Expertenkommentar von doubleSlash zum Thema “Safe Harbor und Privacy Shield”

Konrad Krafft

“Das EuGH Urteil hat vor allem die Cloud-Branche hart getroffen”, erklärt Konrad Krafft, Geschäftsführer des Beratungs- und Softwarehauses doubleSlash. “Jedes Unternehmen in Deutschland arbeitet mit sensiblen und personenbezogenen Daten und muss daher einer besonderen Sorgfaltspflicht nachkommen. Mit dem Urteil vom Oktober 2015 hat der europäische Gerichtshof Unternehmen, die beispielsweise bereits Cloud-Dienste für Unternehmensprozesse verwenden oder sich gerade mit dem Gedanken beschäftigen einen einzusetzen, vor neue Aufgaben gestellt. Die Frage nach dem Speicherort und der Datenverarbeitung ist noch mehr in den Fokus gerückt. Im Fall von unrechtmäßigem Datentransfer drohen seit Februar nach Bundesdatenschutzgesetzt Sanktionen und Bußgelder bis zu 300.000 Euro oder mehr. Die neue Grundlage zum Datenaustausch ist das EU-US-Privacy Shield. Doch auch diese Vereinbarung wird vor dem EuGH nicht standhalten. Der Grund: Das Urteil steht im Konflikt zum amerikanischen Patriot Act, der es US-Behörden erlaubt, ohne richterliche Anordnung auf Server in den USA oder Tochterunternehmen in anderen Ländern zuzugreifen.”

“Hinzu kommt, dass wir seit den Enthüllungen von Edward Snowden davon ausgehen müssen, dass in den USA gespeicherte Daten für Wirtschaftsspionage genutzt werden”, so Krafft weiter. “Jedes Unternehmen, das heute seine Daten in die USA gibt, muss also damit rechnen, dass sie der amerikanischen Konkurrenz zugänglich sind.

Mittlerweile haben die US-Konzerne erkannt, dass sie durch den Patriot Act ihre Glaubwürdigkeit verlieren. Das zeigt auch der jüngste Streit zwischen US-Softwareunternehmen wie Apple und Google gegen US-Behörden.

Microsoft hat einen Vorstoß gewagt und mit der Telekom einen deutschen beziehungsweise europäischen Server gewählt, um diesen Konflikt zu umgehen. Dennoch handelt es sich nach wie vor um eine amerikanische Software, die nicht offenlegt, welche Daten sie wie verarbeitet und ob Microsoft nicht gezwungen war, für die US-Behörden Hintertüren einzubauen. Was bleibt ist ein Restrisiko, von dem der Unternehmer nicht weiß, wie groß es ist. Unternehmen, die dieses Restrisiko möglichst klein halten wollen, sollten daher auf europäische Software und europäische Server setzen.

Diese Entwicklung verfolgen wir als Softwareunternehmen gespannt. Unternehmen, die jetzt in der Digitalisierung durchstarten wollen, sollten nicht auf den Ausgang des Rechtstreits in den USA warten oder darauf warten, dass der Patriot Act gekippt wird. Software, die für die Digitalisierung eingesetzt wird, braucht einen stabilen Rechtsrahmen.”