Handelsblatt

MenüZurück
Wird geladen.

21.10.2015

12:50 Uhr

Nach Safe-Harbour-Urteil

Worauf deutsche Unternehmer jetzt achten müssen

VonManuel Heckel

IT-Anwalt Jens Nebel weiß, welche Folgen das ungültige „Safe Harbour“-Abkommen für Unternehmen hat und wie sie jetzt rechtliche Sicherheit erlangen können. Ein Gespräch über Datenspeicher in den USA und sichere Häfen.

Der Österreicher Max Schrems triumphiert über Facebook: Die Richter am EuGH haben das „Safe Harbor“-Abkommen für ungültig erklärt. Reuters

Ungültig

Der Österreicher Max Schrems triumphiert über Facebook: Die Richter am EuGH haben das „Safe Harbor“-Abkommen für ungültig erklärt.

KölnEin schwerer Sturm erreicht den scheinbar sicheren Hafen: Vor knapp zwei Wochen erklärte der Europäische Gerichtshof das "Safe Harbor"-Abkommen für ungültig, das den Austausch von personenbezogenen Daten zwischen den Staaten der Europäischen Union und den USA rechtlich regelte. Jens Nebel, Fachanwalt für IT-Recht bei der Essener Wirtschaftskanzlei Kümmerlein, über die Folgen für Anwender.

Herr Nebel, besteht bei hybriden Cloud-Lösungen das Risiko, dass Daten oder Applikationen auch zeitweise in die USA verschoben werden?
Je nach Ausgestaltung können sie vorsehen, dass vorübergehend auch Ressourcen in den USA genutzt werden. Damit stellen sich die vom Europäischen Gerichtshof in der Safe-Harbor-Entscheidung aufgeworfenen Probleme.

Das ABC des Cloud-Computing

Software as a Service (SaaS)

Bei diesem Konzept laufen Anwendungen – etwa für Textverarbeitung oder Kundenverwaltung –nicht auf dem eigenen Rechner, sondern auf den Servern des Dienstleisters. Aufgerufen werden sie übers Internet. Meist ist nicht mehr als ein Browser nötig. Bezahlt wird in der Regel per Abo. Daher ist auch von Miet-Software die Rede.

 

Infrastructure as a Service (IaaS)

Unternehmen können auch Rechenleistung oder Speicherplatz über die Cloud beziehen – in diesem Fall ist von Infrastructure as a Service die Rede. Gerade Startups können auf diese Weise schnell und unkompliziert ihre Website aufbauen und bei Bedarf die Kapazitäten auf Knopfdruck vergrößern.

Platform as a Service (Paas)

IT-Entwickler können auch eine virtuelle Computer-Plattform über die Cloud nutzen. Das erleichtert die Programmierung, weil sie selbst keine spezielle Hardware aufstellen müssen.

Public Cloud

Wenn Unternehmen ihre Cloud-Dienste öffentlich zugänglich anbieten, ist von der Public Cloud die Rede. Dabei handelt es sich oft um standardisierte und somit günstige Services. Der Zugriff erfolgt übers Internet.

Private Cloud

Wie bei Public-Cloud-Lösungen liegen die Daten oder Anwendungen auf Servern – diese betreibt das Unternehmen jedoch selbst. Der Zugang ist bei der Private Cloud auf die eigenen Mitarbeiter sowie autorisierte Geschäftspartner und Kunden beschränkt. Weil der Betreiber mehr Kontrolle hat, eignet sich diese Lösung für sensible Daten. Vor allem große  Unternehmen und öffentliche Einrichtungen setzen darauf.

 

Hybrid Cloud

Eine Mischung aus Public und Private Cloud – das Unternehmen setzt also beide Elemente ein.

Was können deutsche Nutzer nun tun, um rechtliche Sicherheit zu erlangen?
Wenn deutsche Unternehmen auf solche Cloud-Lösungen nicht verzichten wollen oder können, müssen sie - nachdem Safe Harbor weggefallen ist - mit US-Unternehmen die sogenannten EU-Standardvertragsklauseln vereinbaren. Ob diese Standardvertragsklauseln künftig von den Datenschutzbehörden noch akzeptiert werden, ist zwar offen. Momentan gibt es aber kaum eine andere praktische Lösung.

Wie verhandlungsbereit zeigen sich Cloud-Anbieter denn gegenüber Mittelständlern, wenn es um die Anpassung von Verträgen geht?
Viele Anbieter haben die Zeichen der Zeit erkannt. Einige große Provider bieten von sich aus diese Standardvertragsklauseln an, die häufig mit den zuständigen Datenschutzbehörden abgestimmt wurden und einen Rechtsrahmen für den Umgang mit personenbezogenen Daten bieten.

Jetzt aber stellen Datenschutzbehörden diese Standardvertragsklauseln infrage.
Das ergibt weder technisch noch wirtschaftspolitisch Sinn. Jede Cloud-Anwendung außerhalb des EU-Wirtschaftsraums wäre damit unzuverlässig. Deshalb sehe ich die Datenschutzbehörden in der Pflicht, einen für Unternehmen gangbaren Weg aufzuzeigen. Die Standardvertragsklauseln sind von den Datenschutzbehörden immerhin knapp 15 Jahre lang unbeanstandet akzeptiert worden.

Herr Nebel, wir danken Ihnen für das Gespräch.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×