Das gekippte Privacy Shield Abkommen: Ausmaße & Folgen einfach erklärt

Im Juli ging ein großer Aufschrei durch die EU. Das Privacy Shield – ein Abkommen mit den USA zur Datenverarbeitung – wurde für ungültig erklärt. Eine große Zahl an Diensten wurde sozusagen über Nacht illegal. Jedoch gingen viele schnell zum Business As Usual zurück – ertappt? Die wenigsten Firmen sind sich über die Ausmaße bewusst. Spitzer Teaser: Es ist nichts mehr wie es war! Abmahnungen und hohe Strafzahlungen für uns Nutzer werden leider nicht ausbleiben. Vielmehr hat die Abmahn-Welle bereits begonnen.

Sanfte Kritik von einer Firma, die für Datenschutz steht? Wie passt das zusammen?

Gerade für uns bei Uniki ist Datenschutz mit der wichtigste Treiber und ideologischer Grundpfeiler unseres Produkts. Wir sind mehr als stolz darauf, mit unserer Cloud Plattform eine datenschutz-konforme Alternative zu vielen US-Diensten anbieten zu können. Daher sollten wir gerade mehr als happy sein.

Wir sehen aber auch die Hilflosigkeit vieler Betriebe und die zwangsläufige “Wird-schon-gut-gehen-Mentalität”. Kaum einer greift das komplexe Thema rund um das Privacy Shield sofort, kann so flink handeln, wie es die Rechtslage verlangt oder adäquate Alternativen finden. Oft ist man auch an bestimmte Tools gebunden, die man nur schwer abschaffen kann. Dazu kommt, dass neben eindeutig US-amerikanischen Anwendungen, auch europäische Dienste betroffen sind.

Wir sind folgenschwer von amerikanischer Technologie abhängig

Wer nutzt im beruflichen Kontext absolut keine US Software, wie zum Beispiel das beliebte Kommunikations-Tool Slack oder OneDrive von Microsoft? US-Dienste dominieren den Markt. Dazu kommt: selbst europäische Software Anbieter sind sehr verflochten mit US-Diensten und Rechenzentren, wie denen von AWS.

Man muss sich das so vorstellen: Nehmen wir an, ein Berliner Tech-Unternehmen hat eine Personal-Software entwickelt. Dabei handelt es sich um ein klassisches SaaS-Produkt (Software as a Service). Das heißt, das Tool wird nicht in Ihrem Büro betrieben, sondern das Berliner Unternehmen kümmert sich um den Ort des Software Betriebs, also um das „zu Hause“ Ihrer Daten. Nun haben aber die Daten der vielen Kunden keinen Platz auf dem hauseigenen Server im Berliner Büro. Eine große Instanz in einem Rechenzentrum, z.B. in Frankfurt, muss angemietet werden.

Wer sind die Hauptakteure hinter diesen Rechenzentren?

Meist stecken die US-Anbieter Amazon, Microsoft und Google dahinter. Und warum? Die Dienste funktionieren, sind groß und locken mit kostenlosem Guthaben. Sie stellen dadurch leider nach wie vor europäische Cloud Services wie das französische OVH oder das deutsche Gridscale in den Schatten. Denn die Möglichkeiten, Schnittstellen und auch das Wirtschaftliche sind einfach nicht von der Hand zu weisen. Das ist es, was den Direktkunden, den Kunden der Berliner Personal-Software und auch Ihnen wichtig ist: Es muss funktionieren. Nachvollziehbar!

Hintergründe – Staatliche Stellen aus den USA haben Zugriff auf unsere Daten
Sensible personenbezogene Daten können von US-Behörden eingesehen werden.

In Europa verfolgen wir Datenschutzgrundsätze, die nicht mit dem amerikanischen Gesetz zu vereinen sind: Wir haben alle ein Recht auf Privatsphäre, auch im beruflichen Kontext. Jedoch ist in den USA der Datenschutz nicht einmal allgemeingültig geregelt.

Der Grundsatz dort: staatlichen Stellen möglichst einfache und umfassende Zugriffsbefugnisse auf sämtliche Daten zu gewähren. Das wiederum ist in Abschnitt 702 des „Foreign Intelligence Survaillance Act“ (FISA) für die sogenannten „Electronic Communication Service Provider“ geregelt. Also solche Dienste, die irgendeine Art von Kommunikation/Datenaustausch ermöglichen und etwa via Internet übermitteln. Beispiele dafür sind Dokumente, Bilder, E-Mails, Chat-Nachrichten und Videokonferenzen.

