Rechtskonform: Vor Strafen gefeit
03.08.2021, 00:00 Uhr
Sicherer Datentransfer nach EU-Recht beim Cloud Computing
Nach einem aktuellen Urteil des Europäischen Gerichtshofs dürfen europäische Unternehmen personenbezogene Daten nicht mehr ohne Weiteres in den USA oder anderen Drittländern speichern und verarbeiten lassen. Die Lösung sind europäische Cloudanbieter.
(Quelle: Andreas Falkner)
Der österreichische Datenschutzaktivist Max Schrems stieß vor einigen Jahren eine grundlegende politische Diskussion in der Europäischen Union an: Er klagte gegen den Transfer persönlicher Daten von EU-Bürgern in die USA. Zweimal hat ihm der Europäische Gerichtshof (EuGH) Recht gegeben: Zuerst hat er das sogenannte „Safe-Harbor-Abkommen“ und anschließend das Nachfolgeabkommen „EU-US Privacy Shield“ gekippt, mit denen die EU den Datentransfer in die USA bisher ermöglicht hatte.
Als Schrems I und Schrems II hat der Österreicher damit Rechtsgeschichte geschrieben. Welche Folgen hat das für europäische Unternehmen? Mehr als die Hälfte, nämlich 65 Prozent der weltweiten Marktanteile für Cloud-Services, liegen bei Amazon, Microsoft und Google. Auch deutsche Firmen nutzen die Cloud-Anwendungen der US-Hyperscaler, mit dem Ergebnis, dass immer mehr Daten von EU-Bürgern in US-Rechenzentren und nach US-Recht gespeichert und verarbeitet werden.
Damit soll nach dem Urteil der Luxemburger Richter vom Juli 2020 Schluss sein: Sie stellten darin fest, dass Unternehmen personenbezogene Daten nur dann an Nicht-EU-Länder übermitteln dürfen, wenn diese dort einem im Wesentlichen gleichwertigen Schutz unterliegen. In den USA, so die Richter des EuGH, sei das nicht der Fall. Denn amerikanische Behörden können in unverhältnismäßigem Umfang auf alle bei US-Cloud-Anbietern gespeicherten Daten zugreifen. Die Entscheidung trägt die Kurzbezeichnung „Schrems II“.
Damit ist amtlich, was Datenschützer seit Jahren kritisieren: Viele US-Anbieter von Cloud Computing erfüllen die Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) nicht. Betriebe und Dienstleister, die solche Dienste trotzdem einsetzen, müssten laut Gesetz hohe Bußgelder zahlen. Bisher wurden diese aber noch nicht verhängt.
Wer absolut rechtssicher sein will, sollte den Transfer personenbezogener Daten in die USA gründlich überdenken und besser dem Rat von Datenschützern wie der Berliner Beauftragten für Datenschutz und Informationsfreiheit Maja Smoltczyk folgen: Sie fordern von Betrieben, Cloud-Anbieter aus der Europäischen Union zu wählen. „Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, sind nach dem Schrems-II-Urteil vorbei. Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen“, sagt sie.
Mittelständlern fehlt oft das Spezialwissen zu Cloud Computing
Das EuGH-Urteil macht deutlich, dass Firmen, die Public-Cloud-Services bereits nutzen oder dies planen, die Rechtsgrundlage genau prüfen und den Umgang mit personenbezogenen Daten, den Datentransfer und die Einhaltung der EU-DSGVO ganz oben auf ihre Agenda setzen sollten. Konzerne und große Mittelständler dürften damit keine Probleme haben. Dort prüfen Juristen und ganze Rechtsabteilungen die Vorgaben der Cloud-Lösungen, mit denen sich sensible und personenbezogene Informationen DSGVO-konform verarbeiten lassen.
Die meisten kleineren Mittelständler haben jedoch nach Erfahrung des Autors keine eigene Rechtsabteilung und oft nur per Gesetz berufene Datenschutzbeauftragte an ihrer Seite. Das hat zur Folge, dass mittelständische Entscheider und IT-Verantwortliche oft zu wenig über eine datenschutzkonforme Public-Cloud-Nutzung wissen. Abhilfe schaffen rein europäische Angebote. Diese sind naturgemäß Schrems-II-konform. Mittelständler müssen mit einer EU-Cloud weder Zeit noch Geld aufwenden, um sich mit den rechtlichen Fallstricken zu beschäftigen, die eine Datenverarbeitung in Staaten außerhalb der EU mit sich bringen würde.
