+49 (0)241 14 94 66 0 beratung@itsecurity-ist-pflicht.de

SAFE HARBOR URTEIL

Das Safe Harbor Urteil des EuGH wird ab 2016 starke Veränderungen für Datenverarbeitung in Ihrem Unternehmen bringen. So reagieren Sie rechtzeitig richtig!

Wie Patrioten unseren SAFE HARBOR verunsicherten

Am 06.10.2015 erklärte der europäische Gerichtshof (EuGH) das Safe Harbor Abkommen für ungültig. Dies geschah in Folge einer Zivilklage des österreichischen Datenschutzaktivisten Max Schrems gegen die Datenverarbeitungspraxis Facebooks vor dem irischen High-Court.

Das sogenannte SAFE HARBOR Abkommen (zu englisch: „sicherer Hafen“) wurde im Jahr 2000 von der europäischen Union mit den USA abgeschlossen. Es sollte den sicheren Datentransfer personenbezogener Daten nach EU-Datenschutzrichtlinien zwischen europäischen und US-amerikanischen Unternehmen regeln. So wurde den Mitgliedsunternehmen ein ausreichendes Datenschutzniveau im Sinne der Datenschutzrichtlinie 95/46/EG zugesprochen. Die Zertifizierung verlief dabei durch die Unternehmen selbst, welche ohne Gegenprüfung bei US Handelsministerium erklärten die „Safe Harbor Principles“ und die dazugehörigen FAQ einzuhalten.

Bereits im Jahr 2001 kurz nach den Terroranschlägen des 11. Septembers lief das Safe Harbor Abkommen durch den US Patriot Act auf Grund. Das US amerikanische Bundesgesetz verpflichtet jedes amerikanische Unternehmen, deren Tochtergesellschaften und Zweigstellen alle gespeicherten Daten ohne Benachrichtigung der Dateninhaber (Sie!) US-Ermittlungsbehörden und Geheimdiensten zur Verfügung zu stellen. „Klartext: Was Sie in US-Clouds speichern, darf die NSA immer lesen, interpretieren und im eigenen Interesse verfolgen!

Dies blieb von der EU-Kommission vollständig unberücksichtigt. Nach Ansicht des unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein war Safe Harbor damit „das Papier nicht wert, auf dem es geschrieben steht“.

[Aktuelle Entscheidungen zum Safe-Harbor Abkommen lesen Sie in diesem Leitfaden] (Quelle: Bitkom)

s

WICHTIGER HINWEIS

Mit sofortiger Wirkung sind alle Datenübermittlungen von personenbezogenen Daten an Drittstaaten außerhalb der EU, insbesondere USA, die sich auf das Safe Harbor Abkommen berufen, verboten. Die bis zum 01.01.2016 gewährte Karenzzeit ist von den Datenschutzbehörden der Länder nicht offiziell bestätigt und gewährt keine Garantie. Sie sollten deshalb mit der Prüfung und Umstellung Ihrer Systeme nicht warten.

Die Folgen des US-Patriot Acts für Safe Harbor und Ihr Unternehmen

Die Aussetzung des Safe Harbor Abkommens hat weitreichende Auswirkungen auf europäische und insbesondere deutsche Unternehmen. Sie können sich nun nicht mehr auf das Abkommen berufen und sind verpflichtet die personenbezogenen Daten Ihrer Kunden und Mitarbeiter vor dem Zugriff durch Dritte selbstständig zu schützen. Dies ist mitunter durch die undurchsichtigen Verarbeitungsprozesse der Cloud-Anbieter nahezu unmöglich.

Sie können sich jedoch vor Abmahnungen und Bußgeldern durch die hiesigen Aufsichtsbehörden schützen. Dazu müssen Sie die Datenverarbeitungsprozesse in Ihrem Unternehmen detailliert prüfen. Als generelle Grundlage gilt hierbei: „Keine personenbezogenen Daten in den Cloud-Diensten von US-Anbietern zu speichern.

Damit Sie in der Flut von Blogartikeln und Panikinformationen nicht Schiffbruch erleiden und stattdessen mit frischem Wind in den Segeln wieder auf sicheren Kurs gelangen, navigieren wir Sie in 3 Schritten zu sauberen Datencontainern ganz ohne SAFE HARBOR.