Im Rahmen dieser Gesetzesgrundlage verpflichten sich US-Dienste dieser Kategorie dazu, Hintertüren für US-Behörden offen zu halten. Auch für die Daten der Kunden aus der EU. Die Regelung steht hierarchisch über jeder anderweitigen vertraglichen Absprache mit den Nutzern des Dienstes. Dementsprechend gibt es keinen Weg diese Hintertüren zu schließen – weder für Sie als Nutzer von Cloud-Diensten wie Dropbox, Slack, OneDrive & Co., noch für diese Unternehmen.

In diesem Sinne mag es eher verwundern, dass das Privacy Shield Abkommen 4 Jahre durchgehalten hat – ein angemessenes Schutzniveau nach EU-Maßstäben, war für unsere Daten wohl zu keinem Zeitpunkt vorhanden.

US-Rechenzentrum in Deutschland, das ist doch (rechts-)sicher – oder?

Ein US-Rechenzentrum mit Standort Deutschland macht noch keinen legalen Verarbeitungs- und Speicherort daraus – wird es auch so bald nicht mehr. Denn die US-Behörden haben auch außerhalb des US-Territoriums besagte Hintertür. Auch hier können sich weder die US Rechenzentren in Europa dagegen wehren noch das Berliner Tech-Unternehmen mit seiner auf AWS gehosteten Personal-Software.

Aber überall steht doch, dass es sicher ist? Was stimmt denn jetzt?

Hochgestochene technische Aussagen zu ISO- Standards, Zertifizierungen, Verschlüsselungs-Standards und das Prädikat „Datenschutz made in Germany“ klingen erstmal gut, beruhigend und vertrauenswürdig. Aus rein rechtlicher Sicht sind diese Aspekte aber nach Ende des Privacy Shield Abkommens bei vielen Diensten nicht mehr relevant. Folglich helfen sie Ihnen bei Abmahnungen und anschließend vor Gericht rein gar nichts.

Ob Ihre Daten sicher im eigentlichen Wortsinn sind, also nicht im Klartext einsehbar, können wir so pauschal nicht beantworten. Denn auch hinter sehr vielen Verschlüsselungs-Versprechen steckt meist keine vollständige und wahre Ende-zu-Ende Verschlüsselung. Gerade als Laie lässt man sich hier leicht irreführen. Zuletzt hat das die Diskussion um Videokonferenzen sehr deutlich gezeigt. An irgendeinem Punkt sind die Daten meist ungeschützt, zum Beispiel wenn der Schlüssel erst im Rechenzentrum generiert wird oder die Übertragung im Rechenzentrum selbst im Klartext erfolgt.

Wir schließen daraus: Sicher – vielleicht in manchen Fällen. Rechtssicher – definitiv nicht, wenn von US Firmen betriebene Rechenzentren oder amerikanische Tools wie Dropbox und Slack dahinterstecken. Denn an dem Punkt, an dem Daten im wahrsten Sinne des Wortes abgreifbar werden, ist ein Schutz der Daten nicht gewährleistet. Wegen FISA 702 muss man hier auch definitiv mit dem Zugriff staatlicher Stellen rechnen.

Was bedeutet das für mein Unternehmen?

Es gibt genau 2 Karten, die Sie spielen können. Die eine ist ein Glücksspiel – Sie gehen das Risiko ein abgemahnt zu werden, Strafen zu zahlen und verpflichten sich womöglich zur unpassendsten Zeit innerhalb von Wochen Ihre Unternehmens-IT umzustellen. Die legale Karte heißt Bestandsanalyse, Änderungen und bewusstes Entscheiden für echten Datenschutz nach europäischen Überzeugungen.

Warum die lokale Cloud für viele Unternehmen die passende Lösung sein wird

Der Grund steckt schon im Namen: mit einer lokalen Cloud holen Betriebe ihre Daten und Cloud-Anwendungen zu sich. Sie sind unabhängig von US-Diensten, ohne auf die klassischen Cloud Merkmale, wie Zugriff von überall, Flexibilität, hohe Performance und Support verzichten zu müssen. Datenschutz und hohe Sicherheit kommen bei Lösungen wie unserer Cloud Plattform ELLY quasi mit der Post. Dann heißt es: einstecken, ganz normal weiterarbeiten und die hitzigen Debatten rund um das verzwickte Privacy Shield hinter sich lassen.

Sie möchten mehr über die private Cloud Plattform ELLY erfahren und diese kostenlos testen? Rufen Sie uns gerne an. Sie erreichen uns unter
Tel: (+49) 89 – 215 364 671.