Privacy Shield und die Folgen: Unternehmen sollten in Flexibilität investieren

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Die auf Safe Harbor folgende Vereinbarung zwischen der EU und den USA, genannt Privacy Shield, ist am 1. August in Kraft getreten. Welche Auswirkungen wird die neue Regelung für Nutzer und Anbieter von Cloud-Diensten haben? Und welche Dienste benötigen Unternehmen als Folge, um ihre Daten stets rechtssicher und geschützt zu speichern?
Europa-Flagge über Europakarte

Die auf Safe Harbor folgende Vereinbarung zwischen der EU und den USA, genannt Privacy Shield, ist am 1. August in Kraft getreten. Welche Auswirkungen wird die neue Regelung für Nutzer und Anbieter von Cloud-Diensten haben? Und welche Dienste benötigen Unternehmen als Folge, um ihre Daten stets rechtssicher und geschützt zu speichern?

International aufgestellte Unternehmen operierten, seitdem der Europäische Gerichtshof die alte Safe-Harbor-Vereinbarung gekippt hatte, in einer juristischen Grauzone. Der österreichische Aktivist Max Schrems hatte die Abschaffung von Safe Harbor mit seinem Verfahren gegen Facebook in Gang gebracht und der EuGH kippte das bestehende Regelwerk schlussendlich im Oktober 2015. Fast zehn Monate später, am 1. August, tritt nun die neue Abmachung zwischen der EU und den USA, genannt Privacy Shield, in Kraft. Sie soll das Vertrauen in den transatlantischen Datenfluss wiederherstellen und für alle beteiligten Parteien wieder Rechtssicherheit bieten.

Auch Privacy Shield nur ein Kompromiss

Die Artikel-29-Datenschutzgruppe, die den ersten Entwurf der Kommission von Privacy Shield zu evaluieren hatte, gab im April ihre Einschätzung dazu ab, wie die Folgen von Privacy Shield aussehen würden und ob die neue Vereinbarung wohl vor dem EuGH Bestand haben würde. Seitdem ist vielen Beobachtern klar, dass auch Privacy Shield nur ein Kompromiss sein würde, zu umfassend sind die Einschränkungen des Entwurfs bezüglich der nationalen Sicherheit der beteiligten Länder. Sprich, wenn es um die Sicherheit aller geht, muss das Recht des Einzelnen zurückstecken.

Ob sensible Daten in der Cloud sicher sind, darf bezweifelt werden

Ob Privacy Shield besser darin sein wird, Nutzer von Cloud-Diensten in der EU zu schützen, als die vorherige Abmachung, kommt also auf den Standpunkt an. Ob sensible Daten in der Cloud wirklich sicher sind, darf aber wohl auch mit Privacy Shield bezweifelt werden. Hier gehen die Meinungen bei Experten auseinander, zahlreiche Kritiker habe jedoch Bedenken, dass der von der EU-Kommission ausgehandelte Kompromiss ausreicht, um Daten von EU-Bürgern und Unternehmen angemessen zu schützen. Der kritischste Aspekt dabei war und ist weiterhin der mögliche Zugriff auf Daten durch US-Behörden. Seitdem Edward Snowden die weitreichenden Überwachungsmaßnahmen der USA publik gemacht hat, ist das Vertrauen der EU in den Partner auf der anderen Seite des Atlantiks auf einem Tiefpunkt angekommen. Schwierig wird zudem die Situation für Firmen mit Niederlassungen im Vereinigten Königreich nach dem Brexit, da Privacy Shield dort sehr wahrscheinlich nicht gelten wird und der dortige Überwachungsdienst GCHQ den US-Kollegen in Sachen Datenüberwachung in nichts nachsteht.