In 3 Schritten zu sauberen Datencontainern ganz ohne SAFE HARBOR

Um Ihren neuen Hafen sicher und sauber zu halten müssen Sie wissen, welche Softwareprodukte in Ihrem Unternehmen eingesetzt werden. Um dies gewissenhaft zu ermitteln, erstellen Sie zunächst ein Liste nach diesem Muster:

1. Systeme prüfen

Machen Sie sich ein klares Bild von den personenbezogenen Daten in Ihrem Unternehmen.

2. Anbieter prüfen

Verschaffen Sie sich Transparenz über Ihre Partner, deren Datenschutzbestimmungen und Wirkungskreise.

3. Umstieg planen

Ermitteln Sie die besten Alternativen für einen Umstieg und verbessern Sie Ihre Arbeitsprozesse.

Systeme prüfen

1. Welche Officeanwendungen nutzen Sie?

Unter Officeanwendungen fallen alle Softwareprodukte mit welchen Sie Textverarbeitung, Tabellenkalkulation und Präsentationen oder Dokumentationen vornehmen. Häufig verwendete Lösungen sind hier Microsoft Office, Apache OpenOffice, Google Docs, usw.. Zunächst sollten Sie prüfen, ob die Software lokal oder in Verbindung mit einem Cloudspeicher betrieben wird.

2. Sind die Officeanwendungen cloudbasiert?

Beispiele für Cloud-Dienste sind die Produkte Microsoft Office 365 und One Drive, Apples iWorks Suite und iCloud sowie Google Docs und Google Drive.

Sollten Sie einen dieser Services nutzen, so ist der Umstieg zu einer lokalen oder „Selfhosted Solution“, wie Microsoft Office (Standardlizenzen), OpenOffice oder LibreOffice zu empfehlen.

3. Nutzen Sie Dienste zur Datensynchronisation?

Dienste zur Datensynchronisation treten vielseitig auf. Besonders bekannte Beispiele für US-Cloud-Dienste sind Dropbox, Google Drive, Microsoft OneDrive und Apple iCloud. Alle Dienste bieten die Möglichtkeit durch Hintergrundprozesse Daten auf unterschiedlichen Geräten auf dem gleichen Stand zu halten und nach belieben anderen Nutzern zur Verfügung zu stellen.

Personenbezogene Daten haben hier nichts verloren!

4. Arbeiten diese Dienste ausschließlich verschlüsselt?

Prüfen Sie beim Anbieter, ob die Daten vor der Übertragung verschlüsselt werden. Also lokal! Sollte dies nicht der Fall sein und ein Verschlüsselung erst auf dem Server des Anbieters stattfinden, so ist bei US-Diensten der Datenschutz erneut korrumpiert.

5. Nutzen Sie eine extern gehostete Telefonanlage? (Salesforce)

Telefonanlagen und gerade VoIP werden von verschiedenen Anbietern bereits als Cloud-Lösung angeboten. Dabei ist zu beachten, dass die Adressbücher sowie Namen der Mitarbeiter auf den Servern des Unternehmens gespeichert werden. Dies sind personenbezogene Daten, welche Sie unter keinen Umständen dort speichern sollten. Im Falle von US-Anbietern bekommen Sie hiermit ein großes Problem.

6. Nutzen Sie Videodienste wie Skype, Facetime, Hangouts, etc.?

Die bekannten Videodienste zu nutzen ist nicht generell verboten nach dem Safe Harbor Urteil. Sie sollten jedoch prüfen ob Sie für jeden Personenbezug eine schriftliche Einwillung der Person haben. So sollten Ihre Mitarbeiter, welche mit solchen Videodiensten arbeiten über die Übertragung der Daten zu US-Unternehmen in Kenntnis gesetzt werden.

7. Kommunizieren Sie per Chat mit Kunden und Kollegen?

Chatanwendungen sollten Sie genau wie alle anderen Dienste auf Ihrer Zulässigkeit prüfen. Zwar gilt auch hier, dass der Nutzer selber durch die Erstellung des Accounts in die Datenschutzbestimmungen des Anbieters einwilligt, jedoch sind Firmenaccounts problematischer. Sie sollten als Unternehmer stets die personenbezogenen Daten schützen und über die Risiken informieren.

