Unternehmen stochern beim Umgang mit Daten in der Cloud oftmals im juristischen Nebel. Wir zeigen, was Sache ist. [...]
Datenschutz in der EU und der Umgang damit in den USA – das passt nicht gut zusammen. Abkommen und Gesetze wie Patriot Act, CLOUD Act und Privacy Shield stehen auf der einen, die Datenschutz-Grundverordnung (DSGVO) auf der anderen Seite. Dazu kommt der Europäische Gerichtshof (EuGH), der regelmäßig die eine oder andere Vereinbarung für rechtswidrig erklärt. Unternehmen fällt es deshalb zunehmend schwer zu überblicken, was sie mit Daten machen dürfen und was nicht. Langfristig könnte das Projekt GAIA-X ein Weg aus der Misere sein. Doch der Reihe nach.
Das Aus für Privacy Shield
Der Corona-bedingte Rückzug zahlreicher Arbeitnehmer ins Home Office hat der Cloud-Nutzung ordentlich Auftrieb verschafft. Das stellt viele Arbeitgeber vor ein Dilemma. Denn seit dem Urteil des Europäischen Gerichtshofs in Luxemburg vom Sommer 2020 ist das Privacy-Shield-Abkommen zwischen der EU und den USA unwirksam. Das wiederum hat zur Folge, dass die Nutzung amerikanischer Cloud-Services juristisch in eine Grauzone rückt, oder genauer gesagt in ein Vakuum, da nun keinerlei Rechtsgrundlage mehr besteht.
„Die Frage lautet, wie kann man als Unternehmen Daten datenschutzkonform in die USA übermitteln“, erläutert Hajo Rauschhofer, Fachanwalt für IT-Recht. „Außerhalb der EU ist dies nur zulässig, wenn man in ein sicheres Drittland exportiert, weil dort ein angemessenes Datenschutzniveau besteht, oder Standarddatenschutzklauseln verwendet, deren Einhaltung sichergestellt werden kann. Zu den sicheren Drittländern existiert eine entsprechende Liste bei der EU-Kommission. Die USA gelten nicht als sicheres Drittland.“ Das Urteil besagt im Kern, dass die Übertragung personenbezogener europäischer Daten in die USA den Anforderungen der DSGVO nicht entspricht. Die europäischen Datenschutzstandards sind einzuhalten und durchzusetzen. Das ist gegenüber einem US-Unternehmen nicht möglich.
Was sollen die hiesigen Unternehmen also tun? Wer nicht über geeignete Schutzmaßnahmen verfügt, soll laut dem European Data Protection Board (EDPB) den Cloud-Service aussetzen oder einstellen. Unternehmen haben in dieser rechtlichen Situation also die Wahl, die DSGVO zu verletzen, oder auf die Cloud-Services von US-Anbietern zu verzichten. Beides ist kein gangbarer Weg.
„Bei Privacy Shield handelte es sich um eine informelle Absprache zwischen der EU und den Vereinigten Staaten mit der Zusicherung der US-Regierung, den Angemessenheitsbeschlüssen zu entsprechen und Sicherheit beim Datenschutz zu gewährleisten“, so Rauschhofer. „Aber auch da hat sich herausgestellt, dass die Datenschutzkonformität nicht gewahrt wird. Der EuGH hat den Privacy Shield daher mit sofortiger Wirkung für unwirksam erklärt – mit der Folge, dass der Datenexport in die USA seitdem problematisch ist.“
Rechtsunsicherheit durch Cloud Act
Das Aus für den Privacy Shield ist nicht das Einzige, was die datenschutzrechtlichen Beziehungen zu den USA kompliziert gestaltet. Im Windschatten der Diskussionen haben die USA den CLOUD Act verabschiedet. CLOUD Act steht für Clarifying Lawful Overseas Use of Data Act. Er ermöglicht es den US-Behörden, von den Unternehmen Zugang zu den Daten zu fordern – auch dann, wenn sich die Server im Ausland befinden. Das läuft den Anforderungen der DSGVO diametral entgegen. Nach ihr dürfen personenbezogene Daten von EU-Bürgern nicht mehr in die USA gelangen. Das klingt realitätsfern. „Ich kann einem Unternehmen nicht ernsthaft sagen, ihr müsst jetzt euer Geschäftsmodell, das auf dem Datenaustausch mit US-Anbietern fußt, einstellen“, unterstreicht Rauschhofer.
Der CLOUD Act erlaubt Behörden (und Geheimdiensten) den Zugriff auf Daten, die TK-, E-Mail- oder Cloud-Anbieter im Ausland gespeichert haben. Dazu kommt: Der CLOUD Act betrifft keineswegs nur US-Unternehmen, sondern gilt für alle Unternehmen, die der US-Gerichtsbarkeit unterliegen. Der Arm der US-Justiz erreicht auch Unternehmen mit einer Zweigstelle oder einer Tochtergesellschaft in den USA. Einzelne US-Gerichte setzen noch einen drauf: Urteile besagen, dass sich der CLOUD Act sogar auf Nicht-US-Webseiten erstreckt, die in den USA genutzt werden.
