ADMIN
2022
11
2022-10-27T12:00:00
Software-definierte Infrastrukturen
AKTUELL
010
Interview
Recht
Cloud
Interview
»Eine Speicherung in der EU bietet nur dann Schutz, wenn kein US-Unternehmen involviert ist!«
Redaktion IT-Administrator
Veröffentlicht in Ausgabe 11/2022 - AKTUELL
Das Geschäft mit der Cloud boomt bei den riesigen Datenmengen, die in der Welt eine sichere Bleibe brauchen. Dabei geht es aber auch um die Grenzen der Datenspeicherung. Wir sprachen zu rechtlichen und organisatorischen Fragen von Daten in der Cloud mit Rechtsanwalt Stefan Breider von Rödl & Partner.

IT-Administrator: Was sind die zentralen Aspekte, die Unternehmen bei der Nutzung von Clouddiensten beachten sollten?
Stefan Breider: Zentrale Aspekte sind der rechtliche und technische Schutz von Daten. Bevor darüber entschieden wird, Clouddienste zu nutzen, steht zu Anfang aber die Analyse, welche Art von Daten im Unternehmen überhaupt gespeichert werden, wo diese anfallen und in welcher Menge. Bei jeglicher Cloudlösung ist zu berücksichtigen, dass neben behördlichen Zugriffen auch ein Unsicherheitsfaktor hinsichtlich Hackerangriffen besteht. Personenbezogene Daten unterliegen daher einem besonderen Schutzbedürfnis.
Gibt es auch bestimmte versicherungsrechtliche Merkmale, die erfüllt sein müssen – gerade auch vor dem Hintergrund von Hackerangriffen?
IT-Administrator: Was sind die zentralen Aspekte, die Unternehmen bei der Nutzung von Clouddiensten beachten sollten?
Stefan Breider: Zentrale Aspekte sind der rechtliche und technische Schutz von Daten. Bevor darüber entschieden wird, Clouddienste zu nutzen, steht zu Anfang aber die Analyse, welche Art von Daten im Unternehmen überhaupt gespeichert werden, wo diese anfallen und in welcher Menge. Bei jeglicher Cloudlösung ist zu berücksichtigen, dass neben behördlichen Zugriffen auch ein Unsicherheitsfaktor hinsichtlich Hackerangriffen besteht. Personenbezogene Daten unterliegen daher einem besonderen Schutzbedürfnis.
Gibt es auch bestimmte versicherungsrechtliche Merkmale, die erfüllt sein müssen – gerade auch vor dem Hintergrund von Hackerangriffen?
Eine Versicherungspflicht besteht nicht. Allerdings ist je nach Branche und Sensitivität der Daten natürlich eine Absicherung gegen ein Abhandenkommen der Daten empfehlenswert. Dabei ist ein Schaden gerade bei personenbezogenen Daten nur schwer im Vorhinein quantifizierbar. Auch können durch Hackerangriffe oder Diebstähle direkte oder indirekte Schäden an der eigenen Infrastruktur entstehen. Direkt indem etwa Serverinfrastruktur erneuert werden muss, indirekt wenn die Datenintegrität erneuert oder Gerichtsverfahren geführt werden müssen. Daher sind Versicherungen mit Dritt- und Eigenschaden-Abdeckung sinnvoll.
Was ist mit Haftungsfragen und wie sieht ein bestmöglicher Schutz von sensiblen Daten aus?
Beim Schutz ist die Datenverarbeitung in den Blick zu nehmen. So muss diese Anforderung der Datenschutzgrundverordnung, kurz DSGVO, entsprechen. Insbesondere sollten IT-Verantwortliche sensible Daten verschlüsselt und anonymisiert speichern und den Schlüssel getrennt sichern. Des Weiteren empfiehlt es sich, die Daten in ortsgetrennten Rechenzentren abzulegen. Bei einer Datenpanne ist vor allen Dingen die Benachrichtigung in den Blick zu nehmen, entweder der Aufsichtsbehörde oder der Betroffenen.
