Open Telekom Cloud | Der Rechtsexperte Dr. Hans Markus Wulf weiß: Datenschutz bieten sicher nur Provider mit deutschen Servern.
Interview

Rechtsgefahren liegen im Ausland.

Interview mit Dr. Hans Markus Wulf, IT-Rechtsexperte der renommierten Sozietät SKW Schwarz mit über 25 IT- und Datenschutzanwälten.

Die Rechtslage zum Datenschutz bei der Nutzung von Cloud-Diensten ist derzeit schwer überschaubar. Woran liegt das konkret, und existiert eine besondere Rechtsunsicherheit für deutsche Unternehmen bei der Nutzung ausländischer Cloud-Dienste?

Das Problem liegt im Transfer personenbezogener Daten auf ausländische Server. Innerhalb der Europäischen Union oder dem Europäischen Wirtschaftsraum ist der Transfer zumeist kein Problem, denn das Bundesdatenschutzgesetz (BDSG) sieht in § 4b eine Privilegierung vor. Sobald die Daten jedoch den Bereich der EU/EWR verlassen, erfordert das Gesetz in dem Land des Datenempfängers ein angemessenes Datenschutzniveau. Das US-amerikanische Datenschutzgesetz weist ein solches Niveau nicht auf, deshalb darf man grundsätzlich keine personenbezogenen Daten auf US-Servern speichern. 

… aber es gibt Ausnahmen?

Richtig, eine Ausnahme war bislang das so genannte Safe-Harbour-Abkommen zwischen EU-Kommission und dem US-Handelsministerium, welches den Datentransfer auf US-Server erlaubte, wenn der US-Serverbetreiber Safe-Harbour-zertifiziert war; denn dessen Datenschutzniveau wurde durch die Zertifizierung quasi auf ein angemessenes Level gehoben.
Das Safe-Harbour-Abkommen wurde jedoch im Oktober 2015 vom Europäischen Gerichtshof für ungültig erklärt, denn die umfassende Datenüberwachung durch US-Geheimdienste, offenbart durch Edward Snowden, stand einem angemessenen Datenschutzniveau entgegen. Der Datentransfer auf US-Server war daher – jedenfalls soweit keine sonstigen Ausnahmen wie EU-Standardvertragsklauseln oder Binding Corporate Rules vorlagen – auf einen Schlag unzulässig geworden. Deutsche Unternehmen mussten schnell umstellen, zumal die Datenschutzbehörden ankündigten, bereits Ende Januar 2016 eine Entscheidung über Sanktionen zu treffen. Diejenigen Unternehmen, die bis dahin nicht umgestellt hatten – beispielsweise auf Standardvertragsklauseln – mussten nun mit Bußgeldern bis zu 50000 Euro rechnen. Getroffen hat es kürzlich drei Firmen, die weiterhin US-Server zur Speicherung ihrer Daten verwendeten, ohne die rechtlichen Voraussetzungen hierfür zu erfüllen.

Und diesen Sommer kam es dann zu einer Neuordnung?

Ja, im Juli 2016 wurde nun ein neues Safe-Harbour-Abkommen verkündet, das sogenannte US-Privacy-Shield. Es enthält zwar höhere Anforderungen an US-Unternehmen, allerdings sind die Zugeständnisse der US-Regierung sehr bescheiden ausgefallen, insbesondere wenn es um Transparenz und Kontrolle geht. Kritiker sind daher zuversichtlich, dass auch das neue Privacy-Shield aufgehoben werden wird. Entsprechende Klagen wurden in Frankreich und Irland bereits anhängig gemacht.
Auch die beiden Alternativen (EU-Standardvertragsklauseln, Binding Corporate Rules) stehen auf wackeligen Beinen, denn die Überwachung von transferierten Daten durch US-Behörden findet weiterhin statt, und die irische Datenschutzbehörde hat bereits angekündigt, auch die EU-Standardvertragsklauseln vor dem EuGH überprüfen zu lassen. 
Wo stehen deutsche Unternehmen also? Safe-Harbour ist tot, US-Privacy-Shield und EU-Standardvertragsklauseln stehen auf wackeligen Beinen. Die Verwendung von US-Servern ist daher mit nicht unerheblichen Risiken verbunden.

Sehen Sie bei Public Cloud Services zudem weitere typische Rechtsgefahren?