„AWS, Microsoft und andere haben Server-Standorte in Europa. Sie sichern zu, sich gegen etwaige Anordnungen zu verteidigen“, führt Hajo Rauschhofer aus. „Man könnte nun der Meinung sein, in Europa zu hosten und sich gegen Anordnungen durch den CLOUD Act zur Wehr zu setzen, sollte ausreichen. In Frankreich hat das ein Gericht jüngst anders gesehen.“ Datenschutzausschüsse legen den Unternehmen nahe, auf europäische Anbieter auszuweichen. Doch die Cloud-Infrastrukturen von Amazon, Microsoft und Google sind eine Klasse für sich und kaum einzuholen.
Ausfahrt Standarddatenschutzklauseln
Die DSGVO regelt in Artikel 48 die Übermittlung von Daten an Behörden und andere staatliche Stellen eines Drittlandes. Sie dürfen nur dann herausgegeben werden, wenn Rechtshilfeabkommen in Strafsachen oder ähnliche Übereinkünfte zwischen dem Drittland und der EU oder dem betreffenden Mitgliedstaat bestehen. Artikel 5 der DSGVO verlangt zudem weitere Rechtfertigungsgründe zur Übermittlung von Daten in Drittländer. „Ich kenne nahezu kein Unternehmen, das nicht in irgendeiner Form Daten in die USA exportiert“, betont Rauschhofer. „Ein solcher Export kann als Grundvoraussetzung allenfalls mithilfe der Standarddatenschutzklauseln und dem weiteren Erfordernis zusätzlicher Garantien erfolgen.“
Früher war es so: Wenn Unternehmen Daten in ein Drittland übertrugen, das nicht als sicheres Drittland galt, dann konnten sie mit Standarddatenschutzklauseln arbeiten, die vertraglich sicherstellten, dass die Rechte der informationellen Selbstbestimmung der betroffenen EU-Bürger nicht verletzt werden. Das Problem im Moment ist aber, dass die meisten Datenschutzbehörden sagen, das reicht überhaupt nicht aus. Man könne sich nicht vorstellen, wie diese Garantien wirksam eingehalten werden sollen, Stichwörter Patriot Act, CLOUD Act etc.
„Microsoft und andere haben sich in Ergänzungen zu den Standarddatenschutzklauseln verpflichtet, gegen Anordnungen von Behörden vorzugehen. Durch den Wechsel der US-Administration ist vielleicht denkbar, dass die EU mit den USA ein Abkommen hinbekommt“, hofft Rauschhofer.
Die EU-Kommission stellt Standardvertragsklauseln oder, wie sie neuerdings heißen, Standarddatenschutzklauseln zur Verfügung, die Unternehmen die Umsetzung des Datenschutzes erleichtern sollen. In den Klauseln sind die nötigen Anforderungen für die DSGVO-konforme Übermittlung personenbezogener Daten in Drittländer geregelt. Unternehmen können ihre Verträge, etwa mit Cloud-Providern, damit ergänzen. Ob das ausreicht, bleibt ungewiss.
Der europäische Weg: Gaia-X
Die Verhältnisse in den USA machen europäischen Unternehmen das Leben schwer. Denn der rechtlich vorgezeichnete Weg, auf Datenübertragungen in die USA zu verzichten und auf europäische Anbieter zu setzen, ist kaum umzusetzen. Ein eventuelles Nachfolge-Abkommen für Privacy Shield dürfte wie seine Vorgänger vor Gericht scheitern. Klare rechtliche Verhältnisse sehen anders aus. Am Horizont zeichnet sich jedoch ein Lösungsansatz ab: GAIA-X. Dabei handelt es sich zwar nicht, wie vielfach angenommen, um eine europäische Cloud, dennoch könnten viele Unternehmen von GAIA-X profitieren.
GAIA-X ist ein Projekt von Europa für Europa. Dabei geht es darum, eine europäische Dateninfrastruktur zu entwickeln. „Aus der Vernetzung dezentraler Infrastrukturdienste soll eine Dateninfrastruktur entstehen, die zu einem homogenen, nutzerfreundlichen System zusammengeführt wird, in dem Daten sicher und vertrauensvoll verfügbar gemacht und geteilt werden können“, formuliert das deutsche Bundeswirtschaftsministerium (BWMi). Ziel sei eine sichere und vernetzte Dateninfrastruktur, die den höchsten Ansprüchen an digitale Souveränität genüge und Innovationen fördere.
