Unser Interview-Partner Dr. Michael Rath ist Rechtsanwalt und Fachanwalt für IT-Recht. Er ist Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln und berät Unternehmen u.a. zum rechtsicheren Einsatz der Public Cloud. Zudem ist er ISO 27001 Lead Auditor, kennt sich also mit den Security-Anforderungen bei IT-Systemen gut aus.
Hintergrund
Seit Einführung der Public Cloud in 2006 hat sich der Diskurs über die Bedenken bezüglich der Public Cloud praktisch nicht geändert: Die eine Fraktion hält die Datenschutz-Praktiken der Public Clouds für nicht konform mit europäischen Gesetzen, denn die Daten seien aufgrund US-amerikanischer Überwachungsgesetze den dortigen Behörden praktisch frei zugänglich. Die andere Fraktion zitiert die niedrige Zahl tatsächlicher Anfragen der US-Behörden und verweist auf den tatsächlich höheren materiellen Datenschutz der Public Cloud aufgrund überlegener technischer Sicherheitsstands im Vergleich zu durchschnittlichen Private Clouds aus Europa.
Nachdem vorherige Vereinbarungen („Privacy Shield“ und „Safe Harbor“) zur Legitimierung von Datentransfers aus Europa in die USA durch zwei von Max Schrems erwirkte Gerichtsurteile (Schrems I und Schrems II) beim europäischen Gerichtshof scheiterten, versuchte die Biden-Administration den Datenschutz in den USA mittels eines Dekrets auf ein höheres Niveau zu heben. Nun unternimmt die EU-Kommission einen weiteren Anlauf und bereitet einen sogenannten „Angemessenheitsbeschluss“ vor. Dieser würde ein mit der EU vergleichbares Datenschutzniveau in den USA feststellen und könnte es Unternehmen erleichtern, US-Datendienste zu nutzen.
GS: Welche Bedenken gibt es aus der Perspektive der Nutzer hinsichtlich der Nutzung der Public Cloud?
MR: Bei der Nutzung von Public Cloud kommt meist die Frage auf: „Sind meine Daten dort wirklich sicher? Es geht hier um Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Dann als zweites: Bin ich da „safe“, was die DSGVO angeht. Als drittes gibt es die Sorge, dass Nachrichtendienste aus anderen Staaten an meine Daten herankommen könnten.
GS: Viele Kunden sind ja schon in der Public Cloud. Welche Wege haben diese gefunden, um die Cloud rechtssicher zu nutzen?
MR: Die Frage, ob die Nutzung der Public Cloud rechtssicher ist, kann nach der DSGVO nur der jeweils (Daten-) Verantwortliche beantworten. Es gibt in der DSGVO also kein „objektiv sicher“ oder „objektiv rechtskonform“. Natürlich sollten sich Unternehmen Gedanken darüber machen, was die Datenschutz-Aufsichtsbehörden dazu sagen. Es gibt eine Reihe von Verlautbarungen der Aufsichtsbehörden hierzu. Darin enthalten sind eine ganze Reihe von Dingen, die Unternehmen in der Public Cloud nicht machen dürfen. Wenn man sich aber mit diesen Aussagen differenziert auseinandersetzt, dann kann man auch Cloud Services datenschutzkonform nutzen. Dazu sollten Unternehmen abwägen, welche Daten in die Public Cloud gegeben werden und welche organisatorischen und technischen Maßnahmen zusätzlich eingeführt werden sollten. Was es aber nicht gibt, ist die Reduktion des Risikos auf Null. Es geht letztlich immer um die Frage, ob die Risiken bezogen auf Vertraulichkeit, Integrität und Verfügbarkeit beherrschbar sind.
GS: Andere Juristen scheinen mir da weniger abwägend. Max Schrems etwa setzt die Nutzung von europäischen Rechenzentren der Public Cloud mit einem Datentransfer in die USA gleich. Und dank FISA habe der Geheimdienst dort weitreichende Zugriff auf diese Daten.
