US-Clouds und Datenschutz – worauf Unternehmen achten müssen

Tresor in Form einer Wolke

Titelbild: © Slavoljub Pantelic/Shutterstock.com

Die Klagen gegen das Datenschutzabkommen Privacy Shield haben deutsche Unternehmen verunsichert: Können sie noch guten Gewissens die Cloud-Dienste von US-Providern nutzen? Und welche Alternativen gibt es?

Laut „Cloud-Monitor 2016“ von Bitkom und KPMG setzt bereits jedes zweite Unternehmen in Deutschland auf Cloud-Computing, bezieht also Rechenleistung, Speicherplatz oder Software von einem Cloud-Anbieter. Gleichzeitig ist laut aktuellem Report „IT-Sicherheit und Datenschutz 2017“ der Nationalen Initiative für Informations- und Internet-Sicherheit (NIFIS) für mehr als 90 Prozent der befragten Mittelständler in Deutschland Datenschutz das wichtigste IT-Sicherheitsthema 2017. Wie bringt ein Unternehmen aber beide Aspekte zusammen?

Privacy Shield nicht sicherer als Safe Harbor

Clouds deutscher Anbieter sind in Sachen Datenschutz unproblematisch. Mit Amazon, Microsoft, IBM und Google sitzen jedoch die vier meistgenutzten Cloud-Provider in den USA. Da der US-Datenschutz nicht dem hohen Niveau des deutschen Bundesdatenschutzgesetzes entspricht, wie auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) feststellt, sind daher spezielle Regelungen nötig, wollen deutsche Unternehmen personenbezogene Daten ihrer Angestellten oder Kunden auf US-Server übertragen. Zwar ist Safe Harbor, das umstrittene Datenschutzabkommen zwischen EU und USA, Geschichte – doch auch mit dem Inkrafttreten der Nachfolge-Regelung Privacy Shield sind US-Clouds kein sicherer Hafen für die Daten deutscher Nutzer.

Das neue Abkommen zwischen der Europäischen Kommission und dem US-Handelsministerium ist zwar momentan rechtskonform, da die EU den US-Unternehmen, die sich unter dem Privacy Shield zertifizieren lassen, ein angemessenes Datenschutzniveau bei der Übermittlung und Verarbeitung personenbezogener Daten europäischer Bürger auf US-Servern bescheinigt. Doch auch dieses Abkommen war Datenschützern von Beginn an ein Dorn im Auge: Es gebe keine Regelung, die eine Massenüberwachung durch US-Geheimdienste verhindere und weiterhin für EU-Bürger keine Möglichkeit, der kommerziellen Nutzung ihrer Daten durch US-Unternehmen zu widersprechen, befand zunächst die unabhängige Article 29 Working Party, die die Europäische Kommission in Fragen des Datenschutzes berät. Zwar wurde ein Ombudsmann als Vermittler im US-Handelsministerium installiert, bei dem sich EU-Bürger beschweren können. Allerdings: „Wenn dieser Ombudsmann etwa eine Anfrage an Facebook stellt bezüglich des Umgangs mit personenbezogenen Daten, und dann keine Antwort erhält, ist er machtlos“, sagt Dr. Hans Markus Wulf, Fachanwalt für IT-Recht aus Hamburg. „Er kann dann zwar die US-Regierung informieren. Sanktionen gegen das Unternehmen kann er jedoch nicht aussprechen.“

Klagen könnten Privacy Shield kippen

Bürgerrechtsorganisationen aus Irland und Frankreich haben bereits vor dem Gericht der Europäischen Union (EuG) Nichtigkeitsklagen gegen den Privacy Shield eingereicht. Sollten die Klagen zugelassen werden, könnte auch das neue Abkommen – wie schon Safe Harbor – in letzter Instanz vom Europäischen Gerichtshof (EuGH) gekippt werden. Die Verfahren könnten sich allerdings noch ein bis zwei Jahre hinziehen, so Wulf. Auch wenn die Nichtigkeitsklagen wegen Unzulässigkeit abgewiesen würden, so könnten jedoch weitere Klagen von betroffenen Personen folgen.

