Privacy Shield ist ungültig – Was bedeutet das für meine Cloud-Nutzung?

Oops… he did it again! Wieder hat Maximilian Schrems, der österreichische Datenschutzaktivist, einen Sieg errungen. Nachdem der Europäische Gerichtshof bereits in 2015 Safe Harbour für ungültig erklärt hatte, wurde am 16. Juli 2020 auch Privacy Shield, der Nachfolger von Safe Harbour, einkassiert.

Wozu eigentlich Safe Harbour und Privacy Shield?

Safe Harbour und auch Privacy Shield dienten dazu, die Übermittlung personenbezogener Daten in die Vereinigten Staaten zu erleichtern. Privacy Shield fungierte dabei als ein Angemessenheitsbeschluss im Sinne des Art. 45 Abs. 1 der Europäischen Datenschutz-Grundverordnung (DS-GVO). Mit dem Beschluss erklärte die Europäische Kommission, dass in den Vereinigten Staaten ein angemessenes Schutzniveau personenbezogener Daten europäischer Datensubjekten vorhanden war, sofern Privacy Shield für die Übermittlung benutzt wurde ( [1], Art. 1, Abs.1).

Diese beiden Abkommen – zuerst Safe Harbour, dann Privacy Shield – sollten dazu dienen, Unternehmen die Nutzung US-amerikanischer Cloud-Angebote zu ermöglichen. Und Cloud-Angebote beschränken sich dabei nicht auf die „klassischen“ Cloud-Angebote von Amazon, Google und Microsoft, also Infrastructure as a Service (IaaS) und Platform as a Service (PaaS). Es betrifft auch Software as a Service (SaaS) und damit eine Vielzahl von Angeboten jenseits des Mainstreams. Das reicht von großen Angeboten wie Salesforce oder Service Now bis hin zu Nischenanwendungen. Gerade in den Nischen haben amerikanische Anbieter vom „Persilschein“ Privacy Shield (denn Privacy Shield war nur eine Selbstzertifizierung) profitiert wie es auch die europäischen Kunden getan haben: Man musste nicht mehr für jedes Problem eine Lösung entwickeln oder entwickeln lassen. Es konnten Lösungen genutzt werden, die nur von wenigen (US-amerikanischen) Anbietern verfügbar waren, oder sie konnten die Auswahl an Lösungen vergrößern. Frei nach dem Grundsatz: Konkurrenz belebt das Geschäft.

Da Privacy Shield auf hoher Ebene verhandelt wurde, war das Vertrauen der Unternehmen auch entsprechend groß. Man dachte: „Das ist ja alles kein Problem!“ Insbesondere die stark optimierten, oft sehr aggressiv bepreisten Speziallösungen der Cloud-Anbieter werden dementsprechend gerne genutzt. Wer wünscht sich nicht viel Leistung für wenig Geld?

Hier ist eine starke Abhängigkeit von einzelnen Anbietern entstanden, die auch jenseits der rechtlichen Situation ihre Tücken hat.

Das Ende von Privacy Shield – die Hintergründe

Von entscheidender Bedeutung für die Äquivalenz des Schutzniveaus war auf US-amerikanischer Seite die Einrichtung einer Ombudsstelle für die signalerfassende Aufklärung – also die Tätigkeit der Geheimdienste ( [1], Anhang III, Anlage A). Diese Ombudsstelle sollte für ausgespähte europäische Bürger wie ein unabhängiger Richter funktionieren, um den Anforderungen des Art. 47 der Charta der Grundrechte der Europäischen Union gerecht werden zu können. Diese Unabhängigkeit ist aber nicht gegeben und deswegen liegt ein angemessenes bzw. äquivalentes Schutzniveau in den Vereinigten Staaten nicht vor ( [2], Rn. 190-198).

Da eine Übergangsfrist nicht vorgesehen ist, ist die Übermittlung von Daten aufgrund des Privacy Shield seit Schrems II nicht mehr zulässig ( [3], S. 2), auch wenn dies diverse US-amerikanische Anbieter von Software- und Cloud-Lösungen anders sehen.

Das Ende von Privacy Shield – die Konsequenzen

Welche Möglichkeiten verbleiben jetzt den vielen deutschen Unternehmen, die – auch für die Übermittlung oder Aufbewahrung personenbezogener Daten – Software- und Cloud-Lösungen von amerikanischen Anbietern verwenden?

Die einfachste Lösung für dieses Problem ist natürlich: Die Cloud nicht benutzen! Aber ohne eine Übergangsfrist ist das in vielen Bereichen nicht so einfach möglich. Nicht nur das: Wo man früher entscheiden konnte, ob man ein Softwareprodukt im eigenen Rechenzentrum oder bei einem Dienstleister betreibt bzw. betreiben lässt, hat sich das Vertriebsmodell vieler Hersteller sehr stark gewandelt.

Viele Angebote sind heute ausschließlich als Software as a Service zu beziehen, und damit inhärent von der Cloud abhängig. Die Installation von komplexen Lösungen ist immer seltener lokal möglich. Gute Beispiele hierfür sind Kommunikations- und Kollaborationslösungen, die extrem von der Zentralisierung der Daten und Dienste in der Cloud profitieren.