Was sind die gesetzlichen Grundlagen des Datenschutzes in Europa?
Zunächst sind die DSGVO sowie die nationalen Datenschutzgesetze zu nennen, die jedem Bürger das in der Charta der Grundrechte der Europäischen Union sowie dem Vertrag über die Arbeitsweise der Union garantierte Grundrecht auf Datenschutz zusprechen. Daneben gibt beziehungsweise gab es für die Datenübermittlung in sogenannte Drittländer auch bilaterale Abkommen wie etwa zuletzt das Privacy Shield mit den USA.
»Es ist fraglich, ob die hohen DSVGO-Anforderungen bei Datenübertragungen in die USA überhaupt zu gewährleisten sind.«
Sie sprechen in der Vergangenheitsform, wieso?
Eine datenschutzkonforme Übermittlung personenbezogener Daten in die USA, insbesondere an die großen Cloudanbieter, war bislang von dem sogenannten Privacy Shield als abgedeckt angesehen. Mit seiner Schrems-II-Entscheidung vom 16. Juli 2020 hat der EuGH dieses für unwirksam erklärt. Dadurch sind Datenübermittlungen in die USA nicht mehr auf Grundlage des Privacy Shield möglich. Das Urteil stellt darauf ab, dass die nachrichtendienstlichen Überwachungsgesetze in den USA die Möglichkeit vorsehen, auf geschützte Daten zuzugreifen. Insbesondere die großen Internetkonzerne seien verpflichtet, den US-Behörden die Daten zugänglich zu machen.
Gibt es denn gar keine Möglichkeit mehr, rechtskonform personenbezogene Daten in die USA zu übermitteln beziehungsweise Public-Cloud-Angebote von amerikanischen Anbietern zu nutzen?
Auch wenn ein Teil der Datenübertragung in die USA auf Grundlage des Privacy- Shield-Urteils nun unrechtmäßig ist, bleibt eine Datenübertragung, unter Verwendung der von der Kommission erarbeiteten sogenannten Standardvertragsklauseln, weiterhin grundsätzlich möglich. Fraglich ist jedoch, ob die hohen Anforderungen des europäischen Datenschutzes im Fall der Datenübertragung in die USA überhaupt gewährleistet werden können. Denn den betroffenen Personen müssen nicht nur geeignete Garantien zugutekommen, sondern auch durchsetzbare Rechte sowie wirksame Rechtsbehelfe zur Verfügung stehen. Bei der Beurteilung des Datenschutzniveaus ist ferner ein etwaiger Zugriff der Behörden dieses Drittlands auf die übermittelten personenbezogenen Daten zu berücksichtigen. Weiter spielen die maßgeblichen Elemente der Rechtsordnung dieses Landes, unter anderem das Bestehen von Aufsichtsbehörden, Sicherheitsvorschriften et cetera eine Rolle. Problematisch ist mit Blick auf die großen Cloudanbieter in den USA allerdings, dass der EuGH in seiner Schrems-II-Entscheidung ausdrücklich festgestellt hat, dass auf Grund der in den USA bestehenden geheimdienstlichen Zugriffsmöglichkeiten und dem nicht vorhandenen Rechtsschutz für die Betroffenen kein gleichwertiges Datenschutzniveau in den USA besteht. Eine Übermittlung von Daten mithilfe der Standardvertragsklauseln ist in die USA daher nur mithilfe zusätzlicher Maßnahmen wie Verschlüsselung und Anonymisierung möglich. Dies stellt meist jedoch keine praktikable Lösung für die Mehrzahl der Datentransfers in die USA dar, wenn die Daten dort nicht entschlüsselt werden können. Am Ende kann das Problem staatlicher Überwachung in einzelnen Drittstaaten wie zum Beispiel China oder den USA nicht durch die datenexportierenden Unternehmen gelöst werden, sondern es muss letztlich eine politische Lösung geben, wie etwa eine Adjustierung der US-Sicherheitsgesetze, soweit es um einen Transfer in die USA geht.