MR: Hier gehe ich gern noch einmal einen Schritt aus dem Wald zurück: Es stellt sich immer die Frage, ob es in den Ländern außerhalb der EU/EWR ein angemessenes Datenschutzniveau existiert. Dies hat die EU-Kommission etwa festgestellt für Guernsey, Japan oder die Schweiz. Nun stellt sich die Frage: Gibt es ein ausreichendes Schutzniveau auch in den USA? Denn dort, so die berechtigte Kritik von Schrems, gibt es Gesetze wie den US CLOUD Act oder FISA, die grundsätzlich sogar Zugriff auf Daten in EU-Ländern erlauben können. Bei der Risikobewertung ist aber auch spannend zu sehen: Wie häufig finden denn solche Anfragen und tatsächliche Datenübermittlungen an die Nachrichtendienste tatsächlich statt? Die Daten zeigen: Das Risiko, dass Daten tatsächlich in die USA fließen, liegt faktisch bei fast 0%. Auch solche Zahlen müssen bei der Beurteilung von Risiken und im Rahmen eines Transfer Impact Assessment beachtet werden.
Quelle: Microsoft
Dazu kommt: In Deutschland haben wir das Artikel-10-Gesetz, in dem umfangreiche Ausnahmen zum Briefgeheimnis geregelt sind. Zudem arbeitet die EU aktuell an der E-Evidenz-Verordnung, nach der ebenfalls erhebliche Datenzugriffe nahezu nach amerikanischem Vorbild ermöglicht werden. Da ist es dann schon verwunderlich, dass wir stets und unreflektiert in Europa unser Datenschutzniveau für überlegen erachten. Trotzdem ist es richtig, dass man bei einer formellen Auslegung der Gesetze davon ausgehen muss, dass es genau dieses genannte Risiko der Datenübertragung in die USA gibt.
GS: Wie sieht denn jetzt der Prozess aus, wenn ich als Unternehmen die Public Cloud nutzen möchte?
MR: Die Verantwortung liegt immer bei der juristischen Person, welche die Daten besitzt, also etwa die GmbH und dort letztlich bei der Geschäftsführung. Deren Aufgabe ist es, bei umfangreichen und damit risikobehafteten Datenverarbeitungen eine Datenschutzfolgeabschätzung zu erstellen: Um welche Daten geht es? Welche Services nutzen wir? Welche Risiken bestehen für die Betroffenen? Was sagen Aufsichtsbehörden? Welche Zugriffsbefugnisse bestehen in Ländern, in denen vielleicht ein Teil der Daten gespeichert wird? Solche Datenschutzfolgeabschätzungen sind dann meist sehr umfangreiche Papiere mit viel Prosa. Am Ende kommen viele Risikoabwägungen zu dem Ergebnis: Abhängig von der Umsetzung bestimmter technisch-organisatorischen Maßnahmen (TOMs) halten dann viele Verantwortliche das Risiko für vertretbar, den Service zu nutzen.
GS: Um welche technisch-organisatorischen Maßnahmen geht es denn genau?
MR: Meistens geht es um die Themen Datenminimierung, Datenkategorisierung, Verschlüsselung, Abschaltung von Telemetrie und einige mehr. Die niederländische Datenaufsichtsbehörde hat hier einmal eine gute Übersicht gemacht (siehe dazu die Stiftung Datenschutz sowie die Seite der niederländischen Behörde).
Nach einer sorgfältigen Datenschutzfolgeabschätzung und der ordnungsgemäßen Umsetzung von dazu passenden TOMs hat bisher noch keine Aufsichtsbehörde Widerspruch eingelegt bzw. die Datenverarbeitung untersagt. Auch die Provider - wie Microsoft - haben da ihre Hausaufgaben gemacht. Deren Data Processing Agreement und die zugehörigen Dokumentationen reflektieren schon ganz viel von dem, was Aufsichtsbehörden aus regulatorischer Sicht sehen möchten.