Das heißt: Wenn man schon die Cloud nutzt – und sei es versteckt durch benötigte Zusatzfunktionen in anderen Produkten – hat man kaum die Möglichkeit, die Nutzung von heute auf morgen einzustellen.

Bei vielen Kunden sieht die ComConsult jedoch eine gewisse Skepsis gegenüber der Cloud. Das betrifft nicht eine bestimmte Branche oder Konzerngröße, sondern zieht sich durch die gesamte deutsche Unternehmenslandschaft. Deutschland ist insgesamt eher „Cloud-skeptisch“, v.a. im öffentlichen Umfeld spielen auch gesetzliche Vorgaben eine entscheidende Rolle. In der momentanen Situation mag man diese Skepsis positiv sehen. Im Projektgeschäft hat sich ebenfalls gezeigt, dass man auf eine Cloud-Nutzung nicht dauerhaft verzichten kann.

Daher zunächst: Ist die Welt wirklich so schwarz-weiß? Oder gibt es Möglichkeiten, den Status quo zumindest in Teilen beizubehalten?

Die erste Frage, die hier zu stellen ist, lautet: Werden tatsächlich Daten in die Vereinigten Staaten übermittelt? Wenn dies nicht der Fall ist, dürfte kein Problem bestehen. Wenn aber SaaS oder cloudbasierte Lösungen eingesetzt werden, ist der Anbieter häufig als Auftragsverarbeiter im Sinne des Art. 28 DS-GVO anzusehen. Auch eine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DS-GVO könnte vorliegen. Da jetzt kein Angemessenheitsbeschluss nach Art. 45 DS-GVO für die Vereinigten Staaten mehr vorliegt, muss für die Übermittlung der Daten sichergestellt werden, dass geeignete Garantien vorliegen (Art. 46 Abs. 1 DS-GVO). Bislang konnten dafür die Standardvertragsklauseln benutzt werden. Diese Standardvertragsklauseln, die die Europäische Kommission in 2010 beschlossen hat, regelten in rechtlich hinreichender Art und Weise den Datenschutz bei Datentransfers an Verarbeiter außerhalb der Europäischen Union. [4]

Obwohl der EuGH festgestellt hat, dass die Standardvertragsklauseln als generelles Instrument weiterhin benutzt werden können, hat er gleichzeitig festgestellt, dass auch bei der Benutzung der Standardvertragsklauseln der Datenverarbeiter sicherstellen muss, dass im Drittland ein äquivalentes Datenschutzniveau vorhanden ist. Und da dieses Niveau in den Vereinigten Staaten nicht gegeben ist, dürften auch Standardvertragsklauseln für die Übermittlung von Daten in den Vereinigten Staaten nicht ausreichen ( [3], S. 6).

Diese Standardvertragsklauseln werden von den Cloud-Anbietern noch als ausreichend angesehen. Ob man sich als Kunde jedoch auf diese Aussagen der Anbieter berufen kann, ist gerade im Licht der obigen Ausführungen fragwürdig.

Eine Möglichkeit, sich dieser Diskussion zu entziehen – natürlich abgesehen von der Nicht-Nutzung der Cloud – stellen in diesem Zusammenhang europäische und/oder deutsche Clouds dar, von denen es mittlerweile mehrere gibt. Eine individuelle Analyse kann Aufschluss darüber geben, ob damit alle Nutzungsszenarien abgedeckt werden können, für die derzeit die US-amerikanischen Angebote herhalten.

Diese Lösung ist aber in der Vergangenheit nicht in großem Umfang angenommen worden. So hat Microsoft vor einigen Jahren die Microsoft Cloud Germany aufgebaut, eine Zusammenarbeit von Microsoft und der Telekom. Dabei wurde die Software von Microsoft in Rechenzentren der Telekom betrieben, auf die Microsoft keinen direkten Zugriff hatte. Es kam ein Treuhändermodell zum Einsatz, in dem Microsoft-Mitarbeiter nur nach Genehmigung der Telekom und der betroffenen Kunden auf die Systeme zugreifen konnten. So sollte ein Abfluss der Daten in die USA verhindert werden.

Hier ergab sich dann das Problem, dass der Funktionsumfang stark reduziert war bzw. Funktionen erst mit erheblicher Verspätung in dieser „deutschen“ Cloud bereitgestellt wurden. Zusätzlich bildete diese Cloud eine Insel, die mit den Diensten der „restlichen“ Microsoft-Cloud nicht beliebig Daten austauschen konnte.

Und wieder stellt sich die Frage? Was gibt es für weitere Möglichkeiten?

Es verblieben noch die Ausnahmen des Art. 49 DS-GVO, wobei die relevantesten Möglichkeiten die Einwilligung (die aber explizit, spezifisch und informiert sein müsste), die Übermittlung zwecks Vertragserfüllung (für Verträge zwischen dem Datenverarbeiter und dem Datensubjekt) und die Übermittlung aus wichtigen Gründen des öffentlichen Interesses sein dürften ( [3], S. 4). Als Grundlage für massenhafte Datenübermittlungen kommen diese Ausnahmen jedoch eher nicht in Frage.

