Frank Strecker
7. Dezember 2016 1
Cloud

Von Safe Harbor bis EU-Datenschutz-Grundverordnung

Was Sie in 2017 beim Datenschutz beachten müssen

Zum Jahresende führe ich naturgemäß viele Gespräche mit unseren Kunden. Man merkt bei den Begegnungen, dass die digitale Transformation nunmehr in jeder Branche, jeder Unternehmensgröße in vollem Gange ist. Daraus ergeben sich für das bald beginnende 2017 neue, verheißungsvolle Geschäftschancen, aber auch Herausforderungen – das ist mehr als deutlich zu spüren.

Eine Unwägbarkeit, die mir dabei immer wieder begegnet, ist die des Datenschutzes und der Datensicherheit hinsichtlich der Cloud. Vor allem, was die Datenspeicherung und -verarbeitung in den USA angeht. Im Grunde geht das jedes Unternehmen an, das IT-Services von US-Providern nutzt und etwa personenbezogene Daten auf US-Servern oder Servern von US-Providern speichert. Was beispielsweise bei einem cloudbasierten CRM die Regel ist.

Hier fangen die Probleme an: Unsere Kunden wissen selbstverständlich, dass das Safe-Harbor-Abkommen gekippt wurde, dass ein so genanntes Privacy Shield an seine Stelle getreten und eine neue Datenschutzregelung für Europa hinzugekommen ist. So weit, so eben nicht gut. Denn was das für die unternehmerische Realität bedeutet, das ist offensichtlich nicht allen Unternehmen klar. Laut Bitkom haben sich bisher nur gut die Hälfte aller Unternehmen mit der EU-Datenschutz-Grundverordnung beschäftigt. Lassen Sich mich ein wenig Licht ins Dunkel bringen.

Bei Safe Harbor und dem Privacy Shield geht, beziehungsweise ging es vereinfacht ausgedrückt darum, personenbezogene Daten sicher in die USA senden zu können. Safe Harbor, das im Jahr 2000 ins Leben gerufene Datenschutzabkommen mit den USA, wurde jedoch Ende 2015 vom Europäischen Gerichtshof für ungültig erklärt. Der Grund: Aus Europa übermittelte Daten seien in den USA nicht ausreichend vor US-Behörden geschützt. Mit dem Wegfall waren – neben einer Einwilligung der Betroffenen – so genannte Binding Corporate Rules und die EU-Standardvertragsklauseln die einzige Möglichkeit, Daten in rechtlich zulässiger Weise in die USA zu übermitteln. Unter Experten war die rechtliche Solidität dieser beiden Wege aber zumindest umstritten. Dann sollte aber alles anders kommen, und zwar mit dem EU Privacy Shield.

Dieses ist seit Juli 2016 in Kraft und galt auf dem Papier als solider Nachfolger von Safe Harbor – aber nur hier. Denn in der Praxis sehen Kritiker diesen Schutzschild weiterhin als nicht ausreichend für den Datenschutz. Nicht ohne Grund haben Bürgerrechtsorganisationen dieser Tage bereits vor dem Europäischen Gericht eine Nichtigkeitsklage dagegen erhoben.

Und wäre das alles nicht genug, gilt ab Mai 2018 die neue EU-Datenschutz-Grundverordnung. Ziel: eine weitgehende Vereinheitlichung des europäischen Datenschutzrechtes durch direkt geltendes Recht in allen Mitgliedsstaaten nach einer zweijährigen Übergangsfrist. Diese Regelung hat es aber nach Meinung von versierten IT-Anwälten in sich. Beispielsweise durch eine laut Artikel 32 unter bestimmten Umständen notwendige Pflicht zur Pseudonymisierung und Verschlüsselung von Daten – hier spielen unter anderem Stand der Technik sowie Schwere des Risikos für die Rechte und Freiheiten der Betroffenen eine Rolle.

Die Zuwiderhandlung gegen die Pflichten aus Artikel 32 ist mit Geldbußen bis zu zehn Millionen Euro bedroht. Aus all diesen Gründen erscheinen mir die Sorgen unserer Kunden über ihre Cloud-Strategie natürlich sehr nachvollziehbar. Aber es lassen sich auch eindeutige Lösungswege aufzeigen.

Meine 5 Data-Privacy-Tipps für 2017 lauten:

  • Lesen Sie das Kleingedruckte in Ihren IT-Vertragen mit externen Dienstleistern; prüfen Sie, ob eine Übermittlung von personenbezogenen Daten ins Ausland stattfindet und wenn ja, wohin.
  • Fall Sie es bisher noch nicht getan haben, legen Sie ein Verfahrensverzeichnis an, wo Sie interne Prozesse über die Verarbeitung personenbezogener Daten in Ihrem Unternehmen dokumentieren. Sollte eine Überprüfung durch Aufsichtsbehörden anstehen, sind Sie damit auf der sicheren Seite und können darlegen, dass die Prozesse wie vorgegeben ablaufen.
  • Wägen Sie die Vor- und Nachteile von Lösungen mit Vendor-Lock-in genau ab: Es mag einfach erscheinen, alle Cloud-Lösungen von einem IT-Anbieter zu beziehen – das führt aber gleichzeitig zur Abhängigkeit bei weiteren Services, auch im Hinblick auf die Datenschutzproblematik.
  • Überdenken Sie Alternativen zu Vendor-Lock-ins: Open-Stack-basierte Lösungen, wie sie auch die Telekom unterstützt, sind mit allen gefragten Technologien und Anwendungen kombinierbar. Und wer OpenStack als „Bastelprojekt von Computernerds“ in Erinnerung hat: weit gefehlt! OpenStack ist etabliert und gewinnt zunehmend an Bedeutung. Das Einarbeiten ist zwar recht zäh, aber es lohnt sich. Nicht zuletzt gibt es auch Experten, wie T-Systems, die hier gerne unterstützen.
  • Wer in Sachen Datenschutz auf Nummer sicher gehen will, für den ist und bleibt eine Cloud unter deutschem Datenschutz und deutscher Datensicherheit weiterhin der Königsweg. Auch unter den geänderten Rahmenbedingungen der EU. Und ebenfalls angesichts der Vereinbarungen, die der Gesetzgeber noch mit den Vereinigten Staaten trifft. Ob es nun das Privacy Shield ist oder wie die nächste Regelung auch heißen mag.

Wenn nach der Bitkom-Studie „Cloud Monitor“ 83 Prozent der deutschen Unternehmen erwarten, dass ihr Cloud-Anbieter seine Rechenzentren ausschließlich in Deutschland betreibt, dann lässt sich mit Sicherheit konstatieren, dass dieser Trend keine Eintagsfliege ist. Vielmehr bin ich mir persönlich sicher, dass weitere Unternehmen – sowohl von Seite der Anbieter als auch der Anwender – unserem Beispiel folgen werden.

Diese Gewissheit sollten auch Unternehmen beherzigen, die ebenfalls noch Lücken oder Herausforderungen bei ihrer Cloud-Strategie sehen. Wenn ich Sie dabei unterstützen darf, sprechen Sie mich bitte persönlich an. Ich stehe Ihnen außerdem gerne im Live-Webcast mit der Computerwoche am 14. Dezember Rede und Antwort zum Thema Sicherheit in der Public Cloud.

Ihr
Frank Strecker

1 Kommentar

Ausschlussklausel für Haftung: Diese Kommentare zu unseren Beiträgen spiegeln allein die Meinung einzelner Leser wider. Für die Richtigkeit und Vollständigkeit der Inhalte übernimmt T-Systems keinerlei Gewähr.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Mit dem Absenden des Kommentars akzeptieren Sie unsere Kommentar-Policy.

a) Leser sind herzlich zum Kommentieren eingeladen.

b) Kommentare sollten den Wert des Weblogs erhöhen.

c) Bitte haben Sie Verständnis dafür, dass wir Kommentare erst nach Prüfung frei schalten.

d) Kommentare, die nichts mit dem Thema des Beitrags zu tun haben, offensichtlich Urheberrechte verletzen, beleidigenden Inhalt oder persönliche Angriffe enthalten, werden gelöscht.

e) Links können gerne eingebunden werden, sollten aber zum Thema des jeweiligen Blog-Postings gehören. Links zu anderen Webseiten oder Blogs, die nichts mit dem jeweiligen Blog-Posting zu tun haben, werden als Spam angesehen und gelöscht.

 
 

Twitter

tsystemsde @tsystemsde
T-Systems DE  @tsystemsde
Kostenfreie Tickets für die @itsa_Messe – alle Infos und Gutscheincode auf der #TSystems Messe-Seite: https://t.co/IYYKauW2Ar 
T-Systems DE  @tsystemsde
RT @HerbieConnected:Einladung Meet. Digital. Afterwork. Automotive. @tsystemsde Fasanenweg 5 Leinfelden Di 26.9. 18:00 "Wenn Maschinen… https://t.co/Y83ntFI1mk 
T-Systems DE  @tsystemsde
#Ngena: Die @DeutscheTelekom bietet gemeinsam mit Partnern ein „Weltnetz” für #Industrie4 Szenarien @silicon_de: https://t.co/eNP2GCOelv 
T-Systems DE  @tsystemsde
"30 Mio Gerichte werden täglich in DE verarbeitet", erklärt #TSystems SVP @ihofacker beim #Foodlogistics Workshop d… https://t.co/CQ4HczHYy0 
T-Systems DE  @tsystemsde
Gründer von Boom Chicago @peprosenfeld und #TSystems SVP Oliver Bahns diskutieren die #IoT Workshop-Kriterien… https://t.co/cS7jW3UJFE 
T-Systems DE  @tsystemsde
Chancen nutzen durch Redesign von Sprach- und Datennetzen: #TSystems Expertenseminar All-IP am 10.10. in München:… https://t.co/phBYbTwRBr 
T-Systems DE  @tsystemsde
@ThomasInTech - In die Marketingagenda von Unternehmen - das ist den 140 Zeichen zum Opfer gefallen...