Aber: Diese Übung muss jede Stelle für sich selbst durchführen, auch wenn die Erwägungen für jeden Microsoft-Nutzer fast zu 85% identisch sind.
GS: Die Public Cloud Provider und ihre Nutzer scheinen einen rechtssicheren Weg nach dem letzten Schrems-Urteil für sich gefunden zu haben. Wird ein mögliches Schrems III Urteil den Frieden wieder beenden?
MR: Max Schrems muss man echte Verdienste um die Durchsetzung des europäischen Datenschutzes in den USA zugutehalten. Vor seinen Klagen konnten Unternehmen noch mit Selbstzertifizierungen Datenschutz durch Paperwork ersetzen. Jetzt aber hat die Biden-Administration ein Dekret erlassen, dass die Betroffenenrechte wirklich stärkt. Dies führt voraussichtlich dazu, dass die EU-Kommission auch für die USA mittels eines Angemessenheitsbeschlusses ein ausreichendes Datenschutzniveau feststellen wird. Aber Max Schrems schaut natürlich sehr genau hin. Und ja: die im Dekret vorgesehenen Gerichte sind nicht so unabhängig und transparent und die Abhilfemaßnahmen sind nicht so weitreichend wie es beides in Europa wäre. Und deswegen ist die Wahrscheinlichkeit groß, dass Schrems auch den Angemessenheitsbeschluss vor Gericht angreifen wird. Natürlich kann es dann gut sein, dass die EU-Richter wieder seiner Ansicht folgen. Aber würde mit Schrems III die Nutzung der Public Cloud in Deutschland auf einen Schlag unmöglich? Nein, denn die aktuell bestehenden Instrumente mit den EU-Standardvertragsklauseln bleiben ja als Legitimationstatbestand bestehen.
GS: Schrems sagt in einem seiner Videos, er wüsste gar nicht, was die Juristen der Großkanzleien geraucht hätten, als sie den großen Konzernen den Weg in die Public Cloud aufzeigten.
MR: Wie gesagt, Max Schrems spielt in diesem Prozess eine wichtige Rolle, vergleichbar etwa mit der Deutsche Umwelthilfe beim Dieselskandal. Ohne ihn hätte es diesen Druck zur Veränderung gar nicht gegeben. Jetzt aber stellt sich die Frage: Sollte sich die Debatte um juristische Spitzfindigkeiten drehen oder eher um den materiellen Datenschutz in der Realität der Unternehmen. Ohne Angemessenheitsbeschluss für die USA bleibt nur der Weg über die Verwendung von Standardvertragsklauseln und Transfer Impact Assessments – die allerdings ressourcenaufwändige und komplexe Bewertungen des Datenschutzniveaus in den USA erfordern..
GS: Eine Möglichkeit wäre, auf die Nutzung amerikanischer Clouds komplett verzichten.
MR: Wollen wir wirklich auf jegliche Datenverarbeitung mit US-Firmen verzichten? Denn dass die USA ihre Gesetzgebung in unserem Sinne ändern, ist ja nicht realistisch. Inspiriert von der DSGVO fragen übrigens inzwischen andere Länder bei uns nach: Habt ihr denn überhaupt in der EU wirklich selbst ein angemessenes Datenschutz-Niveau? Und da müssen wir zugeben: Wir haben ebenfalls Abhörgesetze und planen sogar deren Ausweitung.
Weiterhin stellt sich die Frage: Sind die Daten tatsächlich technisch besser geschützt, wenn sie „on premises“, also beim Unternehmen selbst, liegen? Wenn man die vielen Berichte über Ransomware in Kreisverwaltungen liest und diese Sicherheitsfrage genau überlegt, dann fällt vielleicht das ein oder andere Risiko-Assessment zugunsten der Public Cloud aus.
