Cloud-Dienste gehören immer mehr zum Büroalltag
Immer mehr Unternehmen in Europa nutzen Cloud-Services US-amerikanischer Dienstleister. Die bekanntesten sind Amazon Web Services (AWS), Google Cloud Platform (GCP), IBM Cloud oder Microsoft Azure. All diese Services beschleunigen das Arbeiten in Teams und entlasten eigene IT-Ressourcen. Diese Cloud-Produkte treiben Datenschützern und Datenschutzbeauftragten den Schweiß auf die Stirn. Denn auch wenn Unternehmen aus den USA zum Einsatz kommen, müssen sie garantieren, dass das Unternehmen die Richtlinien der EU-Datenschutzgrundverordnung (DSGVO) einhält. Ansonsten droht ein möglicher K.O.-Schlag: ein Bußgeld von bis zu 20 Millionen Euro. Die brennende Frage lautet also: Wie sicher sind Daten in den USA?
Privacy Shield gekippt: DSGVO-konformer Datenschutz in den USA derzeit nicht gewährleistet
Sobald personenbezogene Daten auf Servern in den USA landen, ist Vorsicht geboten. Zwar gab es in den letzten Jahren einen verlängerten Arm der DSGVO in die Vereinigten Staaten von Amerika: das sogenannte transatlantische Datenschutzabkommen EU-U.S.-Privacy Shield. Mit einer Zertifizierung konnten US-amerikanische Anbieter von Cloudservices, SaaS- oder Shared Hosting nachweisen, dass sie den europäischen Datenschutzrichtlinien entsprechen. Am 16. Juli 2020 hat der Europäische Gerichtshof das Privacy Shield am gekippt – mit dem sogenannten Schrems-II-Urteil. In den Augen der Richter ist DSGVO-konformer Datenschutz in den USA nicht gewährleistet.
Anbieter von Cloudspeichern, SaaS und Shared Hosting müssen Daten an US-Behörden weiterleiten
US-amerikanische Cloud-Services-Anbieter müssen personenbezogene Daten – etwa Anschrift, Ausweisnummer oder IP-Adresse – auf behördliche oder richterliche Anweisung weiterleiten. Vorausgesetzt, die Daten sind Gegenstand strafrechtlicher Ermittlungen. Das schreibt der sogenannte USA Patriot Act vor – ein Bundesgesetz, das der Kongress nach den Anschlägen am 11. September im Zuge des Krieges gegen den Terrorismus verabschiedet hat. Doch damit nicht genug. Die Anbieter müssen den Anweisungen der Behörden auch dann Folge leisten, wenn die Server nicht in den USA, sondern in Europa stehen. Das schreibt seit März 2018 ein Gesetz namens Cloud Act vor.
Serverstandort in Europa ist keine Garantie
Oftmals begegnet einem die Aussage „wenn die Server nicht in den USA oder China stehen, sind alle auf der sicheren Seite“. Unternehmen müssen trotzdem Fingerspitzengefühl bei der Auswahl von Cloud-Diensten beweisen. Denn: selbst wenn man aus Datenschutzgründen explizit einen Serverstandort in Europa wählt, liegt eine potenzielle Verletzung der DSGVO vor, wenn der Server im Besitz eines amerikanischen Cloud-Providers ist. In diesem Fall ist der Zugriff durch US-Behörden nicht ausgeschlossen. Und das, so der EuGH, stellt einen Verstoß gegen geltendes EU-Datenschutzrecht dar.
Da die Folgen des Urteils selbst für Datenschutzexperten eine Menge Rechtsfragen aufwerfen, ist keinesfalls sicher, dass US-Behörden im Ernstfall nicht doch auf sensible Unternehmensdaten zugreifen könnten.
Umstrittene Alternative zum Privacy Shield: Standardvertragsklauseln und Binding Corporate Rules
Datenschutz-Beauftragte bewegen sich plötzlich in einem Vakuum ohne Rechtssicherheit. Zwar existiert seit dem 4. Juni 2021 die Möglichkeit, für den transatlantischen Datentransfer zu Anbietern von Cloud-Speicher, SaaS und Shared Hosting zwei neue Standardvertragsklauseln (SVK) der Europäischen Kommission zu nutzen. Eine befasst sich mit Verantwortlichen und Auftragsverarbeitern, die andere mit der Übermittlung personenbezogener Daten in Drittländer. Und als Alternative zu Standardschutzklauseln gibt es noch sogenannte Binding Corporate Rules (BCR), bei denen der Datentransfer bindenden Unternehmensrichtlinien folgt. Doch da die Folgen des Urteils selbst für Datenschutzexperten eine Menge Rechtsfragen aufwerfen, ist keinesfalls sicher, dass US-Behörden im Ernstfall nicht doch auf sensible Unternehmensdaten zugreifen könnten.
Einzige Dauerlösung: ein gemeinsames Datenschutzabkommen
Für mehr Datensicherheit wird erst ein neues Datenschutzabkommen sorgen, auf das sich die EU und die USA im Grundsatz bereits geeinigt haben. Das gaben US-Präsident Joe Biden und EU-Kommissionschefin Ursula von der Leyen im März 2022 bekannt. Demnach beschränken neue Regeln und Garantien den Zugriff der US-Geheimdienste auf in der Cloud gespeicherte Unternehmensdaten. Details sind allerdings noch nicht veröffentlicht. Und die Verabschiedung des Abkommens könnte noch einige Monate in Anspruch nehmen.
Cloud-Sicherheit im Mittelstand: Personenbezogene Daten im europäischen Inland belassen
Das Privacy Shield Abkommen ist gekippt, der Nachfolger noch nicht verabschiedet, Standardvertragsklauseln und Binding Corporate Rules bieten keine eindeutige Datensicherheit.
Was tun in dieser Zeit?
1. Möglichkeit: Europäische Unternehmen identifizieren zunächst, mit welchen US-Dienstleistern sie personenbezogene Daten austauschen – denn nur diese sind vom EuGH-Urteil betroffen. Im nächsten Schritt nutzen sie dann eine Rechtsberatung, um herauszufinden, ob ein Datenaustausch noch rechtmäßig vertretbar ist.
2. Möglichkeit: Unternehmen erörtern zeitnah die Chance, ihre personenbezogenen Daten konsequent im europäischen Inland zu belassen. Das gelingt, indem sie auf europäische Cloud-Provider setzen. Zu den DSGVO-konformen Cloudanbietern zählen Your Secure Cloud, luckycloud, Tresorit, pCloud, Leitz Cloud, Teamplace und SecureSafe. Hier ist ein Zugriff durch Behörden ausgeschlossen. Ganz ohne Standardvertragsklauseln oder andere Verträge.
Studie 2024
Der ehrliche Blick in die kaufmännische Abteilung
Die Realität zeigt, dass die kaufmännischen Abteilungen sich in einer digitalen Grauzone bewegen. Dies regt mit Blick auf die aktuellen Herausforderungen zum Nachdenken an.
Machen Sie den Check: Wo stehen Sie mit Ihrem Unternehmen?