Cloud & Sicherheit – sensible Daten in der Cloud? Aber sicher!

Die Digitalisierung im Mittelstand schreitet unaufhaltsam voran. Um weiterhin wettbewerbs- und zukunftsfähig zu sein, benötigen Unternehmen eine belastbare IT-Infrastruktur, z. B. für die Bereitstellung von skalierbaren Web-Applikationen, die Einrichtung komplexer Speicher- und Back-up-Lösungen oder die Analyse von großen Big-Data-Datenbanken. Die Lösung nennt sich Cloud Computing, sprich die dynamische Bereitstellung von IT-Ressourcen (wie z. B. Speicherplatz, Rechenleistung oder Netzwerkkomponenten) und bietet unzählige Vorteile. So lassen sich Performance, Flexibilität und Verfügbarkeit erheblich erhöhen bei gleichzeitig geringeren Investitionskosten. Bei all den Vorzügen darf jedoch ein wichtiger Bereich keinesfalls missachtet werden – das Thema Sicherheit und Datenschutz. Der renommierte Fachanwalt für IT-Recht Peter Kaumanns zeigt im folgenden Gastbeitrag auf, welche wichtigen Aspekte Unternehmen in Bezug auf das Thema „Cloud und Sicherheit“ beachten müssen.

Cloud-Dienste sicher nutzen – darauf müssen Sie achten

Unternehmen, die heute IT-Strukturen mit Hilfe von Cloud-Anbietern betreiben, müssen vor allem die datenschutzrechtliche Situation prüfen. Informationen über die Standorte eines Cloud-Anbieters und dessen Servern geben Auskünfte darüber, welches Datenschutzrecht und welche rechtlichen Regelungen gelten. Jeder Staat hat, auf Grundlage der jeweils geltenden Datenschutzgesetze und anderen Vorschriften, Zugriffsrechte auf gespeicherte Daten z. B. durch Beschlagnahme vonseiten der Behörden, unterschiedlich geregelt.

Bei vielen Cloud-Diensten ist allerdings nicht sofort ersichtlich, in welchem Land der Anbieter seinen Sitz hat, wo sich seine Server befinden und welche rechtlichen Regelungen anwendbar sind. Für die Kunden ist es oftmals nicht sofort erkennbar, an welchem Ort ihre Daten gespeichert werden, sofern der Cloud-Anbieter dazu keine expliziten Informationen bereitstellt.

Datenschutz und Sicherheit in Bezug auf amerikanische Cloud-Anbieter

Cloud-Anbieter mit Sitz und Servern in Deutschland stehen dabei insbesondere mit Angeboten amerikanischer Anbieter im Wettbewerb. Hinsichtlich deren Angebote muss allerdings beachtet werden, dass spätestens seit dem Jahr 2011 bekannt ist, dass bestimmte Daten für amerikanische Behörden zugänglich gemacht werden müssen. Amerikanische Unternehmen unterliegen Verpflichtungen, US-Behörden den potentiellen Zugriff auf die Cloud-Daten ihrer Kunden zu ermöglichen. Diese Verpflichtungen müssen unabhängig davon erfüllt werden, ob die betroffene Daten, auf welche eine US-Behörde zugreifen will, innerhalb oder außerhalb der Vereinigten Staaten gespeichert sind, sie gilt also auch auf im Ausland gespeicherte Daten.

Danach dürfen US-Behörden zukünftig für strafrechtliche Zwecke auch ohne Rückgriff auf internationale Rechtshilfeabkommen Zugriff auf personenbezogene Daten von amerikanischen Unternehmen erhalten, auch wenn diese nicht in den USA gespeichert werden. Rechtliche Mittel gegen dieses Vorgehen haben US-fremde Personen jedoch kaum. Unabhängig davon, ob der Betroffene selbst oder der US-Anbieter gegen den Akt einer US-Behörde vorgeht, soll sich das Vorgehen an den vorhandenen amerikanischen Rechtsinstrumenten orientieren. Im Vergleich mit der europäischen DSGVO, die vorrangig den Schutz personenbezogener Daten im Blick hat, ist das Vorgehen amerikanischer Behörden vor allem auf die Unterstützung von Ermittlungstätigkeiten ausgerichtet. Wegen dieser Unterschiede zur DSGVO stehen amerikanische Cloud-Anbieter daher vor dem Problem, dass entweder ein Verstoß gegen US-Recht oder die DSGVO samt deren hohen Bußgeldern in Kauf genommen werden muss. Ob die derzeit praktizierte Abspaltungen von Unternehmensteilen oder die Einführung eines Treuhändermodells eine Lösung ist, die auch amerikanische Behörden durchweg akzeptieren, ist derzeit nicht abschließend geklärt.

