Am 16. Juli hat der Europäische Gerichtshof das EU-USA-Datenschutzabkommen „Privacy Shield“ als ungültig erklärt. Unternehmen brauchen jetzt dringend eine rechtssichere Grundlage für die Nutzung ihrer Cloud- und Collaboration-Dienste. Das IT-Sicherheits­unternehmen Rohde & Schwarz Cybersecurity rät dazu, selber aktiv zu werden.

Die EU hatte das Privacy-Shield-Abkommen 2016 mit den USA ausgehandelt, um europäische Daten, die in die USA übertragen werden, vor dem Zugriff Dritter abzusichern. Der Europäische Gerichtshof hat diese Datenschutzvereinbarung am 16. Juli für ungültig erklärt. Als Grund gab der EuGH die zu großen Unterschiede zwischen dem Datenschutzniveau der EU-Mitglieder und dem der USA an. Bei Datentransfers in die USA können europäische Unternehmen sich nun nicht mehr auf die Angemessenheit des Datenschutzniveaus gem. Art. 45 EU-DSGVO berufen. Das Urteil wurde sofort wirksam.  

Was der Europäische Gerichtshof jetzt untermauert hat, wurde von Anfang an von Datenschützern kritisiert: Der „Privacy Shield“ lässt dem US-Recht Vorrang. Der „Clarifying Lawful Overseas Use of Data Act“, besser bekannt als Cloud Act, verpflichtet US-amerikanische Cloud-Provider, den US-Behörden Zugriff auch auf nicht in den USA gespeicherte Daten zu gewähren – und unterläuft damit die EU-DSGVO. Nachdem im Januar 2017 die Behörden in den USA per Dekret aufgefordert wurden, den Datenschutz für Ausländer vollends aufzuheben, war es nur noch eine Frage der Zeit, bis der „Privacy Shield“ kippt.

Zukunftsfähige Geschäftsmodelle
Mit dem Ende des „Privacy Shield“ geht das Ringen um den Schutz personenbezogener Daten, die aus der EU in die USA übermittelt werden, in eine neue Runde. Leidtragende sind die europäischen Unternehmen. Sie brauchen schnell eine rechtssichere Lösung. Denn für sie werden cloud-basierte Anwendungen immer wichtiger, um zukunftsfähige Geschäftsmodelle umzusetzen. Hinzu kommt: Die marktführenden Cloud-Plattformanbieter sind überwiegend US-amerikanische Unternehmen, und treiben „Cloud-only“-Lösungen mit Nachdruck voran. Immer mehr Daten aus europäischen Unternehmen liegen längst in Rechenzentren amerikanischer Konzerne – und sind dort nicht sicher vor dem Zugriff Dritter.

Auch der Bundesverband der Deutschen Industrie schlägt Alarm. Präsident Dieter Kempf fordert: Europäische Unternehmen brauchen dringend Rechtssicherheit im globalen Daten- und Wirtschaftsverkehr.

Das Problem: Auch die Nutzung der Standardvertragsklauseln, die den Datentransfer in Drittländer regeln, ist durch das Urteil vom 16. Juli ins Wanken gekommen. Zwar hat der EuGH an diesen nichts zu beanstanden. Doch werden die Aufsichtsbehörden dazu verpflichtet, die Übermittlung von Daten auszusetzen oder zu verbieten, sofern die vertraglich festgehaltenen Standards in einem Drittland nicht eingehalten werden oder eingehalten werden können. Für europäische Unternehmen bedeutet dies, dass sie vor einem Datentransfer in jedes Drittland prüfen müssen, ob die Regelungen eingehalten werden. Insbesondere für kleine und mittlere Unternehmen ist der hohe Verwaltungsaufwand nur schwer zu stemmen. Die komplexen Beurteilungen gehen zudem mit einem hohen Risiko einher.

Deutsche Cloud-Standorte keine Lösung
Ausländische Cloud-Provider bieten ihren Kunden nun zunehmend die Möglichkeit, ihre Daten in Deutschland zu speichern. Aber auch solche deutschen und europäischen Cloud-Standorte sind keine Lösung. Denn auch dann können Cloud-Anbieter gezwungen werden, Zugriff auf die bei ihnen gespeicherten Daten zu gewähren.

Aber wie kann eine rechtssichere Lösung aussehen? Der „Privacy Shield“ war bereits der zweite Versuch, eine solche zu schaffen. Auch der Vorgänger, die „Safe-Harbour-Entscheidung“, war gescheitert. Beiden Vereinbarungen ist es nicht gelungen, amerikanische Unternehmen zu verpflichten, die Daten europäischer Bürger und Unternehmen besser zu schützen.  

Die Erfahrung zeigt: US-Gesetze lassen sich nicht zugunsten europäischer Datenschutzvorschriften zähmen. Die Abkommen wurden zudem als machtpolitische Spielbälle missbraucht. Es besteht die Gefahr, dass auch eine neue Regelung Sicherheit vortäuscht, ohne sie garantieren zu können. Eine schnelle Lösung ist zudem aufgrund der Präsidentschaftswahlen in den USA aussichtslos.

Daten entkoppeln
Anstatt auf Vereinbarungen mit den USA zu hoffen, sollten Unternehmen auf innovative technische Lösungen setzen, die ihnen die Kontrolle über ihre Daten zurückgeben. Auf diese Weise legen sie eine nachhaltige Basis für ihre Digitalisierungsstrategie. Dazu müssen sensitive Daten von den Cloud-Diensten entkoppelt werden. Dann lassen sich diese an jedem beliebigen Ort speichern. US-Anbieter Microsoft hat diesen Weg bereits gemeinsam mit dem deutschen IT-Sicherheitsunternehmen Rohde & Schwarz Cybersecurity eingeschlagen.

Während die Workflows von Microsoft Teams und Microsoft Sharepoint Online weiterhin für die Nutzer aktiv bleiben, werden die Daten mit Hilfe der Datensicherheitslösung für Cloud-Umgebungen aus den Prozessen herausgelöst. Durch die gewonnene Datensouveränität können europäische Unternehmen die EU-DSGVO weltweit ohne Rechtsunsicherheiten erfüllen. „R&S Trusted Gate“ lässt sich nahtlos in gängige Public Clouds wie Microsoft Azure, Google, AWS und Collaboration-Tools wie Microsoft Office 365 und Sharepoint einbinden.

Mit Hilfe einer solchen datenzentrischen Lösung gewinnen Unternehmen nicht nur eine rechtssichere Grundlage für die Übertragung ihrer Daten in die USA. Sie machen sich unabhängig von Gesetzen und politischen Entscheidungen in jedem Drittland, in das sie Daten übermitteln. Insbesondere für global agierende Unternehmen spielt dieser Faktor eine große Rolle. Ein weiterer Vorteil einer solchen datenzentrischen Lösung: Die sensiblen Daten, die von den Clouddiensten entkoppelt werden, lassen sich besser vor Hackern schützen. Denn immer wieder kommt es zu schwerwiegenden Angriffen auf öffentliche Clouds. Wenn die Dateien auf dem Server des Unternehmens verbleiben, kann dieses selbstbestimmt für ein hohes Sicherheitsniveau sorgen.