WKO_Sicherheitshandbuch
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
IT <strong>Sicherheitshandbuch</strong> für KMU<br />
Unternehmen, die den Umstieg auf Cloud Computing planen, müssen sich des Risikos bewusst sein,<br />
dass in der Cloud die Daten und IT-Ressourcen geographisch verteilt sind. Cloud-Nutzerinnen und<br />
-Nutzer haben daher oft keine Ahnung, wo sich ihre Daten befinden und ihre Dienstleistungen<br />
erbracht werden. Das Ausmaß der Gefährdungspotenziale ist dabei von dem in Anspruch genommenen<br />
Servicemodell abhängig.<br />
V.a. jetzt, nach der Entscheidung des Europäischen Gerichtshofs (EuGH) in der Sache Max Schrems<br />
gegen Facebook Irland, in welcher der EuGH das Safe Harbor-Abkommen zwischen der Europäischen<br />
Union und den USA für ungültig erklärt hat und eine Datenübermittlung oder –überlassung<br />
ins Ausland noch schwieriger geworden ist, bieten verschiedene Cloud-Anbieter an, Daten ausschließlich<br />
in bestimmten Cloud-Rechenzentren innerhalb der EU zu verarbeiten. Auch in diesem<br />
Fall besteht keine völlige Sicherheit vor unbefugten Zugriffen, da US-Unternehmen gesetzlich dazu<br />
verpflichtet sind, auf richterliche Anordnung die Daten ihrer Kunden an amerikanische Sicherheitsbehörden<br />
zu übermitteln. Gerade aber im Fall USA ist nach Ansicht des EuGH durch die NSA<br />
Überwachungsmöglichkeiten und durch das Überwachungsprogramm PRISM ein entsprechend<br />
adäquater Datenschutz für personenbezogene Daten nicht mehr gegeben. Einerseits werde über<br />
den Zweckbindungsgrundsatz der Übermittlung und weitergehenden Verarbeitung hinausgegangen;<br />
die amerikanischen Behörden hätten unmittelbaren Zugriff und könnten die personenbezogenen<br />
Daten derart verarbeiten, dass dies nicht mehr mit der Zielsetzung der Übermittlung vereinbar<br />
und daher unverhältnismäßig sei. Andererseits seien für Betroffene keine administrativen<br />
oder gerichtlichen Rechtsmittel verfügbar, dh sie haben weder Zugang zu den sie betreffenden<br />
Daten, noch die Möglichkeit deren Richtigstellung oder Löschung zu verlangen.<br />
Die EU-Kommission verhandelte mit den USA bereits seit Jahren an einer überarbeiteten Version<br />
des Safe Harbor-Abkommens, diese Verhandlungen haben nun natürlich auch das EuGH Urteil zu<br />
berücksichtigen und einzubinden.<br />
Betroffenen Unternehmen ist nun dringend anzuraten zu prüfen, auf welcher Rechtsgrundlage der<br />
Austausch personenbezogener Daten mit den USA derzeit abgewickelt wird um feststellen zu<br />
können, ob etwaig ein Fall einer genehmigungsfreie Ausnahme vorliegt (z.B. zur Erfüllung von<br />
eindeutig im Interesse des Betroffenen abgeschlossenen Verträgen notwendig, Standardvertragsklausel<br />
wurden verwendet – siehe auch www.wko.at – „Datentransfer in die USA: Safe Harbor<br />
ungültig“). Weiters erscheint es sinnvoll zu prüfen, ob bereits eine zweifelsfreie Zustimmung zur<br />
konkreten Datenübermittlung/-überlassung eingeholt wurde.<br />
20