Cloud Computing, Security, Sourcing

Standpunkt: Die Nachwehen des NSA-Skandals – die gekippte Safe-Harbor-Regelung aus Sicht der Experton Group

Bottom Line (ICT-Anwendersicht):

Anwender, die in Erwägung ziehen, in die Cloud zu gehen, sollten aktuell mit wachem Auge über die Angebote der Cloud-Anbieter gehen und nach Angaben zu Datenspeicherung, flexiblen Datenhaltungsmodellen (Broker Cockpits im Rahmen des Cloud Managements) und speziell deren Konformität hinsichtlich Binding Corporate Rules sowie EU Model Clauses Ausschau halten. Ähnlich verhält es sich bei Cloud-Anwendern, die natürlich Ruhe bewahren sollten und zunächst Verträge auf Betroffenheit analysieren müssen. Es ist davon auszugehen, dass aufgrund einer großen Anzahl hinfälliger Vertragsmodalitäten Übergangsreglungen geschaffen werden.

Bottom Line (ICT-Anbietersicht):

Anbieter von IT-Services in den USA bzw. Datenspeicherung in den USA sollten vor allem proaktiv mit dem EuGH-Urteil umgehen und versuchen, mehr Transparenz zur Rechtskonformität eigener digitaler (Cloud) Services zu schaffen. Dazu gehören neben individuellen Einwilligungen vor allem  Standardvertragsklausel wie beispielsweise die EU Model Clauses oder Binding Corporate Rules (Datenaustausch von internationalen Konzernen). Ferner sollten Kunden Optionen erhalten, Daten statt in den USA innerhalb Europas verarbeiten und speichern zu können.

 

Safe Harbor – das EU-Kommissionsurteil aus dem Jahr 2000 ist nun auch offiziell kein sicherer Deckmantel mehr! Dieser nachhaltige Sieg für Datenschützer wird die Geschäftswelt erneut im Thema Digitalisierung und Cloud Computing verunsichern und viel Geld kosten. Die Verlierer sind US-zentrierte Cloud-Anbieter und europäische Cloud-Anwender. Die kurzfristigen Gewinner sind Rechtsanwälte und Wirtschaftsprüfer sowie lokale Cloud-Anbieter in Deutschland bzw. Europa.

Der Europäische Gerichtshof (EuGH) hat das transatlantische „Safe-Harbor-Abkommen“ in seinem Urteil vom 6. Oktober 2015 für unwirksam erklärt. Damit entfällt die Rechtsgrundlage für den unkomplizierten Austausch persönlicher Daten im Internet zwischen Europa und den USA. Die EuGH-Begründung: Die Daten seien in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt, weil die betroffenen US-Unternehmen verpflichtet seien, den Behörden Zugang zu gewähren. Die Datenschutzbehörden in der EU werden vom EuGH aufgefordert, entsprechenden Klagen nachzugehen.

Experton Group empfiehlt Anwendern und auch Anbietern, Ruhe zu bewahren, nicht in blanken Aktionismus zu verfallen und pragmatisch vorzugehen.

Dieser Artikel beschäftigt sich in einem ersten Ansatz mit Ängsten und Fragen aus Anwender- und Anbieterperspektive in Bezug auf Cloud Computing. Was hat sich also seit dem EuGH-Urteil vom 6. Oktober 2015 in unserer digitalen Welt geändert, außer dass eine Angst- und Kommentarwelle durch die (neuen) Medien geht und die Behörden der USA einmal mehr als spionierende Welt-Sheriffs dargestellt werden?

Das Urteil hat für die transatlantische Digitalwirtschaft und insbesondere für US-Internetkonzerne und US-Cloud Service Provider weitreichende wettbewerbsorientierte Folgen. US-Konzerne wie Apple, Facebook, Google oder Microsoft müssen ihre Services und Cloud-Strategien nun an die neue Rechtslage anpassen. Probleme dürften auch internationale Konzerne und kleine Unternehmen haben, die digitale Serviceleistungen in die USA ausgelagert oder dort Tochterformen haben. Die betroffenen Unternehmen müssen jetzt eine neue rechtliche Basis herstellen (IT-Compliance), sei es durch individuelle Einwilligungen, Vertragsklauseln oder den Umzug (ggf. mit Ausbau der Server-Kapazitäten) von Rechenzentren.

