Safe Harbour ist Geschichte

Der europäische Gerichtshof hat das Datenschutzabkommen „Safe Harbour“ mit den USA für ungültig erklärt. Auch Klauseln in Dienstleistungsverträgen, die den Datenschutz garantieren, stehen auf dem Prüfstand. Bis Ende Januar 2016 will die deutsche Datenschutzkonferenz die Gültigkeit solcher Rechtskonstrukte überprüfen. Sollte das Ergebnis negativ ausfallen, könnten daraus in einigen Bereichen neue Regeln ergeben, wie das Bundesdatenschutzgesetz im einzelnen umgesetzt werden muss.

Unternehmen, die Daten in der Cloud verarbeiten, müssen sich also nächstes Jahr möglicherweise umstellen. Je nachdem, was für Dienste genutzt werden und welche neuen Anforderungen sich ergeben, sind unterschiedliche Lösungen denkbar. Das Bundesdatenschutzgesetz fordert Datensparsamkeit. Das Safe-Harbour-Urteil ist ein guter Aufhänger, um diesen Punkt neu zu überprüfen: Sind die Daten, die Sie in der Cloud speichern und verarbeiten, überhaupt nötig? Wenn auf die Daten nicht verzichtet werden kann und vertragliche Zusicherungen nicht mehr genügen, müssen technische Lösungen her.

Die großen Anbieter werden auf das europäische Cloud-Geschäft kaum verzichten wollen. Vorerst verweisen sie auf Vertragsklauseln, aber deren Bestand steht ja in Frage. Vielleicht erledigt sich das Thema, indem die amerikanischen Cloud-Anbieter neue Rechenzentren in Europa aufbauen und sie mit neuen Verträgen flankieren. Darauf verlassen können wir uns aber nicht. Eine denkbare Lösung wäre ein Zero-Knowledge-Ansatz, bei der der Cloud-Dienstleister durch Verschlüsselung der Transport- und Speicherdienste keinerlei Zugriff mehr auf die Daten hat. Dieses Modell hat aber enge Grenzen, sobald die Daten nicht nur gespeichert, sondern auch verarbeitet werden sollen.

Eine andere mögliche Lösung: Man steigt aus der Cloud aus und nutzt statt dessen eigene Server wie zum Beispiel OwnCloud für den Abgleich von Dateien, Adressen und Terminen oder OpenFire für Messaging. Den meisten Mittelständlern ist das laut einer aktuellen Umfrage ohnehin lieber.