Ganz aktuell hat auch der Europäische Gerichtshof im „Schrems II“-Verfahren das sog. Privacy Shield für ungültig erklärt (Urt. v. 16.07.2020, Az. C-311/18).

Unter dem Datenschutzabkommen „Privacy Shield“ hatten sich über 4.000 US-amerikanische Unternehmen zertifizieren lassen. Dadurch war es ihren Geschäftspartnern in der EU erlaubt, personenbezogene Daten an solche zertifizierten Unternehmen in den USA zu übermitteln.

Bereits vor dem Urteil wurde kritisiert, dass der Zugriff der US-Nachrichtendienste wie der NSA auf die Daten zu weit und der Rechtsschutz für Betroffene zu gering sei. Dieser Kritik hat sich nun auch der EuGH angeschlossen und dies damit begründet, dass die Massenüberwachung durch die US-Nachrichtendienste uferlos sowie die Daten europäischer Nutzer in den USA damit nicht angemessen geschützt wären. Für Betroffene in der EU sei kein ausreichender Rechtsbehelf gegen die nachrichtendienstliche Überwachung vorhanden.

Die als Alternative zur Verfügung stehenden sog. Standardvertragsklauseln dürfen zwar nach dem EuGH weiter genutzt werden. Dies ist aber nur nach einer vorherigen Prüfung des Verantwortlichen, ob im Drittland tatsächlich ein angemessenes Datenschutzniveau garantiert werden kann, möglich. Viele Experten stellen dies für die USA in Frage und kommen zu dem Ergebnis, dass auch die Standardvertragsklauseln als Erlaubnis in sehr vielen Fällen nicht ausreichend sind. Damit sind zum heutigen Stand die meisten Datenübermittlungen in die USA wahrscheinlich als rechtswidrig zu bewerten.

Derzeit gibt es eine Vielzahl von Meldungen der datenschutzrechtlichen Aufsichtsbehörden zum Urteil des EuGH, die eine Prüfung von Datenübertragungen in die USA fordern. In Folge der Entscheidung des EuGH müssen Unternehmen ihre IT-Systeme und eingesetzten Dienstleiter daher unverzüglich auf zulässige Datenübermittlungen in die USA überprüfen.

Fazit: Wer sich für einen deutschen Cloud-Anbieter entscheidet, ist in der Regel besser beraten

Unternehmen sind daher gut beraten Datensicherheit und dadurch einen Wettbewerbsvorteil zu erlangen, indem sie nicht nur an sich selbst, sondern auch an ihre Cloud-Anbieter hohe Datenschutzanforderungen stellen. Eine Lösung ist dabei die Zusammenarbeit mit Cloud-Anbietern, deren Sitz und Server im europäischen Raum im juristischen Geltungsbereich der DSGVO liegt. Damit kann den rechtlichen Folgen der Schrems II Entscheidung des EuGH angemessen begegnet werden.

Rechtsanwalt Peter Kaumanns, geboren 1976, studierte Rechtswissenschaften und Germanistik an der Rheinischen-Friedrich-Wilhelms-Universität Bonn sowie der Paris-Lodron-Universität Salzburg. Nach seiner Zulassung zum Rechtsanwalt arbeitete er zunächst in der Anwaltssozietät Prof. Dr. Tondorf, Böhm & Leber in Düsseldorf. Er betreute die Dezernate IT- und Arbeitsrecht. Seit 2012 ist er bei Terhaag & Partner Rechtsanwälte. Im Jahr 2009 absolvierte er den Masterstudiengang Informationsrecht (LL.M.) an der Heinrich-Heine-Universität Düsseldorf. Rechtsanwalt Kaumanns ist Fachanwalt für IT-Recht, außerdem berät er schwerpunktmäßig im Bereich Arbeitsrecht. Er ist zudem zertifizierter Datenschutzbeauftragter (TüV Rheinland). Von 2013 bis 2018 war Peter Kaumanns Lehrbeauftragter der Hochschule Düsseldorf University for Applied Sciences.

Im digitalen Zeitalter ist eine zuverlässige und sichere Cloud unentbehrlich. Dabei spielt die Auswahl eines erfahrenen und qualifizierten Cloud-Anbieters, der in der Lage ist, Ihre Anforderungen optimal zu erfüllen, eine große und wichtige Rolle. LANSOL ist genau der richtige Ansprechpartner für Sie! Lassen Sie sich von unserem Team unverbindlich zum Thema Cloud-Lösungen beraten. Wir freuen uns auf Ihre Kontaktanfrage!