Erwartet wird, dass nunmehr Alternativen für eine legale Übermittlung von Daten in die USA erarbeitet werden. Bis zu deren Verabschiedung dürfte jedoch noch einige Zeit vergehen. Aktuelle Alternativen sind: Einwilligung, Standardvertragsklausel oder Binding Corporate Rules (Datenaustausch von internationalen Konzernen). Wer Geschäftspartner in den USA hat, an die er personenbezogene Daten weiterleitet, muss jetzt schnell handeln. Die veränderten Rechtsgrundlagen zu ignorieren, ist keine sinnvolle Alternative, da die EuGH-Entscheidung mit Sicherheit auch die Aufsichtsbehörden auf den Plan gerufen hat und entsprechende Prüfungen wahrscheinlicher werden.

Sicherlich sitzt der Schreck der Snowden-Enthüllungen im Jahr 2013 noch tief, der Public-Cloud-Markt inkl. US-Datenhaltung bekam Ende 2013/Anfang 2014 einen Dämpfer, erholte sich jedoch schon kurze Zeit später. Die ungenügende Sicherheit vor behördlichem Zugriff auf EU-Daten in den USA ist schon viele Jahre ein Thema und seit geraumer Zeit bereits im Visier der EU, die dazu mit den USA in Kontakt stehen. Die Klage des Österreichers Maximilian Schrems aufgrund der Datenspeicherung personenbezogener Daten von Facebook in den USA gab nun den entscheidenden Auslöser für das Gericht.

Dennoch, dieses latente Problem existiert seit vielen Jahren und wird nun noch einmal hochgekocht, was den Wirtschafts- und IT-Markt mittelfristig negativ beeinflussen wird. Gerade in der heutigen Zeit, wo Digitalisierung „hoch- und runtergepredigt“ wird und datenbasierte Geschäftsmodelle immer wichtiger werden, ist ein unterbrechungsfreier internationaler Datenaustausch (mit entsprechendem Schutz personenbezogener Daten) unabdingbar. Die nun aktuell entstandene Rechtsunsicherheit ist dabei ein Schlag ins Gesicht, waren doch die deutschen Unternehmen – nach im internationalen Vergleich großem Zaudern – dabei, umfangreiche private, hybride und public Cloud Services maßgeblich zu treiben.

Positiv ist daran, dass es der EU in den Verhandlungen mit der USA Rückenwind gibt – die USA können auch nicht ewig auf ihr liebgewonnenes Recht der Datenüberprüfung im Verdachtsfall pochen und dabei auch die eigene Wirtschaft schwächen. Darum stellt sich ehrlicherweise die Frage, ob die EU-Daten jemals sicher vor dem Behörden Zugriff in den USA waren? Wohl eher nicht. Dennoch galt das Safe-Harbor-Abkommen – aus wirtschaftlichen Interessen – als gültig. Bis zur Neuregelung des Datenschutzes von Daten in den USA, auf die sich Anbieter und Anwender in Geschäftsverträgen stützen können, sollte Ruhe bewahrt werden und rechtliche Konsequenzen in dieser Karenzzeit durch Datenschutz- bzw. Rechtsexperten inkl. Wirtschaftsprüfern überprüft werden. Wichtig ist allerdings, dass die Politik dieseits und jenseits des großen Teichs jetzt endlich schnell „in die Puschen“ kommt, um schnell eine Rechtssicherheit für allen Parteien herzustellen!

Müssten Ihrer Meinung nach US-Cloud-Anbieter mit ungenügender Transparenz der Datenhaltung und keiner klaren Trennung zwischen Rechenzentrumsstandorten oder der Verarbeitung (!) und Speicherung (!) von EU-Daten schlechter bewertet werden? Kommen Sie auf uns zu, ihre Meinung ist uns wichtig.

