Privacy Shield-Aus: Aufsichtsbehörden nehmen US-Cloud-Kunden ins Visier

Veröffentlicht am: 26. April 2021 Autor: Ralf Koenzen Veröffentlicht in Netzpolitik Keine Kommentare

„Deutsche Firmen in der Datenschutzfalle – Behörden intensivieren Ermittlungen wegen US-Cloud-Nutzung“, mit dieser Headline sorgte das Handelsblatt hierzulande jüngst für Unruhe bei CIOs und IT-Verantwortlichen. Hintergrund war eine Ankündigung der deutschen Datenschutzaufsichtsbehörden, fortan bundesweit gegen datenschutzrechtlich unzulässige Nutzungen von US-Cloud-Diensten vorzugehen. Das Novum: Man wolle nicht erst auf Beschwerden hin auf die Unternehmen zugehen – sondern proaktiv, wie der Hamburger Datenschützer Johannes Caspar dem Handelsblatt bestätigte.

Für all jene, die trotz des Aus des EU-US-Datenschutzabkommens Privacy Shield im vergangenen Juli unverändert personenbezogene Daten in Clouds von US-Anbietern verarbeiten, ist die Schonfrist jetzt unwiderruflich vorbei. Es drohen Bußgelder, Reputationsschäden und Schadensersatzforderungen.

Das EuGH-Urteil vom Juli 2020

Immerhin knapp neun Monate haben die Aufseher Cloud-Kunden Zeit gegeben, sich auf die neue rechtliche Situation einzustellen. Am 16. Juli 2020 hatte der Europäische Gerichtshof in einem wegweisenden Urteil befunden, dass die USA kein angemessenes Schutzniveau für die Daten europäischer Bürger:innen bieten. Mit dem „Schrems II“-Urteil – benannt nach dem österreichischen Datenschutzaktivisten Max Schrems – verlor die Nutzung vieler US-amerikanischer Cloud-Lösungen durch die Entwertung des Privacy Shields quasi über Nacht ihre rechtliche Grundlage.  

Hohe Hürden für Datentransfers

Auch die von vielen US-Cloud-Anbietern postwendend als Privacy Shield-Ersatz aus dem Hut gezauberten Standardvertragsklauseln können das Dilemma alleine nicht lösen. Denn jeder „Datenexporteur“ – also einfacher gesagt: jeder Kunde eines US-Cloud-Anbieters – muss bei der Nutzung dieser Klauseln auf Einzelfallbasis prüfen und sicherstellen, dass die USA ein angemessenes Schutzniveau für die Daten bieten und die betroffenen Bürger:innen ihre Rechte auch wirksam durchsetzen können. Stand heute: ein Ding der Unmöglichkeit.

„In der Tat wird es Situationen geben, insbesondere wenn der Zugriff zu Überwachungszwecken erfolgt, in denen es nur mit technischen Maßnahmen möglich ist, den Zugriff staatlicher Stellen im Drittland auf personenbezogene Daten zu verhindern oder ineffektiv zu machen“, stellen so auch die Experten des European Data Protection Board (EDPB) in einer Handreichung zum Urteil fest.

Allerdings gibt es viele Fälle, in denen genau diese technische Absicherung – beispielsweise über Verschlüsselung oder Pseudonymisierung – nicht möglich ist, weil der Cloud-Dienst Zugriff auf die Klardaten benötigt.  

Compliance-Risiken im Unternehmensnetz

Das Netzwerkmanagement aus der Cloud bzw. Software-defined Networking ist genau einer dieser Fälle. Um die Netze optimal und hochautomatisiert zu steuern, müssen fortlaufend personenbezogene Daten der Netzwerknutzer (u. a. Mac- und IP-Adressen) in der Management Cloud verarbeitet werden – und zwar unverschlüsselt. Das betrifft die Daten von Mitarbeiter:innen, Kund:innen und Gästen gleichermaßen. Oder beispielsweise auch die von Schüler:innen oder Patient:innen – je nachdem, in welcher Branche das Netz zum Einsatz kommt.

Hinzu kommt: Die Cloud-Management-Lösung für ein Netzwerk lässt sich in der Regel nicht frei wählen. Bei den meisten marktüblichen Lösungen ist die Netzwerk-Hardware (WLAN Access Points, Router, Switches) fest mit der Cloud-Lösung des Herstellers verbunden.