Wird Privacy Shield besser darin sein, Nutzer von Cloud-Diensten in der EU zu schützen, als die vorherige Abmachung? Bild: © Bernd Kasper/pixelio

Für Anbieter von Cloud-Diensten ist Rechtssicherheit natürlich wichtig und sie werden ihre Angebote schnell gemäß den neuen Regeln anpassen. Für Unternehmen, die diese Cloud-Dienste nutzen, ist es aber nur ein Aspekt, dass die von ihnen genutzten Dienste der Rechtslage entsprechen. Es spielen jedoch noch zahlreiche andere Faktoren bei der Auswahl der richtigen Lösung eine Rolle, allen voran die Souveränität über die Daten und die Flexibilität, den physikalischen Speicherort bei geänderten Umständen ebenfalls zu ändern. Souveränität über Daten ist mit der Public Cloud allerdings nicht zu erreichen. Nur eine Hybrid- oder Private Cloud kann hier Abhilfe schaffen.

Wo sind die Daten? Hier trennt sich die Spreu vom Weizen

Der wichtigste Aspekt einer jeden Cloud-Lösung ist für Unternehmen natürlich die Sicherheit der von ihnen in die Cloud ausgelagerten Daten. Hier haben Dienste, die von Grund auf für Unternehmen entwickelt wurden, gegenüber Angeboten, die aus Filesharing-Angeboten für Konsumenten entstanden, enorme Vorteile, da sie von Haus aus höheren Sicherheitsanforderungen genügen.
Ein weiterer wichtiger Aspekt bei der Auswahl der richtigen Lösung liegt in deren Flexibilität hinsichtlich des physikalischen Orts der Daten, der ja schon von Rechts wegen wichtig ist. Dass die Public Cloud, ob mit oder ohne Privacy Shield, hier keine gute Wahl ist, liegt auf der Hand. Unternehmen, die sich also auf rechtssicherem Terrain bewegen wollen, müssen daher in eine eigene Lösung investieren, die sichere Cloud-Optionen bietet und die Daten auch im eigenen Rechenzentrum und hinter der eigenen Firewall speichern kann. Damit bleibt man nebenbei auch vollkommen unbeeinflusst von jedweden Abkommen, deren Schwächen und im schlimmsten Fall einem Scheitern der Vereinbarung vor Gerichten.

Was tun, wenn bereits eine Cloud-Lösung vorhanden ist?

Unternehmen, die bereits Daten in die Cloud migriert haben, suchen derzeit nach Alternativen, die ihre Daten sicher speichern und auch künftig Rechtssicherheit bieten, insofern also komplett unabhängig von Privacy Shield sind.
Wichtig dabei sind garantierte SLAs für Unternehmenskunden, damit man sich nicht die Bandbreite mit Millionen von Privatkunden teilen muss, wie das bei Freemium-Diensten tatsächlich oft vorkommt, die Privat- und Unternehmenskunden auf der gleichen Plattform mischen. Diese Cloud-Anbieter stellen im Normalfall auch keine zusätzlichen Funktionen für Unternehmenskunden bereit, die diese eigentlich dringend benötigen, etwa Verschlüsselung, Viren-Scanning und rollenbasierte Zugangskontrolle. Nur eine von Grund auf für Unternehmen entwickelte Lösung bietet umfassende Sicherheit ohne auf einfache Bedienung verzichten zu müssen.

Auch in einer globalisierten Welt müssen Unternehmen das jeweils lokale Recht einhalten. Man ist gut beraten, eine Plattform zu wählen, die für Unternehmen entwickelt wurde und nicht für Konsumenten, um sicher zu gehen, auch bei künftigen Änderungen der Rechtslage sicher weiterarbeiten zu können. Dann kann einem Privacy Shield, oder was auch immer in der Zukunft kommt, herzlich egal sein.

Autor: Subhashini Simha, Vice President Product Management and Marketing bei Thru

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

avatar
  Abonnieren  
Benachrichtige mich bei

Andere Leser haben sich auch für die folgenden Artikel interessiert

Werbung

Nichts mehr verpassen!

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.