Müssten Anbieter wie AWS mit BSI-Konformität und lokalem Rechenzentrum (RZ) im Vergleich zu Google ohne Transparenz und lokales RZ noch besser abschneiden? Und was passiert mit Microsoft ohne RZ in Deutschland aber hohem Engagement im Thema Datenschutz- und Transparenz via EU Model Clauses und Möglichkeiten für Enterprise-Kunden, den Datenstandort auch außerhalb der USA zu wählen? Der kommende Cloud Vendor Benchmark 2016 (Start Januar 2016 – Publizierung von Ergebnissen Mai/Juni 2016) wird diese Thematik vertieft aufgreifen und noch stärker als bislang gewichten.

Was sind die ersten Hinweise und Ratschläge, die Experton Group Anwendern und Anbieter geben kann?

Cloud-Anwender:

  1. Ruhe bewahren – auf keinen Fall etwas überstürzen, um keine größeren Schäden wie bspw. unzufriedene Kunden durch Serviceausfall oder Rechtsstreitigkeiten (auch auf Anbieterseite) zu verursachen.
  2. Sourcing-Verantwortliche nach Verträgen mit US-Partnern bzw. internationalen Infrastrukturanbietern befragen.
  3. Überprüfen, auf welcher rechtlichen Basis die Verträge bestehen. Sind diese nur über Safe Harbor abgedeckt, oder sind über diese hinaus bereits rechtliche Rahmenbedingungen geschaffen worden, die die Gewährleistung der europäischen/deutschen Datenschutzstandards gewährleisten?
  4. Den CIO um Rat bitten, um Datenspeicherorte zu überprüfen und bei US-Speicherung Konsequenzen hinsichtlich Performance und Sicherheit für die Verschiebung in andere Länder zu überblicken
  5. Weitere Sicherheitstechnologien prüfen (z.B. Verschlüsselung).

Non-Cloud Anwender mit laufenden Projekten für den „Gang“ in die Cloud:

  1. Sofern es nicht zwingend erforderlich ist, Daten aufgrund von SLAs in den USA zu speichern, sollten Provider ausgewählt werden, die Datenhaltung bzw. Speicherung in den USA auf Wunsch unterbinden können bzw. Rechenzentren in anderen Ländern betreiben.
  2. Auf vertragliche Regelungen bestehen, die den Datenschutz vorerst zumindest auf Basis der von der EU freigegebenen Standardvertragsklauseln und den so genannten Corporate Binding Rules garantieren (auch wenn hier noch unklar ist, inwieweit diese den europäischen Datenschutzstandards entsprechen) oder auf entsprechende individuelle Regelungen bestehen bzw. prüfen.

Cloud Anbieter:

  1. Ruhe ausstrahlen – parallel aber proaktiv PR-Abteilungen und Servicecenter-Mitarbeiter auf definitiv kommende Kundenfragen so vorbereiten, dass Antworten zum Thema Datenhaltung, Zugriffssicherheit (inkl. Verschlüsselung) und Umzug von Servern in Non-USA-RZs adäquat in soziale Netzwerke, Service Hotlines und Kundenberatern bzw. Sales gegeben werden können.
  2. Transparenz über den Standort von Rechenzentren und Speicherung von Kundendaten schaffen – proaktives informieren über Standards und Möglichkeiten für Kunden zur Kontrolle (bspw. Cockpits über Datenspeicherorte – im Optimalfall mit modernen Cloud-Orchestration-Plattformen aufgebaut, um Services flexibel von A nach B verschieben zu können).
  3. Provider mit länderseitig eindimensionaler RZ-Struktur in den USA sollten neue RZs außerhalb der USA aufbauen oder sich zumindest temporär in gemangten Cloud Colocation Hubs einmieten.

Haben Sie weitere Fragen zum Thema? Dann kommen Sie bitte auf uns zu, damit wir gemeinsam ihre individuelle Situation erfassen können, um Sie adäquat zu beraten. Sie werden sicherlich im Laufe der nächsten Veröffentlichungen durch Experton-Advisors noch mehr über die Auswirkungen und mögliche Konsequenzen hören. Experton wird dieses Thema weiter verfolgen und zur Aufklärung beitragen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *