Wir möchten auf unserer Internetseite Dienste von Drittanbietern nutzen, die uns helfen, unsere Werbeangebote zu verbessern (Marketing), die Nutzungsweise unserer Internetseite auszuwerten (Performance) und die Internetseite an Ihre Vorlieben anzupassen (Funktional). Für den Einsatz dieser Dienste benötigen wir Ihre Einwilligung, welche jederzeit widerrufen werden kann. Informationen zu den Diensten und eine Widerspruchsmöglichkeit finden Sie unter „Benutzerdefiniert“. Weitergehende Informationen finden Sie in unserer Datenschutzerklärung.

Use #itsa365

12. - 14. Oktober 2021 // Nürnberg

it-sa Newsroom

Wie sicher ist die Cloud, wenn es um sensible Daten geht?

Rebeka Weiß
© Bitkom

Die europäische Datenschutz-Grundverordnung (DSGVO) fordert Unternehmen einiges ab, wenn Daten außerhalb der EU gespeichert oder verarbeitet werden sollen. Rebekka Weiß, Leiterin Vertrauen und Sicherheit beim Bitkom, erläutert, wo die Probleme beim Datenaustausch mit Drittstaaten liegen, welche Möglichkeiten dazu zur Verfügung stehen und wo Fallstricke lauern. Update: Nach dem EuGH-Urteil zum Privacy Shield baten wir sie um eine Einschätzung.

  • Ob USA oder Großbritannien – ein DSGVO-konformer Datenaustausch mit Drittstaaten ist kompliziert.
  • Am 16. Juli hat der Europäische Gerichtshof dazu ein wegweisendes Urteil gesprochen
  • Demnach dürften die bisherigen Regeln für den Datenaustausch mit den USA nicht mehr hinreichend sein.

Frau Weiß, wie kam es, dass Sie sich mit Datenschutz beschäftigen?

Schon während des Studiums war mir die Bedeutung der Thematik bewusst, deshalb wurde dies schon damals zu meinem Schwerpunkt. Später habe ich im Datenschutzreferat des Innenministeriums gearbeitet. Das war genau zu der Zeit, als die europäische Datenschutz-Grundverordnung (DSGVO) in die heiße Phase kam, also kurz vor ihrer Verabschiedung stand. Anschließend konnte ich mein Wissen durch ein Master-Zusatzstudium zu Urheberrecht, E-Commerce und Intellectual Property in Glasgow vertiefen. Dieser Studiengang war stark auf das EU-Recht ausgeprägt. Eine weitere Station führte mich zu Ebay, wo ich den praktischen Blick schärfen konnte. Inzwischen bewege ich mich schon zehn Jahre im Datenschutzumfeld.

Nun arbeiten Sie beim Branchenverband Bitkom und leiten dort den Bereich Vertrauen und Sicherheit.

Nicht zuletzt durch das Masterstudium bekam ich einen politischen Bezug und die Arbeit in einem Verband war eine logische Konsequenz. Da ich im Digitalisierungsbereich etwas bewegen wollte, musste es der Bitkom sein. Ich habe mich deswegen direkt auf drei Stellen hier beworben. Derzeit arbeite ich überwiegend im Homeoffice, wie die meisten anderen auch.

Infolge der Corona-Krise hat nicht nur die Arbeit im Homeoffice stark zugenommen, sondern auch die Cloud-Nutzung. Viele sind unvorbereitet in die Cloud gegangen, was waren dabei die typischen Fehler?

Je nachdem, wie gut das Unternehmen vorher schon aufgestellt war, entstanden mehr oder weniger Komplikationen. Viele haben in der Eile zunächst auf wichtige Verträge verzichtet, zum Beispiel auf die Vereinbarung zur Auftragsdatenverarbeitung. Die ist immer notwendig, wenn ein Unternehmen Dritten Daten zur Speicherung oder Weiterbearbeitung überlässt. Das musste später nachgearbeitet werden. Wer Juristen im Haus hatte, war zumeist besser aufgestellt. Demzufolge sind derartige Probleme weniger bei großen Unternehmen aufgetreten. Vor besonderen Herausforderungen standen alle, die sich noch gar nicht mit Digitalisierung befasst hatten. Darüber hinaus gab es häufig viel Unsicherheit, welche Cloud-Dienste für welche Prozesse verwendet werden können und auf welche man besser verzichten sollte.

Was sollten Unternehmen beachten, wenn sie personenbezogene oder unternehmenskritische Daten in der Cloud speichern wollen?

Jedes dritte Unternehmen verwendet bereits Cloud-Dienste, Tendenz steigend. Cloud-Nutzung ist für Unternehmen ein wichtiger Baustein, muss aber juristisch abgesichert werden. Aus Datenschutzsicht ist bei jeder Cloud-Anwendung der schon erwähnte Vertrag zur Auftragsdatenverarbeitung notwendig. Darin müssen die Verarbeitungsprozesse genau beschrieben werden. Notwendige Sicherheitsmaßnahmen sollten ebenfalls enthalten sein. Dafür existieren Musterverträge, die müssen aber angepasst werden. Wenn ich einen Anbieter aussuche, der Daten außerhalb der EU speichert, muss ich die entsprechenden Vorschriften beachten. Beispielsweise könnte man sich bei einem Transfer in die USA auf den Privacy Shield stützen oder auf sogenannte Standardvertragsklauseln.

Worin unterscheiden sich die Standardvertragsklauseln vom Privacy Shield?

Beide haben unterschiedliche Grundlagen, Standardvertragsklauseln kann ich für alle Drittstaaten verwenden. Privacy Shield ist ein Abkommen mit den USA, mit dem die EU sicherstellen will, dass das US-amerikanische Datenschutzniveau dem europäischen entspricht. Daneben existiert noch die Adäquenzentscheidung, in der garantiert wird, dass der Datenschutz eines Landes dem der DSGVO entspricht. Die EU-Kommission entscheidet das für jedes Land einzeln. Beispielsweise sind die Schweiz, Japan, Kanada und Uruguay darüber der EU gleichgestellt. Nach einem „Nodeal-Brexit“ wäre demzufolge die Datenspeicherung in Uruguay einfacher als in Großbritannien.

Wie ist der Datenaustausch mit Drittstaaten in den Standardvertragsklauseln geregelt, was sind die Kernpunkte?

Die Standardvertragsklauseln sind von der EU vorgegeben. Die Absicherung, die man darüber erreicht, gilt nur, wenn sie unverändert übernommen werden. Hinzu kommen Anhänge, die für jeden Einzelfall angepasst werden müssen.

Denn es handelt sich um Einzelvereinbarung zwischen zwei Unternehmen. Es stehen zwar Muster zur Verfügung, aber bestimmte Teile müssen jedes Mal individuell ausgehandelt werden. Zum Beispiel technische oder organisatorische Maßnahmen für die Datensicherheit. So etwas ist auf den jeweiligen Prozess, die konkrete Datenverarbeitung, zugeschnitten und muss daher entsprechend angepasst werden. Denn die zugrundeliegende Datenverarbeitung muss genau beschrieben werden, sie ist aber gewöhnlich projektspezifisch und erfordert bei Veränderungen auch regelmäßige Anpassungen.

Insbesondere der Datenaustausch mit den USA ist scheinbar noch immer problematisch, warum?

Der Privacy Shield funktioniert wie dessen Vorgänger, das Safe-Harbor-Abkommen: Unternehmen können sich listen lassen, wenn sie ihre DSGVO-Konformität bestätigen. Jedoch wird zum Teil dabei nach Datentypen unterschieden. So können beispielsweise Personaldaten ausgeschlossen sein, weil das Unternehmen dafür nicht gelistet ist. Möchte man dann solche Daten verwenden, kann man mit dem Privacy Shield nicht arbeiten. Dann müsste die Firma beispielsweise auf Standardvertragsklauseln umschwenken, die aber mit jedem einzelnen Unternehmen zu vereinbaren wären. Aktuell stehen diese Verfahren gerade im Brennpunkt. Strittig ist, ob eine Absicherung mit Standardvertragsklauseln ein adäquates Schutzniveau zur DSGVO sicherstellen kann. Dazu hat nun der Europäische Gerichtshof (EuGH) am 16. Juli ein Urteil gesprochen.