„Die deutschen Datenschutzbehörden sind im Standby-Modus und schauen sich die Umsetzung des Abkommens erst einmal an. Weder US-Unternehmen noch US-Geheimdienste haben in der Vergangenheit Safe Harbor ernst genommen – so könnte es jetzt auch beim Privacy Shield laufen“, warnt Wulf. „Kommt es zu einem weiteren Zwischenfall  wie bei Snowden, der beweist, dass sich die US-Geheimdienste an ihre Zusagen nicht halten, dann wird die EU-Kommission gezwungen sein, dieses Abkommen wieder aufzukündigen und ihre Angemessenheitsentscheidung zurückzunehmen.“

Unsicherheit macht sich breit

Für Unternehmen bedeute dies vor allem eines: Unsicherheit. „Als Nutzer eines US-Cloud-Providers unter Inanspruchnahme von US-Servern weiß man nicht, ob man vielleicht doch in ein, zwei Jahren seine Daten dort abziehen muss“, sagt Wulf. Und selbst gegen die EU-Standardvertragsklauseln, die Unternehmen mit Vertragspartnern im Nicht-EU-Ausland abschließen können, läuft bereits eine Klage. Sie werden von den Datenschutzbehörden zwar noch akzeptiert, doch sei hier mit hoher Wahrscheinlichkeit mit einer Ungültigerklärung durch den EuGH zu rechnen, so Wulf.

Welche Alternativen haben also Unternehmen, um ihre Daten zuverlässig zu schützen? US-Betreiber wissen um die Bedenken europäischer Kunden und bieten vermehrt Cloud-Dienste aus europäischen Rechenzentren an: Das Datenschutzniveau in den EU-Mitgliedsstaaten ist laut BfDI vergleichbar hoch und wird durch die neue Datenschutzgrundverordnung (EU-DSGVO), die bis Mai 2018 von allen EU-Mitgliedsstaaten umgesetzt werden muss, noch aufgewertet.

Fernzugriff als Sicherheitslücke

Doch auch hier gibt es ein Restrisiko: Ein Datentransfer bedeutet laut Wulf in den seltensten Fällen, dass ein deutsches Unternehmen schlicht per E-Mail Personendaten an ein ausländisches Unternehmen übermittelt. Häufig erfolge der Datentransfer per Fernzugriff, etwa indem sich der Buchhalter der US-Tochter eines deutschen Konzerns auf dem deutschen Server einlogge und Personendaten abrufe. Damit übertrage er aber möglicherweise gleichzeitig Daten von EU-Bürgern in den Arbeitsspeicher seines US-Computers.

Oder es könnte beispielsweise ein Wartungszugang eingerichtet sein, damit der Servicemitarbeiter eines US-Softwareanbieters ein Problem mit einer Anwendung auf einem EU-Server behebt. So würde aber faktisch Zugriff aus den USA auf europäische Server und womöglich personenbezogene Daten gewährt – was datenschutzrechtlich hohen Anforderungen unterliegt. Ebenso könnte ein US-Provider durch den Beschluss eines US-Gerichts gezwungen werden, Daten herauszugeben. Das betrifft selbst deutsche Töchter von US-Unternehmen mit Servern in Deutschland.

Deutsche Cloud aus deutschen Landen

„Mittelständler, die heute vor großen Investitionen in das IT-Outsourcing stehen, sollten die datenschutzrechtliche Situation von allen Seiten beleuchten“, rät daher IT-Rechtler Wulf. „Es ist anzuraten, ausschließlich EU-Server zu verwenden. Soweit US-Provider trotz der aktuell unsicheren Rechtslage beauftragt werden, so wäre wohl aus meiner Sicht das sogenannte Treuhandmodell zu bevorzugen, wonach die US-Dienste in Rechenzentren deutscher Provider gehostet werden.“

Deutsche Cloud-Dienste deutscher Provider von deutschen Servern können genauso leistungsfähig sein – und sie sind langfristig rechtskonform: Denn ein Geschäftsführer muss wissen, dass er nach § 43 GmbHG auch persönlich in die Haftung genommen werden kann“, erklärt Wulf. Noch beträgt das Bußgeld, das Datenschutzbehörden gegen Unternehmen je Einzelfall verhängen können, maximal 300.000 Euro. Zukünftig werden dies beim Cloud Computing zehn Millionen oder zwei Prozent des weltweiten Jahresumsatzes sein. „Wer das jetzt erkennt, stellt sich rechtzeitig so auf, dass er dieses Risiko in Zukunft nicht eingehen muss“, rät Wulf. Sicherlich sei der Umzug von Daten zu einem neuen Anbieter je nach Umfang ein großer Aufwand. Unternehmen sollten daher Schritt für Schritt vorgehen und insbesondere die sensiblen Daten nur auf deutschen Servern hosten.

Dieser Artikel erschien ursprünglich auf Digitales-Wirtschaftswunder.de, dem Themenblog der QSC AG

Beitrag bewerten
Drucken

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Um die Diskussionsqualität zu wahren, veröffentlichen wir nur noch Kommentare mit nachvollziehbarem Vor- und Nachnamen sowie authentischer E-Mail-Adresse. Bitte beachten Sie zudem unsere Social Media Guidelines.