Illustration: Ulleo Absmeier
Der Kampf um die europäische Datensouveränität geht in die nächste Runde. Der juristische Konflikt zwischen den USA und Microsoft um die Herausgabe von Daten auf europäischen Servern wird im Februar abschließend vor dem obersten US-Gericht ausgetragen. Jetzt haben sich 38 Europäische Verbände, darunter der deutsche Bitkom, sowie mehrere Mitglieder des EU-Parlaments in sogenannten Amicus-Briefen an den Supreme Court gewendet.
Worum geht es?
Verhandelt wird der Fall »US v. Microsoft, Case 17-2«. Im Jahr 2016 wollten amerikanische Ermittler per Gerichtsbeschluss persönliche Daten einsehen, die auf Microsoft-Servern gespeichert waren. Das Unternehmen weigerte sich. Die Daten seien in Irland gespeichert und würden nicht der US-Rechtsprechung unterliegen. Ob das der Fall ist, wird jetzt verhandelt. Am 27. Februar findet eine mündliche Anhörung statt, ein Urteil wird im Frühsommer erwartet.
Warum ist das wichtig?
Microsoft befindet sich in einer Zwickmühle. Sollte der Supreme Court entscheiden, dass US-Ermittler Zugriff auf Daten von US-Firmen im Ausland (in diesem Fall der EU) haben, kann das Unternehmen sich gar nicht gesetzeskonform verhalten. Entweder es verstößt gegen europäisches Datenschutzrecht oder widersetzt sich einem Gerichtsurteil in seinem Heimatland. Und was für Microsoft gilt, gilt auch für Amazon, Apple und alle anderen internationalen US-Unternehmen.
Das wäre zum einen ein Desaster für besagte Firmen, zum anderen aber auch eine Katastrophe für die europäische Datensouveränität. Schließlich wollen Vorschriften wie die Datenschutzgrundverordnung gerade verhindern, dass ausländische Dienste Zugriff auf personenbezogene Daten von EU-Bürgern erhalten.
Was machen die Verbände?
Die amerikanische Gesetzgebung erlaubt sogenannte Amicus-Briefe, in denen Drittparteien zu einem Prozess Stellung nehmen können. 38 europäische Verbände haben sich jetzt zusammengeschlossen und von dieser Möglichkeit Gebrauch gemacht. Sie weisen vor allem darauf hin, dass ein Urteil im Sinne der Kläger zu großer Rechtsunsicherheit führen wird. Der Amicus-Schriftsatz kann bei Bitkom eingesehen werden.
Was kann ich tun?
Sollte der Supreme Court dem Ansinnen des Justizministeriums nachgeben, wäre damit automatisch auch das Privacy Shield in Frage gestellt. Dieser soll den Schutz von in den USA gespeicherten personenbezogenen Daten garantieren. Die Wirksamkeit war zwar schon immer fraglich, doch ein Urteil würde die letzten Hoffnungen im Keim ersticken.
DSGVO-konform: 5 Tipps für die Auswahl Ihres Cloud-Anbieters
Für Unternehmen in Deutschland und Europa, die auf Nummer sicher gehen wollen, sind folgende Tipps für die Auswahl bei Cloud-Anbietern hilfreich:
Herkunft
Wählen Sie europäische oder lokale Anbieter. So ist gewährleistet, dass die eigene Gesetzgebung maßgeblich ist und fremde Staaten keinen Einfluss auf den Anbieter nehmen. Der Patriot Act beispielsweise ist und bleibt ein Risiko für Daten aus Europa.
Unternehmen, die das Zeichen »IT Security made in Germany« nutzen, verpflichten sich beispielsweise zu zentralen Grundsätzen.
Lokale Datenspeicherung
Daten sollten ausschließlich in lokalen Rechenzentren gespeichert werden.
Zertifizierung
Wählen Sie einen Anbieter, der die Wirksamkeit seiner Sicherheitsprozesse mit Zertifikaten belegt (ISO 27001 inkl. 27018, ISAE 3402).
Vertragliche Vereinbarungen
Wählen Sie nur Cloud-Anbieter, die transparent sind und ADV-Verträge bieten.
Sicherheit der Verarbeitung
Wählen Sie Anbieter, die für Ihre Daten eine durchgängige Verschlüsselung, Vertraulichkeit (etwa Operator- und Administrator-Abschirmung), Nachvollziehbarkeit (Audit Trail), Integrität und Verfügbarkeit gewährleisten.
Thomas Deutschmann, CEO bei Brainloop
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.
Schärfere Vorgaben beim Datenschutz: Endspurt für die Vorbereitung auf die DSGVO
EU-DSGVO: Compliance-Check testet Datenschutzpraxis von Unternehmen auf Herz und Nieren
DSGVO: Jedes dritte Unternehmen hat sich noch nicht mit der Datenschutzgrundverordnung beschäftigt