Safe Harbor? Wegen Umbaumaßnahmen auf unbestimmte Zeit geschlossen

Seit gestern ist der Begriff „Safe Harbor” wieder in aller Munde. Das Abkommen, das vor mittlerweile 15 Jahren beschlossen wurde, bot eine Möglichkeit, personenbezogene Daten auf amerikanischen Servern zu speichern, obwohl dies eigentlich durch die europäische Datenschutzrichtlinie verboten ist.

Wie kam es zu diesem Schlupfloch?

Die Europäische Kommission bot Unternehmen die Möglichkeit, personenbezogen Daten legal in den USA zu speichern. Voraussetzung ist, dass die EU Kommission den Datenschutz im Drittland (also in den USA) als angemessen bezeichnet. US-Unternehmen mussten sich zu gesonderten Datenschutzbedingungen bekennen und wurden somit zum „sicheren Hafen” für europäische Daten. Heute finden sich über 4.000 Unternehmen aus den USA auf der Safe Harbor Liste, darunter Schwergewichte wie Google, Microsoft oder Dropbox.

Safe Harbor – dem EuGH nicht sicher genug

Seit gestern dürfte Safe Harbor aber Geschichte sein: Der Europäische Gerichtshof verkündete sein Urteil im Fall des Österreichers Max Schrems gegen die irische Datenschutzbehörde (Az: C-362/14). Die Richter erklärten das Safe Harbor Abkommen für ungültig. Persönliche Daten von europäischen Nutzern werden durch dieses Abkommen nicht ausreichend vor dem Zugriff durch Behörden geschützt. Der Austausch von personenbezogenen Daten zwischen US-Unternehmen und Behörden wie der NSA sind ein Eingriff in den Schutzbereich personenbezogener Daten. Die Richter stellten fest: "Eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen", verletze "den Wesensgehalt des Grundrechts auf Achtung der Privatsphäre".

Was bedeutet das nun für Nutzer von Dropbox, OneDrive und Co?

Für Privatnutzer dürfte diese grundsätzlich wenig ändern. Sie können selbst entscheiden wo und wie sie ihre Daten speichern und stimmen den Nutzungsbedingungen der Dienste zu.

Anders sieht es allerdings bei Unternehmen aus. Kundenlisten in der Dropbox, Personalunterlagen bei OneDrive. All das sind personenbezogene Daten die nach dem gestrigen Urteil nicht mehr einfach so bei US-Unternehmen gespeichert werden dürfen. Aktuell verhandelt die EU Kommission bereits mit den USA über eine Neufassung und datenschutzkonformen Version der Safe Harbor Regelung. Bis diese beschlossen ist, kann es allerdings noch dauern.

Um rechtlich auf der sicheren Seite zu sein, müssten die Unternehmen von jeder betroffenen Person die ausdrückliche Erlaubnis einholen, dass die Daten in den USA gespeichert werden dürften - allerdings nicht einfach nur als neuer Absatz in den AGB. Das könnte sich als schwierig bis unmöglich und sogar Vertrauensschädigend sein. Stellen Sie sich vor, Sie legen Ihren Mitarbeitern ein Formular zur Unterschrift hin, auf dem Sie der Speicherung ihrer personenbezogenen Daten wie Sozialversicherungsnummer etc. in den USA zustimmen müssen. Nicht die beste Art, um sich als verantwortungsvoller und vertrauenerweckender Arbeitgeber zu positionieren.

Alternativen zu Safe Harbor

EU-Standardvertragsklauseln

Die EU-Kommision hat Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten in Drittländer festgelegt. So soll ein angemessener Datenschutz sichergestellt werden. Sofern diese Klauseln im Rahmen eines Vertrags zwischen Datenexporteur und -importeur unverändert verwendet werden, können diese Bestimmungen relativ leicht zwischen den Parteien umgesetzt werden.

Binding Corporate Rules

Für internationale Konzerne wie Dropbox oder Microsoft besteht zudem die Möglichkeit, verbindliche Regeln im gesamten Unternehmen zum Datenschutz einzuführen. So werden im Unternehmen verbindliche Regeln aufgestellt, die den internen Umgang mit personenbezogenen Daten auf Basis von EU-Vorgaben regelt.

Der Nachteil beider Regelungen – und Hemniss für allem für US-Unternehmen – ist allerdings, dass sich die Unternehmen größtenteils dem EU-Datenschutz unterwerfen müssten.

Verschlüsselung als Ausweg - 30% Rabatt auf Boxcryptor

Ein Ausweg um diesem Dilemma zu entgehen, ist die konsequente Verschlüsselung aller personenbezogenen Daten bevor diese bei amerikanischen Unternehmen gespeichert werden. Verschlüsselte Dateien sind nach Ansicht diverser Rechtsexperten nicht mehr personenbezogen und unterliegen somit nicht den erwähnten Datenschutzbestimmungen. Wichtig ist dabei allerdings eine konsequente Ende-zu-Ende Verschlüsselung auf Zero-Knowledge-Basis. Bei Zero-Knowledge-Verschlüsselung kann niemand außer dem Nutzer selbst die Daten entschlüsseln. Anbieter wie Dropbox bieten häufig eine Verschlüsselung an, allerdings findet diese auf den Servern von Dropbox mit dem Schlüssel von Dropbox statt.

Warum ist das nicht sicher genug?

Derjenige, der im Besitz des Schlüssel ist, kann auch auf die Daten zugreifen. In diesem Fall wären die Daten ggf. vor Hackern geschützt, allerdings könnte Dropbox bei Anfragen durch Behörden die Daten selbst entschlüsseln - da sie ja in Besitz des Schlüssels sind. Zero-Knowledge Anbieter wie Boxcryptor sind nicht im Besitz der privaten Schlüssel der Nutzer und können demzufolge die Dateien nicht entschlüsseln - selbst wenn Behörden diese Anbieter dazu auffordern würden. Somit können Unternehmen durch Verschlüsselung aller personenbezogener Daten vor der Speicherung im EU-Ausland sicher sein, dass sie nicht gegen die Datenschutzbestimmungen der EU verstoßen.

Mit Boxcryptor zeigen Sie Ihren Kunden und Mitarbeitern, dass Sie den Datenschutz der personenbezogenen Daten in die eigene Hand nehmen und nicht auf das Handeln von US-Unternehmen hoffen und warten. Mit dem Rabattcode SAFEHARBOR30 sparen Sie außerdem 30% im ersten Jahr. Gültig für alle Boxcryptor Jahreslizenzen (auch das Boxcryptor Firmenpaket) und bis einschließlich 18. Oktober 2015.