Privacy Shield gekippt: So wählen Sie Clouddienste mit Bedacht

Schwere Zeiten für europäische Unternehmen, die Cloudspeicher, SaaS oder Shared Hosting von US-amerikanischen Anbietern nutzen wollen: Das Schrems-II-Urteil hat das Privacy Shield gekippt, ein Nachfolger ist noch nicht verabschiedet. Cloud-Sicherheit im Mittelstand ist also nicht garantiert. Worauf es bei der Wahl eines Cloud-Dienstes zu achten gilt, um die DSGVO einzuhalten und hohe Bußgelder zu vermeiden.

Cloud-Dienste gehören immer mehr zum Büroalltag

Immer mehr Unternehmen in Europa nutzen Cloud-Services US-amerikanischer Dienstleister. Die bekanntesten sind Amazon Web Services (AWS), Google Cloud Platform (GCP), IBM Cloud oder Microsoft Azure. All diese Services beschleunigen das Arbeiten in Teams und entlasten eigene IT-Ressourcen. Diese Cloud-Produkte treiben Datenschützern und Datenschutzbeauftragten den Schweiß auf die Stirn. Denn auch wenn Unternehmen aus den USA zum Einsatz kommen, müssen sie garantieren, dass das Unternehmen die Richtlinien der EU-Datenschutzgrundverordnung (DSGVO) einhält. Ansonsten droht ein möglicher K.O.-Schlag: ein Bußgeld von bis zu 20 Millionen Euro. Die brennende Frage lautet also: Wie sicher sind Daten in den USA?

Privacy Shield gekippt: DSGVO-konformer Datenschutz in den USA derzeit nicht gewährleistet

Sobald personenbezogene Daten auf Servern in den USA landen, ist Vorsicht geboten. Zwar gab es in den letzten Jahren einen verlängerten Arm der DSGVO in die Vereinigten Staaten von Amerika: das sogenannte transatlantische Datenschutzabkommen EU-U.S.-Privacy Shield. Mit einer Zertifizierung konnten US-amerikanische Anbieter von Cloudservices, SaaS- oder Shared Hosting nachweisen, dass sie den europäischen Datenschutzrichtlinien entsprechen. Am 16. Juli 2020 hat der Europäische Gerichtshof das Privacy Shield am gekippt – mit dem sogenannten Schrems-II-Urteil. In den Augen der Richter ist DSGVO-konformer Datenschutz in den USA nicht gewährleistet.

Anbieter von Cloudspeichern, SaaS und Shared Hosting müssen Daten an US-Behörden weiterleiten

US-amerikanische Cloud-Services-Anbieter müssen personenbezogene Daten – etwa Anschrift, Ausweisnummer oder IP-Adresse – auf behördliche oder richterliche Anweisung weiterleiten. Vorausgesetzt, die Daten sind Gegenstand strafrechtlicher Ermittlungen. Das schreibt der sogenannte USA Patriot Act vor – ein Bundesgesetz, das der Kongress nach den Anschlägen am 11. September im Zuge des Krieges gegen den Terrorismus verabschiedet hat. Doch damit nicht genug. Die Anbieter müssen den Anweisungen der Behörden auch dann Folge leisten, wenn die Server nicht in den USA, sondern in Europa stehen. Das schreibt seit März 2018 ein Gesetz namens Cloud Act vor.

Serverstandort in Europa ist keine Garantie

Oftmals begegnet einem die Aussage „wenn die Server nicht in den USA oder China stehen, sind alle auf der sicheren Seite“. Unternehmen müssen trotzdem Fingerspitzengefühl bei der Auswahl von Cloud-Diensten beweisen. Denn: selbst wenn man aus Datenschutzgründen explizit einen Serverstandort in Europa wählt, liegt eine potenzielle Verletzung der DSGVO vor, wenn der Server im Besitz eines amerikanischen Cloud-Providers ist. In diesem Fall ist der Zugriff durch US-Behörden nicht ausgeschlossen. Und das, so der EuGH, stellt einen Verstoß gegen geltendes EU-Datenschutzrecht dar. 

