Mit einem Paukenschlag hat der EuGH aufgrund einer Klage des österreichischen Datenschutz-Aktivisten Max Schrems das „Safe Harbor“-Abkommen zwischen EU-Kommission und USA aus dem Jahr 2000 gekippt[i]. Datenschützer feiern dies als historische Entscheidung, die dem Daten-Freifahrtschein in die USA ohne zusätzliche europäische Kontrollmechanismen ein Ende setzt. Bereits seit Jahren stand das „Safe Harbor“-Abkommen in der Kritik.

Ohne das Safe-Harbor-Abkommen gilt es allerdings, für Datenübermittlungen zwischen Deutschland und den USA umzudenken. Insbesondere vor dem Hintergrund, dass erste Behörden schon angekündigt haben, Verstößen auch während des Übergangszeitraums nachzugehen. Als Anbieter oder Nutzer von Cloud-Services brauchen Unternehmen nun andere vertragliche Regelungen, die den Datenschutz gewährleisten. Wer sich bei der Übermittlung personenbezogener Daten aus EU-Staaten in die USA allein auf die Safe Harbor-Regelung stützte, muss sich jetzt schleunigst nach Alternativen umsehen. Der Branchenverband Bitkom weist zwar darauf hin[i], „dass es neben Safe Harbor weitere rechtliche Möglichkeiten gibt, einen rechtskonformen Transfer von personenbezogenen Daten in Drittstaaten außerhalb der EU datenschutzkonform zu gewährleisten. Dazu gehörten die von der EU-Kommission frei gegebenen Standardvertragsklauseln und die so genannten Binding Corporate Rules. Wer jedoch genauer hinschaut, wird sehen, dass der EuGH das „Safe-Harbor“-Abkommen u.a. mit der Begründung für nichtig erklärt hat, dass „eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des durch Art. 7 der Charta garantierten Grundrechts auf Achtung des Privatlebens“ verletzt. Bleibt den Unternehmen noch, die Einwilligung ihrer Nutzer für die Datenübermittlung individuell einholen- was administrativ kaum zu bewältigen ist“.

Letztlich ist es aber weniger ein Problem der amerikanischem Unternehmen, nach den geltenden Datenschutzbestimmungen, ist die daten-verarbeitende Stelle, verantwortlich, mithin müssen die europäischen Unternehmen für den Datenschutz also selbst gerade stehen, wenn sie entsprechende Cloud-Services nutzen. „Man prüfe, wo man seine Daten - wirklich – habe“, rät Branchenexperte Dr. Ulrich Kampffmeyer Anwendern in seinem Artikel „EuGH kippt Safe Harbor - wohin nun mit den Daten?“[i] vom 14.10.2015. In der Cloud und auch beim traditionellen Outsourcing an einen Rechenzentrum-Provider wisse man zwar meistens, wo der primäre Speicherort sei - aber nicht die sekundären und die Sicherungsorte. Nach deutschen und europäischen Gesetzen und Verordnungen sollten keine wichtigen Daten, z.B. aus dem Steuerrecht, Handelsrecht etc. auf US-amerikanischen Servern liegen. Das sei im Zeitalter von Mobile und Cloud aber eine unrealistische Anforderung, räumt Kampffmeyer ein. „Eine Klassifikation der Wichtigkeit und der Vertraulichkeit aller Informationen im Unternehmen - die Informationslandkarte - ist heute wichtiger denn je“, schreibt Kampffmeyer den Anwendern auf die To-Do-Liste. Und für die Cloud-Anbieter heiße es nun, ihre Software und die Speicherorte regional und lokal - mit entsprechender Sicherung – anzubieten, und zwar mit den entsprechenden Nachweisen - ein „schöner Job" für Prüfer, Auditoren und Zertifizierer sei das, meint Kampffmeyer.

Digitale Geschäftsprozesse sind für die Wettbewerbsfähigkeit der Unternehmen heute eine Notwendigkeit. Unsicherer Datenschutz könnte die notwendige digitale Transformation in Europa bedrohen, denn es gilt ja, auch die eigenen sensiblen Unternehmensdaten vor unberechtigtem Zugriff zu schützen.

Fragt man Unternehmen in Deutschland, Österreich und der Schweiz, warum sie bisher zögern, ihre Daten in die Cloud zu verlagern und lieber weiterhin ihre Enterprise Content Management-Systeme selbst betreiben, werden häufig Datenschutz und IT-Sicherheit als Argumente vorgebracht. Sie fühlen sich durch das EuGH-Urteil in Bezug auf den Datenschutz nun bestätigt. Was die IT-Sicherheit betrifft, sind diese Bedenken dagegen nicht notwendigerweise begründet.

Wer die Flexibilität der Cloud nutzen möchte, ohne in die Abhängigkeit von externen Dienstleistern zu geraten, kann sich für eine so genannte Private Cloud entscheiden. Damit lässt sich ein Höchstmaß an Sicherheit herstellen. Möchte man auf die Nutzung der Public Cloud nicht verzichten, bringt die Verschlüsselung der Daten mit Doxis zusätzliche Sicherheit. Die Verschlüsselung der wertvollen Unternehmensinformationen ist ein wirksamer Schutzmechanismus und macht auch die asynchrone Replikation in die Cloud sicher, bei der die Unternehmensinformationen aus dem Inhouse-ECM erst verschlüsselt und dann als Replikation in die Public Cloud verlagert werden.

Mit der iECM Suite Doxis können Unternehmen beide Probleme lösen: für einen wirksamen Schutz personenbezogener Daten auch ohne Safe-Harbor-Abkommen sorgen (Datenschutz) und von den Vorteilen eines unternehmensweiten, standortübergreifenden Informationsmanagements profitieren, ohne einen unbefugten Zugriff auf sensible Unternehmensdaten zu riskieren (IT-Sicherheit). Die Verschlüsselung der Daten und Dokumente macht sie für fremde Dritte unbrauchbar. Damit sind Doxis-Anwender auf der sicheren Seite – auch ohne Safe Harbor!