shield" nicht sonderlich positiv. Europa kann den bequemen Weg gehen und sich den US-amerikanischen Vorstellungen vom Datenschutz anpassen oder sich aber für den unbequemen Weg entscheiden, die europäischen Datenschutzinteressen ernsthaft umzusetzen - sei es über entsprechende Vereinbarungen mit den USA oder über die Förderung europäischer Alternativen zu den Angeboten US-amerikanischer Unternehmen. Der Weg, der aktuell beschritten wird, sieht jedoch eher nach einem faulen Kompromiss aus. (sh)