Problem USA

Beispiel zu Datenschutz und -sicherheit bei Cloud Computing: Problem USA

Geltendes Recht zum Datenschutz in Deutschland

Nach den Bestimmungen des BDSG dürfen Daten nicht ohne weiteres ins Ausland, d. h. außerhalb der EU sowie der Vertragsstaaten, die dem Abkommen über den europäischen Wirtschaftsraum beigetreten sind, übertragen werden. Eine Übermittlung personenbezogener Daten ist nur in Staaten erlaubt, wenn diese ein “angemessenes Datenschutzniveau” sicherstellen können. Bei außereuropäischen Staaten muss hierzu ggf. eine Einzelprüfung erfolgen. Viele Cloudanbieter haben jedoch riesige Servercenter außerhalb Europas, wo auch europäische Daten gespeichert werden.

“Safe Harbour Principles” in den USA

Nehmen wir als Beispiel die USA, so wurde dieses Hemmnis dadurch abgebaut, dass sich die US-Unternehmen den sogenannten “Safe Harbour Principles” verpflichten können, die seit Juli 2000 von der EU als ausreichend akzeptiert werden.

Dabei liegt folgendes Prinzip zugrunde: US-Unternehmen, die sich freiwillig den “Safe Harbour Principles” unterwerfen, erhalten hierüber ein Zertifikat, das bestätigt, dass sie bezüglich der Datenschutzvorschriften dem EU-Niveau entsprechen. Sie werden damit wie ein innereuropäisches Unternehmen behandelt und können somit z. B. als Cloud-Anbieter im Sinne des BDSG auf dem europäischen Markt tätig werden. Soweit die Theorie. Nach einer australischen Studie, die im Juli 2010 veröffentlicht wurde und über die das ULD in Schleswig-Holstein in einer Pressemitteilung berichtete, kam man zu folgendem Ergebnis: [6]

  • In dieser Studie behaupteten 2170 US-Unternehmen, dass sie sich den Safe Habour Principles verpflichtet hätten.
  • Von diesen waren allerdings 388 Unternehmen nicht einmal beim DOC registriert. Damit entfällt praktisch die Berechtigung zum Datenaustausch mit den in der EU ansässigen Unternehmen.
  • Bei den restlichen Unternehmen, die beim DOC registriert waren, waren 184 Zertifikate abgelaufen.
  • 940 von den 2170 Unternehmen fehlte die Möglichkeit zur Umsetzung des Einspruchs gegen die Datennutzung.
  • 314 Unternehmen verlangen hierfür 2000 bis 4000 US-$. Daher wurde nicht ein einziger Beschwerdevorgang ausgelöst.

Ähnlich desaströse Ergebnisse ergab eine vorherige Studie aus dem Jahr 2008, so dass der Leiter des ULD, Thilo Weichert, zu dem Ergebnis kam, dass die Kündigung von “Safe Harbour” durch die EU zu erfolgen habe, was bisher aus verschiedenen Gründen nicht geschah.