Da die Folgen des Urteils selbst für Datenschutzexperten eine Menge Rechtsfragen aufwerfen, ist keinesfalls sicher, dass US-Behörden im Ernstfall nicht doch auf sensible Unternehmensdaten zugreifen könnten.

Umstrittene Alternative zum Privacy Shield: Standardvertragsklauseln und Binding Corporate Rules

Datenschutz-Beauftragte bewegen sich plötzlich in einem Vakuum ohne Rechtssicherheit. Zwar existiert seit dem 4. Juni 2021 die Möglichkeit, für den transatlantischen Datentransfer zu Anbietern von Cloud-Speicher, SaaS und Shared Hosting zwei neue Standardvertragsklauseln (SVK) der Europäischen Kommission zu nutzen. Eine befasst sich mit Verantwortlichen und Auftragsverarbeitern, die andere mit der Übermittlung personenbezogener Daten in Drittländer. Und als Alternative zu Standardschutzklauseln gibt es noch sogenannte Binding Corporate Rules (BCR), bei denen der Datentransfer bindenden Unternehmensrichtlinien folgt. Doch da die Folgen des Urteils selbst für Datenschutzexperten eine Menge Rechtsfragen aufwerfen, ist keinesfalls sicher, dass US-Behörden im Ernstfall nicht doch auf sensible Unternehmensdaten zugreifen könnten.

Einzige Dauerlösung: ein gemeinsames Datenschutzabkommen

Für mehr Datensicherheit wird erst ein neues Datenschutzabkommen sorgen, auf das sich die EU und die USA im Grundsatz bereits geeinigt haben. Das gaben US-Präsident Joe Biden und EU-Kommissionschefin Ursula von der Leyen im März 2022 bekannt. Demnach beschränken neue Regeln und Garantien den Zugriff der US-Geheimdienste auf in der Cloud gespeicherte Unternehmensdaten. Details sind allerdings noch nicht veröffentlicht. Und die Verabschiedung des Abkommens könnte noch einige Monate in Anspruch nehmen.

Cloud-Sicherheit im Mittelstand: Personenbezogene Daten im europäischen Inland belassen

Das Privacy Shield Abkommen ist gekippt, der Nachfolger noch nicht verabschiedet, Standardvertragsklauseln und Binding Corporate Rules bieten keine eindeutige Datensicherheit.

Was tun in dieser Zeit?

1. Möglichkeit: Europäische Unternehmen identifizieren zunächst, mit welchen US-Dienstleistern sie personenbezogene Daten austauschen – denn nur diese sind vom EuGH-Urteil betroffen. Im nächsten Schritt nutzen sie dann eine Rechtsberatung, um herauszufinden, ob ein Datenaustausch noch rechtmäßig vertretbar ist.

2. Möglichkeit: Unternehmen erörtern zeitnah die Chance, ihre personenbezogenen Daten konsequent im europäischen Inland zu belassen. Das gelingt, indem sie auf europäische Cloud-Provider setzen. Zu den DSGVO-konformen Cloudanbietern zählen Your Secure Cloud, luckycloud, Tresorit, pCloud, Leitz Cloud, Teamplace und SecureSafe. Hier ist ein Zugriff durch Behörden ausgeschlossen. Ganz ohne Standardvertragsklauseln oder andere Verträge.

Ist Ihre IT für die Zukunft gerüstet? Machen Sie den Cloud Check-up!

Von Cyber-Security bis zertifiziertes Hosting: Wenn sie mehr als 5 der folgenden Fragen mit Nein beantworten, sollten Sie über einen Wechsel zu einer Cloud-Software nachdenken.

Marco Maritschnigg
Neue Herausforderungen durch Automatisierung, KI, Big Data und die neue Arbeitswelt wecken das Interesse des studierten Linguisten. Marco teilt seine Erfahrungen im Diamant Blog und schreibt zu aktuellen Trends.

Ihnen hat der Artikel gefallen?