Vieles spricht also für die europäische Cloud-Umgebung GAIA-X. Mehr als 300 IT-Firmen wie SAP und die Deutsche Telekom sind bereits Teil der Initiative. Sie definiert Standards auf der Grundlage des EU-Rechts, nach denen sich Daten austauschen und verarbeiten lassen. So ist es möglich, dass Bürger in der Europäischen Union die Hoheit über ihre Daten behalten und jederzeit entscheiden können, wer darauf zugreifen darf – und wer nicht.
Das sind entscheidende Argumente für Unternehmen, deren Geschäftsmodelle größtenteils auf vertraulichen und personenbezogenen Daten basieren. Daher ist es nicht überraschend, dass sich vor allem Banken, Versicherungen und öffentliche Einrichtungen nach bewährten europäischen Cloud-Lösungen umsehen. Dieser Trend zeichnet sich auch bei der T-Systems ab. Hier wird die hauseigene Open Telekom Cloud häufig den US-Hyperscalern vorgezogen.
Public Cloud: Prüfsiegel für Datenschutz und Sicherheit
Auf folgende Zertifizierungen und Testate sollten Firmen bei der Auswahl ihres Public-Cloud-Providers achten:
- Trusted Cloud: Das Bundesministerium für Wirtschaft und Energie (BMWi) zeichnet geeignete Cloud-Anbieter als sogenannte Trusted Cloud aus. Das Gütesiegel steht für vertrauenswürdige Cloud-Services.
- TISAX: Die Abkürzung steht für „Trusted Information Security Assessment Exchange“ und ist ein von der Automobilindustrie definierter Standard für Informationssicherheit.
- BSI C5: Der C5-Kriterienkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist bei großen Cloud-Providern ein Standard. Er listet Kriterien auf, die Cloud-Anbieter erfüllen sollten, um sichere Datenverarbeitung gemäß EU-DSGVO zu ermöglichen.
- Privacy & Security Assessment (PSA): Der Begrifft steht für das von der Dekra zertifizierte Datenschutzmanagement der Telekom.
- CSA STAR: Die CSA-STAR-Zertifizierung ist eine unabhängige Bewertung der Sicherheit eines Cloud-Service-Providers.
- ISO-Zertifizierungen: Die Standardzertifizierung für Rechenzentren heißt ISO 27001.
Was ist bei der Public Cloud zu beachten?
Aber ganz unabhängig von der Branche oder Betriebsgröße gilt für alle Unternehmen: Wollen sie beim Datenschutz auf der sicheren Seite sein, sollten sie bei der Auswahl ihrer Public-Cloud-Services auch noch andere wichtige Punkte beachten, etwa ob das Rechenzentrum zertifiziert ist oder ob der Anbieter mit dem Siegel „Trusted Cloud“ vom Bundesministerium für Wirtschaft und Energie (BMWi) als besonders vertrauenswürdig ausgezeichnet wurde.
Vorteilhaft ist auch, wenn die Infrastruktur auf offenen Architekturen und Standards basiert. Damit lässt sich ein so genannter Vendor Lock-in vermeiden. Kunden sind dann nicht in proprietären Ökosystemen von Cloud-Providern gefangen. Das heißt, beim Wechsel zu einem anderen Anbieter müssen sie nicht mehrere Monate für die Migration ihrer Cloud-Landschaft einplanen. Ein zusätzliches Plus der offenen Architektur ist die breite Community. Sie entwickelt die Open-Source-Lösungen ständig weiter. Die quelloffene Software ist für jeden einsehbar und transparent. Und vor allem: Die Beteiligten sorgen dafür, dass ihre Lösungen allen Richtlinien entsprechen und rechtssicher sind.
Ein weiterer Knackpunkt betrifft den Speicherort der übermittelten Daten: Bei der Open Telekom Cloud beispielsweise befinden sich alle Kundendaten in hochsicheren Twin-Core-Rechenzentren in Deutschland oder den Niederlanden und verbleiben im europäischen, Schrems-II-konformen Rechtsraum. Das Twin-Core-Prinzip bedeutet, dass die Rechenzentren exakt gleich aufgebaut sind. Fällt ein Standort aus, sichert der andere den reibungslosen Betrieb. Um das zu gewährleisten der Rat des Autors an alle Mittelständler: Sie sollten bei ihrer Cloud-Lösung zusätzlich zum erforderlichen rechtlichen Schutzniveau auf eine hochverfügbare Architektur ihrer Cloud-Infrastruktur achten und sich bei Bedarf Beratung einholen.
Quelle: Andreas Falkner