GS: Zur Einführung der DSGVO gab es große Angstszenarien über möglicherweise hohe Strafen. Mein Eindruck war bisher: Die sind kaum eingetreten, und wenn, dann in kleinerem Rahmen. Stimmt dieser Eindruck?
MR: Es gibt inzwischen schon reichlich Fälle, auch mit erheblichen Bußgeldern. Ganz aktuell wurde beispielsweise der US-Konzern Meta von der irischen Aufsichtsbehörde DPC zu einer Rekordstrafe in Höhe von 1,2 Milliarden Euro verurteilt. Auch dem war eine Beschwerde von Max Schrems hinsichtlich der Beteiligung Metas (ehemals Facebook) an der Massenüberwachung durch US-Geheimdienste vorausgegangen. Zudem wurde das Unternehmen unterwiesen, jegliche Übermittlung von personenbezogener Daten aus Europa in die USA auszusetzen. Dies erfordert faktisch eine grundlegende – und sicher äußerst kostenaufwändige – Umstrukturierung des Meta-Konzerns. Insoweit verwundert es nicht, dass Meta schon in der Vergangenheit öfter damit gedroht hatte, sich aus der EU zurückzuziehen, soweit ein transatlantischer Datentransfer nicht dauerhaft möglich sei. Übrigens sind auch dies Folgen einer streng formellen Durchsetzung des Datenschutzrechts, die in eine Abwägung, etwa mit Blick auf den Erlass eines neuen Angemessenheitsbeschlusses, mit einbezogen werden müssen.
Es ist jedenfalls zu erwarten, dass Meta Rechtsmittel gegen diese Entscheidung einlegen wird. In der nächsten Instanz wurden die ganz hohen Bußgelder dann bislang meist reduziert.
Wenn sich das Unternehmen aber die Mühe macht und eine Datenschutzfolgenabschätzung erstellt sowie die richtigen TOMs umsetzt, dann pönalisiert auch die Aufsichtsbehörde die Nutzung von Cloud Services nicht. Bußgelder gibt es insbesondere dann, wenn Gesundheitsdaten oder Kreditkartendaten verloren gehen, oder wenn es beispielsweise keine Löschkonzepte gibt.
GS: Vielleicht sind auch die Behörden nur etwas faul?
MR: Eine Zeitlang haben sie aktiv Fragebögen rausgeschickt und nach den Datenschutzpraktiken in Unternehmen gefragt. Aber irgendwann enden auch hier die Ressourcen, alle Anfragen zu bearbeiten. Plus: Die Aufsichtsbehörden haben bei dem Thema internationale Datentransfers signalisiert, dass sie ihre Prüfungen jetzt nicht mehr mit aller Energie vorantreiben wollen, sondern lieber erst einmal die Entwicklung abwarten. Letztendlich bleibt es eine Ermessensentscheidung der verantwortlichen Stelle.
GS: Letzte Frage: Wird Schrems III kommen?
MR: Ja, ich denke der Angemessenheitsbeschluss kommt und Max Schrems wird ihn sicher angreifen. Klageverfahren vor dem EuGH dauern. Das können letztlich bis zu 3-4 Jahre sein. Und das wird Unsicherheit mit sich bringen. Bis dahin wird man sich auf das Vehikel „Standardvertragsklauseln mit Transfer Impact Assessment“ zur Legitimierung von Datentransfers in die USA stützen.
Das trägt natürlich zur Verunsicherung bei, aber es erzeugt immerhin Marktchancen für Konzepte wie die souveräne Cloud. Auch wir als Juristen müssen schauen, dass wir mit unseren theoretischen Hochreck-Übungen nicht den materiellen Datenschutz vernachlässigen. Sonst lassen wir die Unternehmen allein mit ihren tatsächlichen Datenschutzherausforderungen, die ja eher in den Bereichen IT-Modernisierung und Cyberkriminalität liegen.