Worum ging es in dem Verfahren?

Das Verfahren wurde von Maximilian Schrems initiiert, mit Facebook auf der Gegenseite. Es wurde bei einem irischen Gericht eingereicht, das hat es jedoch zwecks Klärung von Grundsatzfragen zur DSGVO an den EuGH gegeben. Vereinfacht gesagt gingt es um den Punkt, ob ein DSGVO-konformes Datenschutzniveau in den USA wirklich mit Privacy Shield oder den Standardvertragsklauseln sichergestellt werden kann. Streitpunkt sind mögliche Zugriffe durch US-Behörden auf Daten, die bei US-Unternehmen gespeichert sind. Die Frage war, ob sie das Datenschutzniveau dadurch so gravierend beeinflussen, dass ein DSGVO-konformer Schutz nicht gewährleistet ist.

Was hängt von dem Urteil ab? Womit müssen etwa Unternehmen rechnen?

Das Urteil hat massive Auswirkungen auf den globalen Datenaustausch, da mit sofortiger Wirkung der Privacy Shield für unwirksam erklärt wurde und dieser nun keine Basis mehr für den Datenaustausch mit den USA darstellt. Zusätzlich bringen die Ausführungen des EuGH zu Standardvertragsklauseln auch den darauf basierenden Austausch ins Wanken, denn mit dem Urteil hat der EuGH den Datenschutzaufsichtsbehörden die Aufgabe übertragen, jeweils im Einzelfall zu prüfen, ob die Standardvertragsklauseln eine wirksame Grundlage für die Datenübertragung sein können. Das Gericht hat die Wirksamkeit der Standardvertragsklauseln nicht grundsätzlich infrage gestellt, für internationale Datentransfers können sie daher noch eingesetzt werden. Wir gehen aber nach dem Urteil davon aus, dass die Vertragsklauseln für die Datentransfers in die USA bald von den Aufsichtsbehörden geprüft werden. Je nach Ausgang der Prüfung könnten sie in Zukunft als Basis nicht mehr ausreichen. 

Was raten Sie betroffenen Unternehmen derzeit?

Alle Unternehmen die ihre Prozesse auf Privay Shield stützen, müssen direkt umstellen, wenigstens auf Standardvertragsklauseln. Sie müssen außerdem mit der Notwendigkeit zu weiteren Änderungen rechnen. Es werden neue Abstimmungen mit jedem einzelnen Geschäftspartner in den USA erfolgen müssen.

Jedes Unternehmen sollte prüfen ob es Alternativen zu den bisherigen Verfahren hat. Man könnte eine Verarbeitung auf Basis einer Einwilligung des Nutzers starten. Unternehmen könnten auch verstärkt nach Alternativen in anderen Ländern suchen, wie man es schon im Rahmen des Brexit beobachten konnte. Das dürfte aber insbesondere in Bezug auf die USA und deren Cloud-Anbieter unpraktikabel sein. Der Bitkom erhält derzeit dazu verstärkt Anfragen, es gibt großen Beratungsbedarf. Für Interessierte hält der Bitkom einen Leitfaden zur Verarbeitung personenbezogener Daten in Drittländern bereit. Für Beratungen haben wir eine eigene Tochtergesellschaft, die Bitkom-Consult, die gerne weiterhilft.

_______________

Neuheiten rund um die it-sa und News aus der IT-Sicherheitswelt finden Sie auch im it-sa Security Newsletter.

Zur Newsletter-Anmeldung

top