US-Cloud-Anbieter bemühen sich, nach dem Ende von Safe Harbour Vertrauen am europäischen Markt aufzubauen. Ein Vorhaben, das durch das Fehlen einer EU-weit einheitlichen Datenschutzregelung massiv erschwert wird. [...]
Vor Kurzem hat Salesforce, einer der größten US-amerikanischen Cloud-Anbieter, bekanntgegeben, dass seine Binding Corporate Rules (BCR) von den europäischen Datenschutzbehörden akzeptiert worden sind. Die führende Behörde hinter der Zulassung war die französische Commission Nationale de l’Informatique et des Libertés (CNIL), unterstützt von der niederländischen DPA und dem bayerischen Landesamt für Datenschutzaufsicht. Diese Entwicklung muss im Zusammenhang mit dem von Max Schrems im Oktober 2015 erwirkten Ende des Safe Harbor Agreements gesehen werden, denn meiner Meinung nach würden auch die europäischen BCR eine ähnliche Untersuchung durch den Europäischen Gerichtshof nicht überleben. Keine individuelle Vereinbarung zwischen zwei Unternehmen – egal, wie gut sie formuliert ist – kann das grundsätzliche Problem beseitigen, dass das US-Recht auf der Basis des Patriot Act in manchen Bereichen fundamentale Unterschiede zum europäischen Recht aufweist.
UNGÜNSTIGE RAHMENBEDINGUNGEN
Soweit also die unangenehmen Tatsachen für etliche tausend amerikanische Cloud-Anbieter, die Daten von europäischen Kunden speichern und verarbeiten. Andererseits ist auch klar, dass dies zu einer katastrophalen Situation für europäische Cloud-Kunden führen könnte, die Cloud-Dienste von Anbietern außerhalb des IT-Schengen-Raums beziehen wollen. Trotz der überraschenden und geschickten Vereinbarung zwischen Microsoft und der Deutschen Telekom, die Deutsche Telekom als Treuhänder für die Microsoft-Dienste Azure und Office 365 einzusetzen, ist klar, dass diese Vorgehensweise nicht als Modell für jeden Cloud-Anbieter außerhalb der EU dienen kann. Weder kann die Deutsche Telekom beliebig viele Cloud-Dienste abwickeln, noch ist das Modell für Cloud-Kunden wirtschaftlich von Vorteil, da sie für die Treuhandschaft zusätzliche Gebühren bezahlen müssen. Die Bemühungen von Firmen wie Microsoft oder Salesforce, sich in Europa in vorbildlicher Weise um hochwertige Servicequalität und die Einhaltung sehr komplexer und in jedem EU-Land leicht unterschiedlicher gesetzlicher Datenschutzvorgaben zu bemühen, verdient höchsten Respekt. Es sind die unerträglichen juristischen Rahmenbedingungen in Europa, die kritisiert werden müssen. Dass sich große internationale Unternehmen dennoch darum bemühen, es in jedem einzelnen Land richtig zu machen, ist bewundernswert. Die meisten Unternehmen haben gar nicht ausreichend Ressourcen, um diese Herkulesaufgabe zu bewältigen.
Es ist daher interessant zu wissen, dass zunehmenden Gerüchten zufolge die neue Europäische Datenschutzrichtlinie sehr bald vom EU-Ministerrat angenommen werden könnte. Nach dem Entwurf der Kommission von 2012 und dem Albrecht-Bericht, der vom EU-Parlament kurz nach der Enthüllung des Falls Snowden mit 95-prozentiger Zustimmung abgesegnet wurde, warten wir nun schon seit mehr als 18 Monaten darauf, dass der Rat die Vorlage hoffentlich unverändert absegnet. Derzeit läuft in auswählten Kinos der äußerst beeindruckende unabhängige Dokumentarfilm „Democracy – Im Rausch der Daten“, der die Entwicklung dieses neuen Gesetzes und den massiven Widerstand von Lobbyisten gegenüber Jan Philipp Albrecht zeigt, einem 33-jährigen Mitglied des Europaparlaments und Vorsitzenden des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres. Albrecht war der offizielle Berichterstatter über den Gesetzesentwurf im Europaparlament.
In seiner letzten Entwicklungsphase befindet sich zur Zeit auch ein multinationales Programm namens Cloud Privacy Check (CPC). Mehr als 40 Juristen aus 31 Ländern arbeiten an diesem Projekt, dessen Endbericht in Kombination mit einem sachdienlichen Online-Tool voraussichtlich Ende Jänner 2016 in 25 Sprachen veröffentlicht wird. Vor dem Hintergrund von Safe Harbor, Binding Corporate Rules und der erwarteten Europäischen Datenschutzrichtlinie wird der CPC also genau zur richtigen Zeit zugänglich werden. Der CPC soll für die kommenden zwei bis drei Jahre als Richtlinie für Cloud-Anbieter, -Kunden und -Benutzer dienen und ihnen helfen, Konzepte, Bedingungen und den grundsätzlichen Wert von Datenschutzregelungen zu verstehen. Ebenso soll er den Umgang mit länderspezifisch unterschiedlichen Datenschutzverordnungen vereinfachen, bis einheitliche Datenschutzgesetze in allen betroffenen Ländern wirksam werden.
* Tobias Höllwarth, EuroCloud Europe
Be the first to comment