Public Cloud Services haben einerseits den Nachteil zur Private Cloud, dass der Standort der Daten für den Nutzer häufig nicht ermittelbar ist. Bei internationalen Cloud-Anbietern werden sensible Personendaten auch außerhalb der EU gehostet, mit den oben beschriebenen Gefahren.
Andererseits sind Server der Public Cloud für eine Vielzahl von Nutzern zugänglich, Schnittstellen lassen sich daher leichter angreifen. Die gesetzlichen Anforderungen an die IT-Sicherheit (insb. §§ 9, 11 BDSG) lassen sich so schwerer erfüllen, zumal der Systemzugang zur Public Cloud zu Zwecken der Benutzerfreundlichkeit bei einigen Anbietern geringer abgesichert ist.

Datenschutzkonforme Cloud-Nutzung: Wie stellen Unternehmen diese bestenfalls sicher?

Die oben beschriebene Unsicherheit betrifft insbesondere Cloud-Anbieter mit Sitz im EU-Ausland. Da die großen Anbieter in den USA ansässig sind und dort den Großteil ihrer Server betreiben, besteht das Risiko, dass personenbezogene Daten der deutschen Unternehmen auf diesen US-Servern landen.
Ziel muss es daher für Unternehmen sein, dass die Mitarbeiter-, Kunden- und Lieferantendaten mit Bezug auf konkrete Ansprechpartner ausschließlich auf Servern gespeichert sind, die innerhalb der EU/EWR liegen, bestenfalls innerhalb Deutschlands, denn hier gelten mit die höchsten Sicherheitsstandards.

Viele ausländische Cloud-Provider bauen nun in Deutschland Data Center auf. Was müssen diese aber über den reinen Standort hinaus leisten, damit die Nutzung dieser Dienste für Unternehmen Rechtssicherheit bringt?

Der Bau von Rechenzentren in Deutschland durch US-Provider ist ein wesentlicher Schritt in die richtige Richtung. Unternehmen, die sich zusichern lassen, dass ihre personenbezogenen Daten ausschließlich auf diesen deutschen Servern gehostet werden und dies auch überprüfen, müssen sich von den Datenschutzbehörden deutlich weniger Fragen stellen lassen, denn nun ist zumindest der Standort der Daten klar definiert. Dennoch gibt es auch bei dieser Konstellation zwei Schwachstellen, die nur teilweise zu beseitigen sind:

Im Detail?

Erstens gibt es bei deutschen Rechenzentren von US-Providern häufig einen Wartungszugriff durch US-Mitarbeiter (Remote), insbesondere außerhalb deutscher Geschäftszeiten. US-Techniker wählen sich dann auf die deutschen Server ein und beheben das technische Problem, können jedoch theoretisch auch auf andere Daten auf dem Server zugreifen, sodass es zum Datentransfer auf den Server des US-Mitarbeiters kommen kann. Unternehmen sollten daher vertraglich sicherstellen, dass es nicht zu einem solchen US-Wartungszugriff kommt.
Und zweitens gibt es weiterhin eine Datenüberwachung durch US-Regierungsbehörden, insbesondere der NSA. Die Sicherheitsvorschriften der USA erlauben es trotz Privacy-Shield, Daten von US-Konzernen einzusehen, wenn diese für die Aufdeckung und Verhinderung von Terrorgefahren relevant sind. Diese Befugnis greift auch auf ausländische Tochterunternehmen von US-Konzernen über, sodass noch immer die Gefahr besteht, dass US-Provider gerichtlich verpflichtet werden, Daten ihrer deutschen Tochtergesellschaft herauszugeben. Zwar gab es zuletzt im Juli 2016 ein Urteil des US-Berufungsgerichts in New York, wonach Microsoft sich erfolgreich gegen eine solche Anordnung zur Datenherausgabe von EU-Servern gewehrt hatte. Dieses Urteil hat jedoch keine höchstrichterliche Wirkung, sodass es auch weiterhin möglich ist, dass deutsche Tochterunternehmen einer solchen US-Anordnung auf Druck ihrer US-Muttergesellschaft nachkommen müssen, was wiederum einen unzulässigen Datentransfer darstellen würde.

Und das hat welche Konsequenzen?

Aus datenschutzrechtlicher Sicht gibt es daher bei Inanspruchnahme von US-Providern weiterhin selbst dann noch Restrisiken, wenn diese ihre Server in Deutschland betreiben. Der sicherste Weg ist die Inanspruchnahme von Providern, die ihren Hauptsitz im EU-Inland, bestenfalls Deutschland haben und auch nur hier ihre Server betreiben. Alternativ halte ich auch die Umsetzung sogenannter Treuhandmodelle für sinnvoll, wobei die Systeme von US-Providern in deutschen Rechenzentren ohne Zugriffsmöglichkeit gehostet und betrieben werden. 

Weitere Artikel