8. Haben Sie einen externen E-Mail Anbieter?

Bei externen E-Mail Anbietern wird es nach dem Safe Harbor Urteil sehr kritisch. E-Mails laufen zum größten Teil unverschlüsselt über das World-Wide-Web. Lediglich die Verbindung zwischen Ihrem Computer und dem Server ist dabei zum Teil geschützt. Von US-Diensten sollten Sie sofort Abstand nehmen und stattdessen auf europäische Anbieter umsteigen.

9. Synchronisieren Sie Kontakte & Adressbücher?

Falls Dienste wie Mircosoft One, Google oder Apple iCloud zur Synchronisations von Kontakten auf Ihren Geräten eingesetzt werden, stellen Sie dies sofort ein! Sie haben auch vor dem Safe Harbor Urteil hiermit einen Verstoß gegen das Datenschutzgesetz begangen. Schalten Sie die Synchronisation aus und fordern Sie den Anbieter zur restlosen Löschung aller Daten schriftlich auf.

10. Verwenden Sie cloudbasierte Anti-Viren oder Backup Software?

Wenig bekannt ist die Tatsache, dass viele kommerzielle Anti-Viren und Backup Lösungen regelmäßig Statusberichte an die Hersteller senden. Zwar werden diese als „anonymisiert“ bezeichnet, aber eine Sicherheit stellt dies nicht da. Ob die Information über den angemeldeten Benutzer und das genutzte Gerät mit übertragen wird, ist nicht immer ersichtlich. Im Zweifelsfall fordern Sie vom Hersteller eine schriftliche Bestätigung ein. Prüfen Sie ebenfalls ob Ihr Backup Ende-zu-Ende verschlüsselt ist.

11. Speichert Ihre Firewall Daten über die Internetnutzung?

Selbst die Regeln Ihrer Firewall können Ihnen nun Probleme bescheren. Im Normalfall protokolliert eine Firewall die Nutzung des Internets und speichert dabei MAC und IP Adressen. Diese lassen einen eindeutigen Rückschluss auf das genutzte Gerät zu. Ebenso ist häufig der Gerätename ebenfalls gespeichert.

Anbieter prüfen

Bei der Überprüfung Ihrer System- und Softwareanbieter gibt es nach dem Safe Harbor Urteil des EuGH nur noch eine einzige zulässige Wahl: „EU Unternehmen mit EU Servern„. Deshalb gilt prüfen Sie NICHT auf den Serverstandort, SONDERN auf die Zulassung des Unternehmens und dessen Zugehörigkeit zu anderen Gesellschaften. Nach dem 01.01.2016 werden selbst die „Standardvertragsklauseln“ der EU in Ihrer jetzigen Form, mit hoher Wahrscheinlichkeit, keine Gültigkeit mehr besitzen.

Dies gilt für den Datenschutz….

%

US-Unternehmen + US-Server

%

US-Unternehmen + EU-Server

%

US-Firma in Europa + EU-Server

%

EU-Unternehmen + EU-Server

Auf der Karte können Sie die Hauptsitze und Tochtergesellschaften der großen Technologiekonzerne einsehen. Ebenso finden Sie alternative Anbieter welche sich nur in Europa befinden. Klicken Sie auf die roten Markierungen um mehr über den Standort zu erfahren.

Facebook

Facebook Hauptsitz in Menlo Park, Kalifornien, USA

Alphabet Inc.

Alphabet Inc. (früher Google Inc.) Hauptsitz in Mountain View, Kalifornien, USA

Apple Inc.

Apple Inc. Hauptsitz in Cupertino, Kalifornien, USA

Google Ireland Limited

Google Ireland Limited Tochtergesellschaft der Google Inc. in Dublin, Irland

Facebook Germany GmbH

Facebook Germany GmbH Tochtergesellschaft von Facebook in Hamburg, Deutschland

Twitter Inc.