Für all jene, die ein Cloud-basiertes Netz eines US-Herstellers (oder eines anderen Anbieters aus einem sogenannten „unsicheren Drittstaat“ wie beispielsweise China) nutzen – sei es als SD-WAN, Cloud-managed WLAN oder auch in der Form eines SD-Branch – heißt das: ihr Netzwerk lässt sich i. d. R. nicht mehr datenschutzkonform und somit nicht mehr legal betreiben. Das gilt sowohl für die Neuanschaffung bzw. Erweiterungen eines solchen nicht-DSGVO-konformen Netzes, aber auch für bereits vorhandene Installationen.

Auch der Jurist und Datenschutzexperte Dr. Eric Heitzer kommt in einem eigens zum Thema „Compliance-Risiken in Unternehmensnetzen minimieren“ verfassten Papier vom Februar 2020 zu dem eindeutigen Schluss, dass „die Realisierung SDN-basierter Unternehmensnetze durch US-amerikanische Anbieter gegen geltendes Datenschutzrecht [verstößt].“

Studie des US-Kongresses bestätigt EuGH-Sicht

Spannend ist in diesem Zusammenhang auch ein Bericht zu den Folgen des Schrems II-Urteils für den transatlantischen Datenverkehr, den der „Congressional Research Service“ – der wissenschaftliche Dienst – des US-Kongresses Mitte März veröffentlich hat. Hier wird die EuGH-Sicht nicht etwa negiert, sondern nachvollzogen. So kommen die Verfasser ebenfalls zu dem Schluss, dass die US-Geheimdienstgesetze – allen voran Sektion 702 des Foreign Intelligence Surveillance Act (FISA) und die Executive Order 12333 – einen Widerspruch zum Anspruch auf den Schutz personenbezogener Daten darstellen und Nicht-US-Bürger:innen keine wirksamen Mittel zur Verfügung stehen, ihre Rechte gegen Überwachung und Datensammeln durchzusetzen.

Aussitzen ist keine Strategie

Damit dürfte auch der letzte Hoffnungsschimmer auf eine baldige Lösung erloschen sein. Denn die entsprechend notwendigen Gesetzes- und Verfassungsänderungen wären komplex und bräuchten Zeit. Und dass sich die Differenzen beim Datenschutzniveau auf rein diplomatischem Weg werden auflösen lassen, daran haben selbst die Verfasser des US-Berichts erhebliche Zweifel.

Unternehmen, die Cloud-basierte Lösungen nutzen, die Produktiv- bzw. Klardaten verarbeiten, müssen daher nun umgehend auf Compliance-feste Alternativen umsteigen. Wirklich verlässliche Rechtssicherheit bieten hier Lösungen, die qua Herkunft europäischem Recht unterliegen. Keinen Ausweg eröffnet hingegen die Verlagerung der Daten in ein europäisches Rechenzentrum des US-Anbieters. 

Blick über die Wirtschaft hinaus

Es war zu erwarten, dass die Datenschutzaufsicht über kurz oder lang dazu übergehen würde, Verstöße auch tatsächlich zu ahnden. Angesichts der sehr klaren Rechtslage gibt es daran keinen Zweifel, wie der Baden-Württembergische Landesdatenschutzbeauftragte Stefan Brink ebenfalls gegenüber dem Handelsblatt betonte. Als etwas irritierend empfang ich persönlich jedoch die reine Fokussierung der Datenschutzaufsicht auf die Wirtschaft. In unserem täglichen Geschäft erleben wir, dass nicht nur in Unternehmen die nötigen Konsequenzen aus dem EuGH-Urteil auf sich warten lassen. Gerade in der öffentlichen Hand, die ja eigentlich vorbildlich agieren und mit gutem Beispiel vorangehen müsste, werden auch heute noch vielerorts Cloud-Lösungen betrieben oder gar neu beschafft, die sich nach derzeitigem Stand nicht rechtskonform nutzen lassen. Mindestens ebenso groß ist das Problem in Schulen – Stichwort DigitalPakt – und Universitäten oder im Gesundheitssektor. Auch hier sollte der datenschutzrechtlich unzulässige Einsatz von US-Cloud-Lösungen endlich ein Ende haben.

Verwandte Posts

Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.