„Der Startschuss war im Sommer 2019“, berichtet Ronny Reinhardt, Team Lead Business Development beim Cloud-Anbieter Cloud&Heat Technologies mit Sitz in Dresden. „Das Projekt ist im BWMi entstanden und man hat dann schnell Unternehmen mit an Bord geholt. Es ist überführt worden in ein großes Projekt von Unternehmen für Unternehmen, ist also kein staatsgetriebenes Projekt.“ Mit GAIA-X entsteht kein europäischer Cloud-Provider und kein Konkurrenzprodukt zu Hyperscalern wie AWS oder Microsoft. Vielmehr soll GAIA-X Elemente über offene Schnittstellen und Standards vernetzen, um Daten zu verknüpfen und eine Innovationsplattform zu schaffen. Reinhardt betont: „Es ist ein Missverständnis, dass mit GAIA-X ein europäischer Hyperscaler entstehen soll, das ist ganz explizit nicht das Ziel. Es geht eher darum, ein verteiltes Ökosystem zu entwickeln, um mehr digitale Souveränität zu erreichen. Es gibt gemeinsame Spielregeln, Mindeststandards und die Software-Architektur.“
Unter den 22 Gründungsmitgliedern der GAIA-X-Gesellschaft finden sich BMW, Bosch, Fraunhofer-Gesellschaft, Orange, OVH, SAP, Telekom und Siemens. Inzwischen hat GAIA-X mehr als 200 Mitglieder. Dazu zählen auch Unternehmen aus China und den USA wie Huawei, Alibaba, Amazon, Google, Microsoft, Palantir und Salesforce. Sie gelten nicht gerade als Paradebeispiele für die von GAIA-X angestrebten Werte wie Datenschutz, digitale Souveränität und Transparenz. „Unternehmen wie Amazon und Microsoft sind auch dabei“, bestätigt Reinhardt. „Denn es ergibt keinen Sinn, ein solches System zu bauen, wenn man auf Abschottung setzt. Die zentralen Schaltstellen in der Stiftung (GAIA-X AISBL) können jedoch nur von Unternehmen besetzt werden, die ihren Hauptsitz in Europa haben.“ Die Komponenten zum Bau des GAIA-X-Ökosystems sollen ebenso Open Source sein wie die Schnittstellen.
Digitale Datensouveränität
Im Zusammenhang mit GAIA-X taucht immer wieder der Begriff der digitalen Souveränität auf. Das meint in erster Linie die Möglichkeit, im digitalen Raum unabhängig und selbstbestimmt handeln und entscheiden zu können. GAIA-X schafft eine Dateninfrastruktur, die eine solche vollständige Kontrolle über gespeicherte und verarbeitete Daten garantiert. Reinhardt formuliert es so: „Datensouveränität beschreibt die Selbstbestimmung: Was passiert mit meinen Daten? Wenn es technische Lösungen gibt, um das zu vereinfachen, dann ist das hilfreich. Es gibt auch spezifische Branchen-Lösungen, etwa im Gesundheitssektor. Eine Vision sieht so aus, dass ein Unternehmen über GAIA-X im Katalog auswählen kann, in welchem Bereich es sich befindet und welchen Regularien es unterworfen ist, und dann nur die Services angezeigt bekommt, die diese Regularien erfüllen.“
Der nächste Schritt für GAIA-X ist die prototypische Implementierung erster Services. Das soll ab Mitte 2021 den Grundstein legen, um konkrete Anwendungsfälle auszuarbeiten. Das BWMi stellt dafür knapp 200 Millionen Euro bereit. Es folgen ein Wettbewerb für Leuchtturmprojekte und die Entwicklung föderierter Services, die im zweiten Halbjahr 2021 als Herzstück von GAIA-X den sicheren und vertrauensvollen Austausch von Daten ermöglichen sollen. „Das Projekt steckt noch in den Kinderschuhen“, räumt Reinhardt ein. „Wir sind, was die Rahmenbedingungen angeht, erst am Anfang. Es ist ein ambitioniertes und langfristiges Projekt. Wenn wir Anfang 2022 erste Prototypen im Feld haben, dann wäre das aus meiner Sicht ein Erfolg.“
KMUs profitieren von Gaia-X
GAIA-X ist also keineswegs ein Spielzeug für Großkonzerne. Vor allem für KMUs bietet GAIA-X viel Potenzial. Ein Beispiel ist die Möglichkeit, trotz fehlender eigener Infrastruktur und trotz einer überschaubaren Datengrundlage in Bereichen wie Machine Learning oder Künstlicher Intelligenz tätig zu werden. GAIA-X bietet den Rahmen, um gemeinsame Daten-Pools etwa für Analysen und KI aufzubauen.