Twitter Inc. Hauptsitz in San Francisco, Kalifornien, USA

Microsoft Deutschland GmbH

Microsoft Deutschland GmbH Tochtergesellschaft der Microsoft Corperation in Unterschleißheim, Deutschland

Microsoft Corporation

Microsoft Corporation Hauptsitz in Redmond, Washington, USA

TeamDrive Systems GmbH

TeamDrive Systems GmbH Hauptsitz in Hamburg, Deutschland

Plesnik GmbH

Ingenierbüro Dr. Plesnik GmbH Hauptsitz in Aachen, Deutschland

Active Servers

Active Servers Hauptsitz in Frankfurt, Deutschland

Umstieg planen

Ihr Umstieg beginnt mit den richtigen Alternativen. Damit Sie auch hier eine Unterstützung erhalten, bieten wir Ihnen eine Reihe erprobter Lösungen an, welche wir empfehlen können. Achten Sie bei der Auswahl jedoch auf die individuellen Leistungen der Anbieter und prüfen Sie diese gegen Ihre jetztigen Arbeitsprozesse.

Logo der TeamDrive Systems GmbH

Datensynchronisation

Dropbox Alternative : TeamDrive

Die Dropbox Alternative TeamDrive schützt Ihre Daten mit Ende-zu-Ende Verschlüsselung. Die Funktionen sind der Dropbox nachempfunden und intuitiv zu verstehen und zu benutzen. Mit Apps für alle gängigen PC- und mobile Betriebssysteme haben Sie Ihre Daten und den Datenschutz voll im Griff.

[Mehr Informationen…]

Logo Telegram

Messenger, Chat, Kommunikation

WhatsApp Alternative : Telegram

Die WhatsApp Alternative Telegram ist nicht nur ein Ersatz für einen Messenger. Es ist der wohl vielseitigste und sicherste Messenger der Welt. Mit Ende-zu-Ende Verschlüsselung, geheimen Chats und einer Entkopplung des Adressbuchs von den Nutzern ist alles sicher. Telegram gibt es für jedes Betriebssystem und als Webapp.

[Mehr Informationen…]

Logo der Ing.-Büro Dr. Plesnik GmbH

E-Mail Hosting

E-Mail Hosting bei Datenschutz ist Pflicht

Datenschutz ist Pflicht bietet Ihnen eine E-Mail Hosting Alternative durch das Unternehmen Ingenieurbüro Dr. Plesnik GmbH. Ihre Daten werden mit verschlüsselten Verbindungen an unsere Server in Frankfurt übertragen. IMAP, POP3 und Webmail stehen für maximalen Nutzerkomfort zur Verfügung.

Logo von OpenOffice

Officeanwendungen

365, Google Docs Alternative: OpenOffice

Die kostenfreie Software OpenOffice eignet sich als Alternative für die wichtigsten Funktionen von Microsoft Office. Textverarbeitung, Tabellenkalkulation und Präsentationen sind möglich. Komfotable PDF Erzeugung mit Formularen bieten einige Vorteile. Die Excel Adaption kann jedoch dem Original nicht das Wasser reichen.

[Mehr Informationen]

Logo Mikogo

Videophonie und online Präsentationen

Hangout Alternative: Mikogo

Eine hervorragende Alternative für Google Hangouts ist Mikogo. Die Software erlaubt Videochats, Screensharing, Präsentationen uvm. bei Ende-zu-Ende Verschlüsselung Ihrer Daten. Der Hersteller BeemYourScreen GmbH ist in Mannheim ansässig und der deutsche Support ebenfalls sehr gut.

[Mehr Informationen]

Logo der Ing.-Büro Dr. Plesnik GmbH

Datensicherheit

Backup Alternative

Datenschutz ist Pflicht bietet Ihnen ebenfalls ein Alternative für Ihr Backup an. Ein online Cloud-Backup mit Ende-zu-Ende Verschlüsselung auf unseren deutschen Servern. Mittels eines lokalen Dienstes auf Ihren Geräten sichern Sie kinderleicht alle Daten und stellen Sie ebenso schnell wieder her. Server, Arbeitsplätze, Dateien und Datenbanken!

[Mehr Informationen]