Ist hier denn eine politische Einigung in Sicht?
Ein klares "Jein" – zumindest gibt es erste politische Signale. So haben die Vereinigten Staaten und die Europäische Kommission in einer Pressemitteilung vom 25. März 2022 zwar bekanntgegeben, dass man sich zu einem neuen Transatlantischen Datenschutzrahmen verpflichtet habe, der den transatlantischen Datenverkehr fördern und die vom Europäischen Gerichtshof geäußerten Bedenken ausräumen soll. Bislang handelt es sich jedoch lediglich um eine politische Einigung. Details zu dem neuen Transatlantischen Datenschutzrahmen wurden noch nicht bekanntgegeben. Hier wird es darauf ankommen, ob es gelingt, die Anforderungen, die der Europäische Gerichtshof in seiner Schrems-II-Entscheidung aufgestellt hat, umzusetzen.
Es gibt doch auch Angebote, dass die Daten auf einem europäischen Datenserver liegen sollen, wäre das keine gangbare Lösung?
Eine Speicherung ausschließlich in der EU bietet nur dann Schutz, wenn kein US-Unternehmen involviert ist. So könnte selbst bei einem Rechenzentrumsstandort in Europa eines US-Providers ein zumindest mittelbarer Datenzugriff der amerikanischen Geheimdienste erfolgen. Insofern wäre die Lösung, einen europäischen Anbieter zu wählen, der eine DSGVO konforme Lösung anbietet und gegen den die amerikanischen Geheimdienste keine Zugriffsmöglichkeit haben. Ansonsten besteht noch die Option, die Daten zu splitten, also die sensiblen, personenbezogenen oder sicherheitskritischen Daten auf europäischen Lösungen zu speichern, während die als unkritisch einzustufenden Daten je nach Unternehmensrichtlinie auch auf einem amerikanischen Server liegen könnten.
Ist eine solche Mischform eine praktikable Option?
Im Grunde bedeutet es erst einmal sehr viel Aufwand: Die Daten müssen vorab analysiert, kategorisiert und auf die entsprechenden Server übertragen werden. Im Betrieb muss dann sichergestellt sein, dass jeder Mitarbeiter zu jedem Zeitpunkt auf die gerade benötigten Daten Zugriff hat. Die verschlüsselten Dateien müssen bei jedem Zugriff erst wieder entschlüsselt und nach diesem dann wieder verschlüsselt werden, das kostet, um einen gegenüber den Zugriffen der amerikanischen Geheimdienste Gewähr bietenden Schutz sicherzustellen, viel Zeit. Es muss schon sehr gute Gründe geben, um diesen Aufwand und das Risiko, dass es nachträgliche Inkonsistenzen oder Datenschutzprobleme gibt, zu rechtfertigen.
Wie ist denn die Haltung der Datenschutz-Aufsichtsbehörden in Sachen Cloudanwendungen?
Die Aufsichtsbehörden sind sensibilisiert. Dies gilt sowohl für den privatwirtschaftlichen Unternehmensbereich als auch für die Nutzung von Clouddiensten durch die öffentliche Verwaltung. So haben die Aufsichtsbehörden in Deutschland Unternehmen jetzt bundesweit wegen der Nutzung von US-Clouddiensten wie Amazon, Microsoft oder Google ins Visier genommen und zum Teil gezielt angeschrieben, ob und auf welcher Grundlage bei der Nutzung dieser Dienste personenbezogene Daten in die USA übermittelt werden. Daneben haben die nationalen Aufsichtsbehörden im gesamten europäischen Wirtschaftsraum ebenfalls auf der Basis von Fragebögen Untersuchungen zur Nutzung von Cloud- diensten durch den öffentlichen Bereich eingeleitet. Dem Vernehmen nach soll nach Auswertung der Antworten auf den Fragebogen auf nationaler Ebene über mögliche Aufsichts- und Durchsetzungsmaßnahmen entschieden werden.
Vielen danken für das Gespräch!