Ein Artikel von Tobias Höllwarth der eine Beziehung
zwischen der neuen EU General Data Protection Regulation, Binding Corporate
Rules, den Strategien von Microsoft und Salesforce sowie dem Cloud Privacy
Check herstellt.
Soeben hat Salesforce, einer der größten US-amerikanischen Cloud-Anbieter, bekanntgegeben, dass seine BCR (Binding Corporate Rules) von den europäischen Datenschutzbehörden (Art. 29 WP) akzeptiert worden sind. Siehe detaillierte Informationen dazu hier.
Die führende
Behörde hinter der Zulassung war die französische Commission Nationale de l'Informatique
et des Libertés (CNIL),
unterstützt von der niederländischen DPA
und dem bayerischen Landesamt für Datenschutzaufsicht.
Liste der von der Europäischen Union akzeptierten BCR hier.
Diese Entwicklung muss im Zusammenhang mit dem vom
österreichischen Juristen Max Schrems im Oktober 2015 erwirkten Ende des Safe Harbor
Agreements (siehe "EU
versus Facebook") gesehen werden. „Meiner
Meinung nach würden auch die europäischen BCR eine ähnliche Untersuchung durch
den Europäischen Gerichtshof nicht überleben,“ sagt Tobias Höllwarth,
Vizepräsident von EuroCloud Europe. Laut Ansicht von Höllwarth könne wohl keine
individuelle Vereinbarung zwischen zwei Unternehmen – egal, wie gut es
formuliert sei – das grundsätzliche Problem beseitigen, „dass das geltende
US-Recht auf der Basis des Patriot Act in manchen Bereichen fundamentale
Unterschiede zum bestehenden europäischen Recht aufweist. Unternehmen werden
dieses Hindernis nicht überwinden können – nicht einmal mit BCR.“
Soweit also die unangenehmen
Tatsachen für etliche tausend amerikanische Cloud-Anbieter, die Daten von
europäischen Kunden speichern und verarbeiten. Siehe dazu Informationen vom
Repräsentantenhaus der Vereinigten Staaten (link),
den laufenden Gerichtsfall von Microsoft gegen die USA (der sogenannte „Ireland
case“) (link)
und einen Kommentar im New York Law Journal (link)
Andererseits ist auch klar, dass dies zu einer
katastrophalen Situation für europäische Cloud-Kunden führen könnte, die
Cloud-Dienste von Anbietern außerhalb des IT-Schengen-Raums beziehen wollen –
eine Situation, die sich sicherlich niemand wünscht.
Trotz der überraschenden und geschickten
Vereinbarung zwischen Microsoft und der Deutschen Telekom, die DT als Treuhänder
für die Microsoft-Dienste Azure und Office 365 einzusetzen (link), ist
klar, dass diese Vorgehensweise nicht als Modell für jeden Cloud-Anbieter
außerhalb der EU dienen kann. „Weder kann die Deutsche Telekom beliebig viele
Cloud-Dienste abwickeln, noch ist das Modell für den Cloud-Kunden wirtschaftlich
von Vorteil, da er für die Treuhandschaft zusätzliche Gebühren bezahlen muss,“
so Höllwarth der weiter ausführt: „Die Bemühungen von Firmen wie Microsoft oder
Salesforce sich in Europa in vorbildlicher Weise um hochwertige Servicequalität
und die Einhaltung sehr komplexer und in jedem EU-Land leicht unterschiedlicher
gesetzlicher Datenschutzvorgaben zu bemühen, verdient höchsten Respekt. Es sind
die unerträglichen juristischen Rahmenbedingungen in Europa, die kritisiert
werden müssen. Dass sich große internationale Unternehmen dennoch darum
Bemühen, es in jedem einzelnen Land richtig zu machen, ist bewundernswert. Die
meisten Unternehmen haben gar nicht ausreichend Ressourcen um diese
Herkulesaufgabe zu bewältigen“
Es ist daher interessant zu wissen, dass
zunehmenden Gerüchten zufolge die neue Europäische Datenschutzrichtlinie zu
Beginn des kommenden Jahres vom EU-Ministerrat angenommen werden könnte.
Nach dem Entwurf der Kommission von 2012 und dem
Albrecht-Bericht (siehe EU/Albrecht Report), der vom EU-Parlament kurz nach der Enthüllung des Falls Snowden
mit 95-prozentiger Zustimmung abgesegnet wurde, warten wir nun schon seit mehr
als 18 Monaten darauf, dass der Rat die Vorlage hoffentlich unverändert
absegnet.
Derzeit läuft in auswählten Kinos ein äußerst
beeindruckender unabhängiger Dokumentarfilm (link), welcher die Entwicklung dieses neuen Gesetzes und den massiven
Widerstand von Lobbyisten gegenüber Jan Philipp Albrecht (link), einem 33-jährigen Mitglied des Europaparlaments und Vorsitzenden
des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres, zeigt. Albrecht
war der offizielle Berichterstatter über den Gesetzesentwurf im Europaparlament.
In seiner letzten
Entwicklungsphase befindet sich zur Zeit auch ein einschlägiges multinationales
Programm namens Cloud Privacy Check (CPC). Mehr als 40 Juristen aus 31 Ländern
arbeiten an diesem Projekt, dessen Endbericht in Kombination mit einem
sachdienlichen Online-Tool voraussichtlich Ende Januar 2016 in 25 Sprachen
veröffentlicht wird. Vor dem Hintergrund von Safe Harbor, Binding Corporate
Rules und der erwarteten Europäischen Datenschutzrichtlinie wird der CPC also
genau zur richtigen Zeit zugänglich werden.
Der CPC soll für
die kommenden 2-3 Jahre als Richtlinie für Cloud-Anbieter, -Kunden und
-Benutzer dienen und ihnen helfen, Konzepte, Bedingungen und den
grundsätzlichen Wert von Datenschutzregelungen zu verstehen. Ebenso soll er den
Umgang mit länderspezifisch unterschiedlichen Datenschutzverordnungen
vereinfachen, bis einheitliche – oder zumindest ähnliche und vergleichbare –
Datenschutzgesetze in allen betroffenen Ländern wirksam werden.
Vereinfachung einer komplexen Materie ohne inhaltliche Verluste. Das Ziel des CPC
ist es, das Thema Datenschutz in der Cloud zu 90% auf einer einzigen Seite zu
erläutern und damit für 90% der Leute, die sich damit auseinandersetzen müssen,
eine verständliche und umsetzbare Basis zu bieten. Aber keine Sorge: Juristen
werden nach wie vor benötigt.
Strukturierung einer Vielzahl von Fragen in einzelne Themenblöcke, welche dann
schrittweise angegangen werden können – vom einfachsten bis zum
kompliziertesten Fall. Damit korreliert werden gleichzeitig die jeweils
benötigten rechtlichen Werkzeuge, die dann im Detail von Juristen auszuarbeiten
und zu bewerten sind.
Trennung des Allgemeingültigen vom Spezifischen. Dies ist wahrscheinlich die
wichtigste Hilfe für die Handhabung von komplexen grenzüberschreitenden
Unternehmungen. Indem er diejenigen Aspekte identifiziert, die in allen Ländern
gleich sind, erlaubt der CPC es dem Benutzer, sich auf die Unterschiede und
Eigenheiten zu konzentrieren – wenn diese überhaupt auf ihn zutreffen. Der CPC
will schnell und einfach Zugang zu relevanter Information bezüglich der Regelungen
in anderen Ländern bereitstellen, ohne dass der Nutzer sich mit Aspekten
aufhalten muss, die gleich sind wie zu Hause.