Fazit

Die Situation ist im Moment fluide: Zwar haben die Europäische Kommission und die amerikanische Regierung Verhandlungen über einen Nachfolger von Privacy Shield aufgenommen, ob und wann eine Einigung jedoch zu erwarten ist, bleibt ungewiss [5] (und Schrems III ist dabei schon fast sicher). Auch ist nicht bekannt, wie die 17 deutschen Datenschutzbeauftragten sich jetzt verhalten werden. Jedenfalls kommen aus Berlin und Rheinland-Pfalz die ersten Signale, dass die Verarbeitung personenbezogener Daten in den Vereinigten Staaten zu unterbleiben hat ( [6], S. 2) oder sehr wahrscheinlich unmöglich ist.

Dennoch lässt das Urteil des EuGH Raum für Anwendung der Standardvertragsklauseln. Allerdings sind das Einzelfallentscheidungen. Der Landesdatenschutzbeauftragte für Baden-Württemberg sieht dabei starke Einschränkungen: „[es] verbleiben dann maßgeschneiderte Lösungen im Einzelfall, die beispielsweise darin bestehen könnten, dass das amerikanische Unternehmen die Daten nachweislich in einer Weise verschlüsselt, die auch die Geheimdienste nicht überwinden können. Das würde aber voraussetzen, dass das amerikanische Unternehmen auch selbst nicht auf die Daten zugreifen und nicht mit ihnen arbeiten kann, was viele Geschäftsmodelle ausschließt. Bei einem Cloud-Speicher-Anbieter geht das vielleicht noch, aber bei einem sozialen Netzwerk oder einem Cloud-Computing-Anbieter naturgemäß nicht. Somit sind durch das Urteil große Teile der amerikanischen Digitalwirtschaft für Europäer tabu.“ [7]

Die erwähnte Nutzung von Cloud-Speicher gestaltet sich dabei technisch relativ simpel. Nutzt man entsprechende Zugangsbeschränkungen und verschlüsselt die Daten vor der Übertragung in die Cloud, sind diese sowohl dem Anbieter als auch etwaigen Behörden nicht direkt zugänglich – zumindest unter der Annahme, dass die Behörden keine Möglichkeit haben, die eingesetzte Verschlüsselung auszuhebeln.

Bei der Nutzung von Rechenleistung in der Cloud – also IaaS, PaaS oder SaaS – sieht die Sache leider etwas anders aus. In diesem Fall müssen die Daten früher oder später unverschlüsselt vorliegen, da sie sonst nicht sinnvoll verarbeitet werden können.

Das hat auch die Politik erkannt und bemüht sich um Verhandlungen für einen Nachfolger zu Privacy Shield. [8] Ob ein neues Abkommen gegen Schrems eine Chance hat? Die Zeit wird es zeigen.

Was kann man bis dahin tun? Am leichtesten ist es für die Unternehmen, die wenig bis gar keine Speziallösungen einzelner Anbieter, sondern offene und verbreitete Standards nutzen. Damit ist es – wenn auch mit Schmerzen – möglich, den Anbieter zu wechseln.

Es sei denn, es muss bspw. eine Nischensoftware eingesetzt werden. Dann bleiben momentan nur entsprechende Verhandlungen mit den Anbietern. Ob diese sich darauf einlassen, ist aber nicht garantiert.

Verweise

[1] Europäische Kommission, „Durchführungsbeschluss (EU) 2016/1250“, 2016.
[2] EuGH, Urt. v. 16.7.2020 – C-311/18 – „Schrems II“, 2020.
[3] European Data Protection Board, „Frequently Asked Questions on the judgment of the Court of Justice of the European Union in Case C-311/18 – Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems“, 2020.
[4] Europäische Kommission, „Beschluss 2010/87/EU“, 2010.
[5] Europäische Kommission, „Joint Press Statement from European Commissioner for Justice Didier Reynders and U.S. Secretary of Commerce Wilbur Ross“, Pressemitteilung vom 10.08.2020, 2020.
[6] Berliner Beauftragte für Datenschutz und Informationsfreiheit, „Nach „Schrems II“: Europa braucht digitale Eigenständigkeit“, 2020.
[7] C. v. Lijnden, „Die Richter wollen Europas Standards mit harter Hand durchsetzen, sagt der Datenschutzbeauftragte Stefan Brink,“ 20 Juli 2020. [Online]. Available: https://zeitung.faz.net/faz/politik/2020-07-20/22ea53d809ccc61cfe25da3e213e61e6/.
[8] F. Greis, „Privacy Shield: EU Und USA verhandeln über besseren Datenschutz,“ Golem Media GmbH, 11 August 2020. [Online]. Available: https://www.golem.de/news/privacy-shield-eu-und-usa-verhandeln-ueber-besseren-datenschutz-2008-150175.html. [Zugriff am 11 August 2020].
[9] EuGH, Urt. v. 6.10.2015 – C-362/14 – „Schrems I“, 2015

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.