Safe Harbor Abkommen


// Folgen des EuGH-Urteils

Kommentar zum Safe-Harbor-Urteil

Data-Center in Europa sind keine Lösung

Frank Hißen studierte an der TU Darmstadt Informatik mit Schwerpunkt IT-Sicherheit. Seit über 15 Jahren arbeitet er als Software-Entwickler und IT-Berater; machte sich 2009 selbständig. Er ist sowohl für große aber auch mittelständische Unternehmen tätig. Im Bereich IT-Security ist Frank Hißen spezialisiert auf Applikationssicherheit und Kryptographie, im Entwicklungsbereich vor allem auf Java.
Wie meine Erfahrung seit dem Bekanntwerden der NSA-Affäre zeigt, wird in Großunternehmen längst gelebt, was durch den Europäischen Gerichtshof unlängst entschieden wurde. Die technische Umsetzung wirft jedoch Fragen auf.
Frank Hißen, Software-Entwickler und IT-Berater, kommentiert das Safe-Harbor-Urteil.
Frank Hißen, Software-Entwickler und IT-Berater, kommentiert das Safe-Harbor-Urteil.
Foto: Frank Hißen

Europäischer DatenschutzDatenschutz und US-amerikanische Gesetze sind nicht vereinbar. Das führte in vielen IT-Projekten längst zu der Praxis, dass eigene Systeme nicht mit Hilfe von Cloud-Diensten aus den USA geschaffen werden durften, sofern darin personenbezogene Daten erfasst werden sollten. Andererseits hatten auch Drittanbieter von Web-Services, die beispielsweise die Infrastruktur von Amazon nutzten, schlechte Karten als Dienstleister beauftragt zu werden, falls dort personenbezogene Daten erfasst wurden. Auch der Einsatz von Verschlüsselungstechniken half dabei nicht - sofern die Verschlüsselung der Daten erst in der amerikanischen Cloud erfolgte. Zu sehr hatten die Enthüllungen um die NSA und der Einfluss des amerikanischen Staates auf US-IT-Dienstleister die technischen Möglichkeiten aufgezeigt, die zum Datenabfluss auch tatsächlich genutzt werden. Alles zu Datenschutz auf CIO.de

Datensicherheit heißt für viele europäische Unternehmen nicht, die Daten unverschlüsselt auf amerikanischen Servern abzulegen.
Datensicherheit heißt für viele europäische Unternehmen nicht, die Daten unverschlüsselt auf amerikanischen Servern abzulegen.
Foto: Maksim Kabakou - Fotolia.com

Natürlich gilt bekanntlich "wo kein Kläger, da kein Richter". Das führt dazu, dass in manchen Unternehmen durchaus personenbezogene Daten unverschlüsselt auf den meist sehr günstigen US-amerikanischen Cloud-Diensten erfasst und gespeichert werden. Viele Dienste basieren zum Beispiel auf der kostengünstigen Infrastruktur-Plattform die Amazon oder Google anbieten.

Als Nutzer, was durchaus auch als Unternehmenskunde verstanden werden soll, der Dienste an Dritte auslagert, ist dies oftmals überhaupt nicht erkennbar. Nur vertraglich lässt sich zusichern, dass ein US-Dienst nicht genutzt wird. Hier sind Juristen gefragt, um deutsche Unternehmen rechtlich sauber aus der Schusslinie zu nehmen, sofern dies überhaupt möglich ist.

In einigen Artikeln zum Thema wird die Idee angesprochen, dass US-amerikanische Dienstleister nun verstärkt Data-Center in Europa bauen werden, um hier eine gewisse Rechtssicherheit gewährleisten zu können. Auf dem Papier mag das stimmig sein, aus technischer Sicht scheint dies jedoch in der Praxis unrealistisch.
Ein Administrator sitzt auch heute nicht mehr vor der eigentlichen physischen Maschine, um Wartungsarbeiten durchzuführen, sondern greift per komfortablem Fernzugriff auf das jeweilige System zu. Welchen Unterschied soll es da machen, in welchem Land die Daten eigentlich liegen?

Werden Data-Center in Europa, die von amerikanischen Unternehmen aufgebaut und betrieben werden, von Administratoren in den USA - die gegebenenfalls Weisungen von staatlichen Behörden befolgen müssen - durch technische und organisatorische Maßnahmen abgeschottet? Diese Vorstellung ist meiner Ansicht nach als völlig unrealistisch einzustufen. Selbst wenn dies vertraglich aufgrund von Datenschutzanforderungen zugesichert wird, fehlt jegliche Kontrollmöglichkeit technischer Art, ob dies auch tatsächlich umgesetzt wird.

Natürlich darf man Unternehmen aus anderen Ländern nicht unter Generalverdacht stellen, sich nicht an Verträge oder Gesetze in Drittländern zu halten. Aber aus der technischen Sicht, sind Ländergrenzen nicht vorhanden. Es braucht neue Ansätze, um den Anforderungen und der Vereinbarkeit von verschiedenen Datenschutzanforderungen gerecht zu werden. Systeme im Internet kennen keine Länderzuordnung und Data-Center in Europa sind keine Lösung des Problems. Eine Möglichkeit könnte der verstärkte Einsatz von Verschlüsselungstechniken auf Applikationsebene sein.

Zur Startseite