Bieten deutsche Clouds wirklich mehr Schutz?
Die Safe Harbor Principles als Cloud-Mogelpackung
von Harald Töpfer - 07.04.2015
Neben dem Aufbau eigener Rechenzentren versuchen US-Anbieter, durch weitere vertrauensbildende Maßnahmen Kunden in ihre Clouds zu ziehen oder dort zu halten. So können sich US-Firmen schon seit 2000 den sogenannten Safe Harbor Principles unterwerfen. Diese freiwillige Verpflichtung soll einen Datenschutz auf EU-Niveau garantieren. Amerikanische Hoster dürfen dann personenbezogene Daten von EU-Bürgern in den USA lagern, was ansonsten gemäß § 25 der Europäischen Datenschutzrichtlinie unzulässig wäre.
Andreas Gauger, Geschäftsführer von Profit Bricks: „Amerikanische Anbieter versuchen mit Rechenzentren in Deutschland, ihren Kunden Datenschutz nach deutschen Gesetzen zu suggerieren.“
Bis 2013 hatte sich die Situation nicht wesentlich verbessert, wie wiederum eine australische Studie offenlegte. Die Untersuchungen der Beratungsfirma Galexia ergaben ein verheerendes Bild:
- 427 von knapp 3000 untersuchten Safe-Harbor-zertifizierten US-Firmen hielten sich nicht an das Abkommen
- 30 Prozent der untersuchten Firmen machten keine Angaben über Einspruchsmöglichkeiten
- Mehr als 460 Firmen verlangten Geld für das Einreichen von Beschwerden
Die EU und auch die deutschen Datenschutzbehörden zogen jedoch keine Konsequenzen, sondern gaben den schwarzen Peter an die deutschen Auftraggeber zurück: „Die obersten Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich weisen darauf hin, dass sich datenexportierende Unternehmen bei Übermittlungen an Stellen in die USA nicht allein auf die Behauptung einer Safe-Harbor-Zertifizierung des Datenimporteurs verlassen können.
Swantje Richters, Justiziarin bei Microsoft Deutschland: „Wir mussten noch nie Daten deutscher Unternehmenskunden an die NSA herausgeben.“
Einigen amerikanischen Anbietern ist der schlechte Ruf von Safe Harbor wohlbewusst und sie unterwerfen sich deshalb freiwillig strengeren innereuropäischen Regeln. „Microsoft hat die in der ganzen EU akzeptierten Regelungen zum Datenschutz in seine Standardverträge aufgenommen und stellt sicher, dass die Inhaltsdaten seiner europäischen Kunden auch in Europa bleiben“, so Swantje Richters, Justiziarin bei Microsoft Deutschland. Microsoft sei das einzige Unternehmen mit einer Bestätigung der Artikel-29-Datenschutzgruppe, einem Abstimmungsgremium aller 28 nationalen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten, so Richters weiter. Diese bescheinigt dem Vertragswerk des Herstellers eine ordnungsgemäße Umsetzung der EU-Standardvertragsklauseln (EU Model Clauses) und ermöglicht es laut Richters den Kunden, EU-Datenschutzrichtlinien auch bei der Übermittlung personenbezogener Daten in sogenannte Drittstaaten außerhalb der EU zu entsprechen.