Zurück zur Liste

Kommentar zum Safe-Harbor-Urteil: Datenschutz und technischer Realismus

Hinzugefügt am 16.10.2015 von Frank Hißen

Seit dem Bekanntwerden der Informationen um die NSA durch Edward Snowden habe ich die Erfahrung gemacht, dass in Großunternehmen längst gelebt wird, was durch den Europäischen Gerichtshof unlängst entschieden wurde...

Dieser Artikel wurde ebenfalls auf CIO.de und LinkedIn veröffentlicht.

...Europäischer Datenschutz und US-amerikanische Gesetze sind nicht vereinbar. Das führte in vielen IT-Projekten längst zu der Praxis, dass eigene Systeme nicht mit Hilfe von Cloud-Diensten aus den USA geschaffen werden durften, sofern darin personenbezogene Daten (Kundendaten, Mitarbeiterdaten) erfasst werden sollten. Andererseits hatten auch Drittanbieter von Web-Services, die beispielsweise die Infrastruktur von Amazon nutzten, schlechte Karten als Dienstleister beauftragt zu werden, falls dort personenbezogene Daten erfasst wurden. Auch der Einsatz von Verschlüsselungstechniken half dabei nicht, sofern die Verschlüsselung der Daten erst in der amerikanischen Cloud erfolgte. Zu sehr hatten die Enthüllungen um die NSA und den Einfluss des amerikanischen Staates auf US-IT-Dienstleister die technischen Möglichkeiten aufgezeigt, die zum Datenabfluss auch tatsächlich genutzt werden.

Natürlich gilt bekanntlich „wo kein Kläger, da kein Richter“. Das führt dazu, dass in kleineren Unternehmen ohne entsprechende Kontrolle, durchaus personenbezogene Daten unverschlüsselt auf den meist sehr günstigen US-amerikanischen Cloud-Diensten erfasst und gespeichert werden. Viele Dienste basieren zum Beispiel auf der kostengünstigen Infrastruktur-Plattform die Amazon oder Google anbieten. Als Nutzer, was durchaus auch als Unternehmenskunde verstanden werden soll, der Dienste an Dritte auslagert, ist dies oftmals überhaupt nicht erkennbar. Nur vertraglich lässt sich zusichern, dass ein US-Dienst nicht genutzt wird. Hier sind Juristen gefragt, um deutsche Unternehmen rechtlich sauber aus der Schusslinie zu nehmen, sofern dies überhaupt möglich ist.

In einigen Artikeln zum Thema wird die Idee angesprochen, dass US-amerikanische Dienstleister nun verstärkt Data-Center in Europa bauen werden, um hier eine gewisse Rechtssicherheit gewährleisten zu können. Auf dem Papier mag das stimmig sein, aus technischer Sicht scheint dies jedoch in der Praxis unrealistisch. Ein Administrator sitzt auch heute nicht mehr vor der eigentlichen physischen Maschine, um Wartungsarbeiten durchzuführen, sondern greift per komfortablem Fernzugriff (remote) auf das jeweilige System zu. Welchen Unterschied soll es da machen, in welchem Land die Daten eigentlich liegen? Werden Data-Center in Europa, die von amerikanischen Unternehmen aufgebaut und betrieben werden, von Administratoren in den USA (die gegebenenfalls Weisungen von staatlichen Behörden befolgen müssen) durch technische und organisatorische Maßnahmen abgeschottet? Diese Vorstellung ist meiner Ansicht nach als völlig unrealistisch einzustufen. Selbst wenn dies vertraglich aufgrund von Datenschutzanforderungen zugesichert wird, fehlt jegliche Kontrollmöglichkeit technischer Art, ob dies auch tatsächlich umgesetzt wird.

Natürlich darf man Unternehmen aus anderen Ländern nicht unter Generalverdacht stellen, sich nicht an Verträge oder Gesetze in Drittländern zu halten. Ebenso kann nicht jeder US-Amerikaner, der auf europäischem Boden arbeitet unter Generalverdacht gestellt werden, für amerikanische Geheimdienste zu spionieren. Aber aus der technischen Sicht, sind Ländergrenzen nicht vorhanden. Es braucht neue Ansätze, um den Anforderungen und der Vereinbarkeit von verschiedenen Datenschutzanforderungen gerecht zu werden. Systeme im Internet kennen keine Länderzuordnung, Data-Center in Europa sind keine Lösung des Problems.

Eine Möglichkeit könnte der verstärkte Einsatz von Verschlüsselungstechniken auf Applikationsebene sein. Unter anderem der Artikel Verschlüsselung in der Cloud beschäftigt sich mit diesem Thema.

Über

Hißen IT ist ein hochspezialisiertes Kleinunternehmen mit dem Fokus IT-Security-Softwareentwicklung und -Beratung. Inhaber Dipl.-Inform. Frank Hißen blickt auf über 12 Jahre Erfahrung in verschiedenen Positionen als Security-Experte in Entwicklungs- und Beratungsprojekten zurück. Er wurde dabei hauptsächlich für große aber auch für mittelständische Unternehmen tätig. Herr Hißen ist spezialisiert auf angewandte bzw. technische IT-Sicherheitsarbeit.


Kommentare

Eigenen Kommentar hinzufügen

Teilen / Weiterempfehlen

Wenn Sie diese Seite gut finden, teilen Sie es doch ihren Kontakten mit:

Mail Facebook Twitter Google+ Pinterest LinkedIn
reddit Digg StumbleUpon XING