Wenn Unternehmen GAIA-X-zertifizierte Services nutzen, dann können sie darauf vertrauen, dass diese alle Datenschutzanforderungen erfüllen. GAIA-X macht transparent, welche Anbieter DSGVO-konform sind. Gemeinsame Standards überwinden Grenzen wie etwa unstrukturierte Datenformate und Regularien. In der Vision von GAIA-X suchen sich Unternehmen den Anbieter nach Kriterien wie Firmensitz, Standort des Rechenzentrums, Einhaltung der DSGVO oder Nachhaltigkeit über einen globalen Katalog aus. Vendor-Lock-ins gehören damit der Vergangenheit an – die im US-dominierten Markt vor allem KMUs in ihrer Handlungsfreiheit einschränken, etwa durch Hürden bei einer Datenmigration zu anderen Anbietern.
Reinhardt meint dazu: „Gerade in Europa sind viele innovative kleinere Anbieter auf unterschiedlichen Ebenen aktiv. Es ist nicht so einfach möglich, sie zu verschalten, um daraus Neues zu erschaffen. Sprich Cloud-Anbieter A mit Datenbankdiensten von Anbieter B verbinden, um darauf wiederum einen KI-Dienst zu betreiben, und dabei die unterschiedlichen Stärken der verschiedenen Anbieter nutzen.“
Wegweisendes Urteil aus Frankreich
Im März dieses Jahres hat das oberste französische Verwaltungsgericht Conseil d’Etat ein richtungsweisendes Urteil gefällt. Dabei ging es um die möglichen Zugriffe von US-Behörden auf personenbezogene Daten europäischer Bürger. Frankreichs Impfkampagne ist bei AWS gehostet. Die Anmeldung für Covid-19-Impfungen erfolgt über das Internet, wobei die Online-Plattform Doctolib mit der Verwaltung betraut ist. Doctolib wiederum greift für das Hosten der Daten auf eine AWS-Tochter in den USA zurück. Dabei handelt es sich um personenbezogene Daten, die nach der DSGVO nicht zu einem US-Provider gelangen dürfen, weil der US-Staat potenziell Zugriff darauf hat. Gewerkschaften und Berufsverbände hatten deswegen Klage eingereicht.
Das Verwaltungsgericht wies die Klage ab. Es legte in der Urteilsbegründung dar, dass die Verwendung von AWS als Provider nicht automatisch dazu führe, dass die Verarbeitung der personenbezogenen Daten gegen die DSGVO verstoße. Denn es seien zusätzliche technische Maßnahmen implementiert, die das in den USA unzureichende Datenschutzniveau auf ein angemessenes Maß anheben. Die Daten sind verschlüsselt, und der Schlüssel verbleibt in den Händen einer dritten Partei auf europäischem Boden, sodass AWS selbst keinen direkten Zugriff auf die Daten hat. Diese Vorgehensweise entspricht den Empfehlungen des European Data Protection Boards (EDPB).
Die Folgen dieses Urteils sind nicht zu unterschätzen. Es bestätigt, dass bei US-amerikanischen Unternehmen ein Zugriff durch US-Behörden möglich ist, dies der DSGVO widerspricht und tatsächlich auch vor Gericht landet. Andererseits zeigt es Unternehmen einen Weg auf, wie sich mit technischen Maßnahmen personenbezogene Daten dennoch mithilfe von US-Unternehmen verarbeiten lassen. Das Zauberwort heißt Verschlüsselung.
Fazit & Ausblick
Das Spannungsfeld zwischen europäischen Unternehmen und dem Umgang mit Daten in den USA wird bleiben. „Die Datenschutzbehörden sind nach meiner Wahrnehmung noch in einer Findungsphase, denn sie müssten in irgendeiner Form der Wirtschaft eine Lösung präsentieren“, so Rauschhofer. Die DSGVO erfordert Schritte, die sich in der Praxis kaum einhalten lassen. Doch es gibt Licht am Horizont. Zum einen könnte unter Präsident Biden bald ein datenschutzfreundlicherer Wind wehen. Bis es so weit ist, können Unternehmen mit Standarddatenschutzklauseln und Garantien der Cloud-Provider gegen Anordnungen durch den CLOUD Act vorgehen und ihr Möglichstes tun, um der DSGVO zu genügen und teure Strafzahlungen zu vermeiden. Ob das ausreicht, werden die Gerichte entscheiden. Das Urteil aus Frankreich belegt auch den Wert einer klug angelegten Verschlüsselung. Und schließlich steht in einigen Jahren vielleicht mit GAIA-X eine europäische Infrastruktur zur Verfügung, die all die Aufregung um DSGVO, Privacy Shield und CLOUD Act abebben lässt.
* Andreas Dumont ist Autor bei COM!professional.
Be the first to comment