Seit 25. Mai 2018 hat die Datenschutzgrundverordnung (DSGVO) den Datenschutz in Europa gestärkt. Innerhalb Europas wurde der freie Datenverkehr teilweise entbürokratisiert und erleichtert, durch den erhöhten Strafrahmen bei Verstößen gegen Datenschutz und die gestiegene Komplexität der Regelungen wurde das Thema Datenschutz jedoch ein „Dauerbrenner“ in der Compliance. Dazu tragen auch die modernen Entwicklungen der immer stärker international vernetzten IT-Landschaften bei. Doch wie sieht es damit konkret in der Cloud aus? Dieser Frage geht dieser Blogbeitrag nach. 

Datenschutz-Probleme werden nicht „durch die Cloud“ verursacht und auch nicht durch die DSGVO, sondern haben damit zu tun, dass Daten in der Cloud vielfach den europäischen Datenraum verlassen und im Ausland rechtlich weniger geschützt sind als innerhalb der EU. Wie kann ich daher sicherstellen, dass meine Daten in die Cloud dürfen, ohne dass dabei die Grundsätze der DSGVO außer Acht gelassen werden? 

Auf EU-US Privacy Shield folgt Schrems II

Die Probleme mit Datentransfers außerhalb der EU bestehen schon lange. Im Zentrum der öffentlichen Debatte standen dabei meistens die USA, da dort die größten Anbieter außerhalb der EU tätig sind. Schon im Jahr 2000 wurde versucht, mit dem „Safe Harbor“-Abkommen zwischen der US-Regierung und der Europäischen Kommission die Datentransfers auf eine sichere Grundlage zu stellen. 2015 entschied der Europäische Gerichtshof im sog. „Schrems-Urteil“ allerdings, dass dieses Abkommen die Daten der Europäer nicht ausreichend schützte. 

2016 folgte daher der EU-US Privacy Shield. Auf dessen Grundlage war die EU-Kommission der Ansicht, dass die USA europäische Daten auf ihrem Hoheitsgebiet mit Standards behandelt, die dem europäischen Datenschutzniveau vergleichbar sind. Damit sollte sichergestellt werden, dass unter anderem die Cloud-Daten auf US-Servern den höchstmöglichen Schutz nach europäischem Vorbild genießen.

Der Ansicht der EU-Kommission widersprach jedoch der Europäische Gerichtshof (EuGH) vor zwei Jahren, als er auf Basis des sogenannten „Schrems-II-Urteils“ vom 16. Juli 2020 (angelehnt an den österreichischen Juristen Max Schrems, der das Ganze ins Rollen brachte) auch die Vereinbarung zum Privacy Shield aufhob. Immerhin stellte der EuGH in seinem Urteil klar, dass Daten zwischen Europa und den USA unter den in der DSGVO festgelegten – strengeren – Bedingungen weiterhin ausgetauscht werden dürfen. Soweit Unklarheiten bestanden, haben die europäischen Datenschutzbehörden durch die Veröffentlichung ihrer Rechtsansichten und die Europäische Kommission durch neue „Standardvertragsklauseln (SCC)“ diese mittlerweile weitgehend beseitigt. 

Weiterhin stellt sich für die nutzenden Unternehmen die Frage, wie der Cloud Service Provider sicherstellen kann, dass die Cloud-Daten den strengen Maßgaben des Schrems-II-Urteils entsprechen. Daraus haben die bekannten Cloud-Anbieter wie IBM und Microsoft ihre ganz eigenen Konsequenzen gezogen.

IBM und das Schrems-II-Urteil

Lange vor den Diskussionen rund um den europäischen Datenschutz und dessen Einhaltung stellte IBM in einem offenen Brief an seine Kunden eines klar: Die Sicherheit ihrer Daten steht bei IBM immer an erster Stelle, ganz gleich, wo sich diese befinden. Denn „Big Blue“ orientiert sich von jeher an den lokal gültigen Gesetzen und Regeln des jeweiligen Landes, in dem sich die Kunden und die zugehörigen Dienste befinden. Doch wie verhält es sich explizit mit der DSGVO in der IBM-Cloud?

Der Europäische Datenschutzrat hat Anfang 2020 eine Empfehlung herausgegeben, an der sich unter anderem Cloud Service Provider für ein Höchstmaß an datenschutzrechtlichen Maßnahmen beim internationalen Datentransfer orientieren können. IBM folgt dieser Empfehlung uneingeschränkt, und mehr noch: So garantieren zusätzliche Vereinbarungen den sicheren Datenaustausch auf IBM Cloud-Infrastrukturen. Weitere Regelungen seitens IBM sind im zugehörigen LinkedIn-Beitrag nachzulesen.

Microsoft und das Schrems-II-Urteil

Aber auch andere Cloud Service Provider wie Microsoft gehen einen Schritt weiter. So hat das Unternehmen aus Redmond, USA, eine sogenannte EU-Datengrenze eingerichtet. Damit können sämtliche Microsoft-Cloud-Kunden sicher sein, dass ihre Daten ausschließlich innerhalb der europäischen Grenzen verarbeitet und gespeichert werden. Das stellt das Unternehmen mithilfe diverser Verschlüsselungsstandards sicher. Dazu gehört eine Transportverschlüsselung sämtlicher beweglicher Daten mithilfe bestimmter Protokolle wie TLS und PFS, genauso wie die Verschlüsselung der ruhenden Daten mittels des AES-256-Standards. Und soll es noch ein bisschen sicherer sein, lassen sich die Daten innerhalb der Public Cloud wie Microsoft 365 mithilfe des DKE-Standards vor unbefugten Zugriffen schützen.

Weitere Information zum Schutz der Microsoft Cloud im Kontext von Schrems II finden Sie auf der zugehörigen Webseite.

Hinweis und Ausblick

Unabhängig von der technischen Gestaltung muss die Verwendung der Cloud auch den rechtlichen Anforderungen genügen (z.B. korrekte Datenschutzinformationen). In naher Zukunft könnte ein geplanter „Transatlantischer Datenschutzrahmen“ den Austausch mit den USA wieder erleichtern, aber wann dieser eingerichtet wird und ob der Europäische Gerichtshof damit zufrieden sein wird, lässt sich noch nicht vorhersagen. Auch sollte nicht vergessen werden, dass rechtliche und sicherheitstechnische Probleme mit Daten in der Cloud jeden Staat außerhalb der EU betrifft. 

Für den optimalen Schutz Ihrer Cloud-Daten können Sie gerne Kontakt mit uns aufnehmen

Sie haben Fragen zu unserem Datenschutz-Service? Dann freuen wir uns auf Ihre Kontaktaufnahme per E-Mail oder Telefon.