Die Safe Harbor Principles als Cloud-Mogelpackung

Neben dem Aufbau eigener Rechenzentren versuchen US-Anbieter, durch weitere vertrauensbildende Maßnahmen Kunden in ihre Clouds zu ziehen oder dort zu halten. So können sich US-Firmen schon seit 2000 den sogenannten Safe Harbor Principles unterwerfen. Diese freiwillige Verpflichtung soll einen Datenschutz auf EU-Niveau garantieren. Amerikanische Hoster dürfen dann personenbezogene Daten von EU-Bürgern in den USA lagern, was ansonsten gemäß § 25 der Europäischen Datenschutzrichtlinie unzulässig wäre.

Die Safe-Harbor-Unterzeichner versprechen unter anderem, Betroffene über die Datenverarbeitung zu informieren und ihnen die Gelegenheit zu geben, Einwand dagegen zu erheben. Safe Harbor ist jedoch weitgehend eine Mogel­packung, wie das Unabhängige Landeszentrum für Datenschutz (ULD) bereits 2010 mit Bezug auf eine australische Studie feststellte: Von den 2170 US-Unternehmen, die von sich behaupteten, Safe Harbor zu respektieren, machten 940 keine Angaben darüber, wie sie die garantierten Einspruchsmöglichkeiten umgesetzt hatten, 314 Unternehmen verlangten für die Bearbeitung von Beschwerden 2000 bis 4000 Dollar Gebühren. „Aus Datenschutzsicht könnte es nur eine Konsequenz aus den bisherigen Erfahrungen geben – Safe Harbor sofort zu kündigen“, so ULD-Leiter Thilo Weichert.

Bis 2013 hatte sich die Situation nicht wesentlich verbessert, wie wiederum eine australische Studie offenlegte. Die Untersuchungen der Beratungsfirma Galexia ergaben ein verheerendes Bild:

Die EU und auch die deutschen Datenschutzbehörden zogen jedoch keine Konsequenzen, sondern gaben den schwarzen Peter an die deutschen Auftraggeber zurück: „Die obersten Aufsichtsbehörden für den Datenschutz im nicht öffentlichen Bereich weisen darauf hin, dass sich datenexportierende Unternehmen bei Übermittlungen an Stellen in die USA nicht allein auf die Behauptung einer Safe-Harbor-Zertifizierung des Datenimporteurs verlassen können.

Vielmehr muss sich das datenexportierende Unternehmen nachweisen lassen, dass die Safe-Harbor-Selbstzertifizierungen vorliegen und deren Grundsätze auch eingehalten werden“, ließ der Düsseldorfer Kreis, ein Zusammenschluss deutscher Datenaufseher, verlauten. Das Risiko liegt also komplett beim deutschen Auftraggeber, der US-Hoster ist fein raus: „Es hat keine rechtlichen Konsequenzen für diese Unternehmen, wenn sie den deutschen Datenschutz nicht einhalten“, sagt Profit-Bricks-Manager Gauger.

Einigen amerikanischen Anbietern ist der schlechte Ruf von Safe Harbor wohlbewusst und sie unterwerfen sich deshalb freiwillig strengeren innereuropäischen Regeln. „Microsoft hat die in der ganzen EU akzeptierten Regelungen zum Datenschutz in seine Standardverträge aufgenommen und stellt sicher, dass die Inhaltsdaten seiner europäischen Kunden auch in Europa bleiben“, so Swantje Richters, Justiziarin bei Microsoft Deutschland. Microsoft sei das einzige Unternehmen mit einer Bestätigung der Artikel-29-Datenschutzgruppe, einem Abstimmungsgremium aller 28 nationalen Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten, so Richters weiter. Diese bescheinigt dem Vertragswerk des Herstellers eine ordnungsgemäße Umsetzung der EU-Standardvertragsklauseln (EU Model Clauses) und ermöglicht es laut Richters den Kunden, EU-Datenschutzrichtlinien auch bei der Übermittlung personenbezogener Daten in sogenannte Drittstaaten außerhalb der EU zu entsprechen.