Bonn, 06.10.15 Nun haben wir es schwarz auf weiß: Das Safe-Harbor-Abkommen ist als ungültig zu betrachten. Somit ist die Übermittlung von Daten aus Europa in die USA rechtlich nicht mehr vertretbar. Dies hat weitreichende Konsequenzen darauf, wie deutsche Unternehmen Ihre Software einkaufen und nutzen.
Der europäische Gerichtshof kommt in seinem Urteil in der Rechtssache C-362/14 (Maximillian Schrems gegen den irischen Datenschutzbeauftragten und die Digital Rights Ireland Ltd. bezüglich der Datenübermittlung in die USA innerhalb des Konzerns Facebook) zu der Auffassung, dass die USA aus europäischer Sicht kein angemessenes Datenschutz-Niveau anbieten und das Safe-Harbor-Abkommen diesen Zustand nicht heilt. Ebenso wurde bestätigt, dass die irische Datenschutz-Aufsichtsbehörde die rechtliche Befugnis hat, eine Datenübermittlung auf der Basis des Safe-Harbor-Abkommens zu untersagen. Damit ist abzusehen, dass auch die deutsche Aufsichsbehörde für Datenschutz Datenübermittlungen untersagen kann. Sollte dies geschehen, werden sämtliche Cloud- und Software-as-a-Service-Angebote ohne ausschließliche Datenverarbeitung innerhalb der EU unbrauchbar. Selbst wenn Daten innereuropäisch verarbeitet werden, ermöglichen US-amerikanische Rechtsnormen (z.B. der Patriot Act) den Zugriff von Behörden auf diese ohne das übliche Rechtshilfeersuchen, wie ein US-Bezirksgericht gegenüber Microsoft 2013 erließ.
Die Auswirkungen eines Übermittlungsverbotes in die USA stellen für deutsche Unternehmen ein immenses finanzielles Risiko dar. Cloud- und Software-as-a-Service Anwendungen erleben einen starken Zulauf und viele Unternehmen setzen bereits darauf. Sowohl die eigene Infrastruktur (Serverressourcen), als auch alltägliche Anwendungen in den Bereichen CRM, Kollaboration, E-Mails und Termine werden bereits über Cloud-Lösungen abgebildet. In all diesen Anwendungsfällen werden personenbezogene Daten gespeichert und die große Stärke der Cloud wird somit zum Problem: Der Verlust der Autonomie über den Speicherort und die Verarbeitung von Daten. Schnelle Skalierung, kosteneffektive Bereitstellungen und stetige Funktionserweiterungen gehen nun einmal in Hand mit verteilten Ressourcen und automatisierter Verarbeitung. „Der Software-Markt ignoriert leider zu oft die Bedürfnisse nach lokaler Datenhaltung, Datenautonomie und Sicherheit“, erklärt hierzu Oliver Ueberholz, Geschäftsführer der mixxt GmbH, einem Bonner Anbieter für Kollaborationslösungen im Unternehmen.
Für den deutschen Mittelstand, der der Cloud noch nicht so recht trauen mag und die Autonomie über die eigenen Daten beibehalten möchte, sind lokal innerhalb der eigenen IT-Infrastruktur installierte Lösungen wichtiger denn je. Die von den großen US-Software-Anbietern angestrebte Aufgabe von lokaler Software, wie z.B. bei der Migration von Sharepoint zu Sharepoint Online, stellt den Mittelstand vor große Herausforderungen. Die in deutschen Unternehmen üblichen Forderungen nach Datenhoheit, Anpassbarkeit und Kontrolle werden bei vielen Cloud-Lösungen nicht beherzigt, obwohl diese Anforderungen bei den auslaufenden On-Premise-Versionen für die lokale Installation erfüllt wurden. Somit stellt für viele deutsche Unternehmen der Weg in die Cloud einen Rückschritt dar. Denn der Zug in die Cloud fährt, er wird nicht angehalten und dreht auch nicht um. Mittelständler sollten deshalb möglichst schnell reagieren. Aufgrund der durch das EuGH-Urteil unsicher gewordenen Rechtslage stehen sie vor der Entscheidung, Datenverarbeitungsverträge neu auszuhandeln, bei neuen Projekten direkt zu deutschen oder europäischen Anbietern zu wechseln oder auf lokale Installationen zu bestehen.