Datenschutzkonforme Cloud-Speicher
Ständige Datenverfügbarkeit spielt heutzutage eine enorm wichtige Rolle. Wir arbeiten längst nicht mehr an immer demselben Schreibtisch und an ein und demselben Rechner. Stattdessen nutzen wir viele verschiedene Endgeräte und teilen diverse Daten in Echtzeit mit Dritten. Cloud-Speicher machen es möglich. Sie sorgen dafür, dass wir mit verschiedenen Geräten immer und überall Zugriff auf unsere Informationen haben. Konventionelle Datenträger können jederzeit ausfallen, was speziell im geschäftlichen Umfeld schwerwiegende Folgen haben kann. Deshalb erfreuen sich Cloud-Speicher heutzutage so großer Beliebtheit.
Die Auswirkungen des Schrems-II-Urteils auf die Nutzung von Cloud-Speichern
Der Europäische Gerichtshof (EuGH) veränderte mit dem Schrems-II-Urteil die Rechtsgrundlagen für den Austausch personenbezogener Daten mit den USA. Bis 16. Juli 2020 galt zwischen der EU und den USA das sogenannte Privacy Shield. Dabei handelte es sich um eine Übereinkunft zwischen der EU und den USA, auf deren Grundlage die EU-Kommission einen Angemessenheitsbeschluss gefasst hatte. Dieser besagte, dass die USA für personenbezogene Daten ein angemessenes Schutzniveau gewährleisten muss. Im Juli 2020 erklärte der EuGH das Abkommen mit sofortiger Wirkung für ungültig.
Mit dem Schrems-II-Urteil hat die Europäische Kommission am 4. Juni 2021 neue Standardvertragsklauseln (SCC: Standard Contractual Clauses) verabschiedet. Diese sind modular aufgebaut und enthalten neue Pflichten für Unternehmen. So dürfen personenbezogene Daten nicht mehr ohne Weiteres in die USA übermittelt werden.
Die neuen SCC können zwar als Rechtsgrundlage für einen Drittlandtransfer dienen, aber nur dann, wenn weitere Schutzmaßnahmen hinzukommen: Eine Datenübermittlung ist lediglich mit sogenannten "geeigneten Garantien" möglich. Zu diesen gehören Standardvertragsklauseln in Kombination mit starken Datenschutzmaßnahmen und verbindlichen internen Datenschutzvorschriften (Corporate Binding Rules).
Unternehmen sollten darauf achten, Altverträge bis spätestens 27. Dezember 2022 auf die neuen SCC umzustellen, denn ab diesem Datum verlieren die alten SCC ihre Wirkung. Der Datentransfer darf dann nicht mehr auf dieser Grundlage erfolgen.
Neue Empfehlungen in Sachen Drittlandtransfer
Der Europäische Datenschutzausschuss hat am 18. Juni 2021 neue Empfehlungen zu ergänzenden Maßnahmen bei Drittlandtransfers veröffentlicht. Diese lassen sich in sechs Punkten zusammenfassen:
- Die Datenübermittlungen kennen – der Datenexporteur muss einen Überblick über alle Datentransfers sowie deren Art und Weise haben.
- Auswahl der eingesetzten Übermittlungsinstrumente wie ein Angemessenheitsbeschluss, SCC oder Corporate Binding Rules.
- Beurteilung der Wirksamkeit des ausgewählten Übermittlungsinstruments gemäß Artikel 46 DSGVO im Hinblick auf die Gesamtumstände der Übermittlung. Das Übermittlungsinstrument muss gewährleisten, dass das durch die DSGVO geschaffene Schutzniveau nicht durch eine etwaige Übermittlung umgangen wird.
- Zusätzliche Maßnahmen implementieren. Sofern die Prüfung ergibt, dass das im dritten Punkt gewählte Übermittlungsinstrument nicht für einen angemessenen Schutz von personenbezogenen Daten ausreicht, stellt sich die Frage, ob weitere Schutzmaßnahmen zu implementieren sind. Welche davon können in technischer, vertraglicher oder organisatorischer Form erfolgen?
- Gegebenenfalls zusätzliche Verfahrensschritte wie die Benachrichtigung der Aufsichtsbehörde einleiten.
- Überprüfung der implementierten Maßnahmen auf ihre Effektivität in regelmäßigen Abständen.
In den Vereinigten Staaten von Amerika ist es den Geheimdiensten auf der Grundlage von verschiedenen gesetzlichen Vorschriften (etwa dem Cloud Act) gestattet, einen Großteil ausländischer Daten zu verarbeiten. Ein Datentransfer in die USA steht somit auf wackligen Beinen, auch wenn alternative Instrumente wie Standardvertragsklauseln oder Binding Corporate Rules zum Einsatz kommen können.
Das Urteil wird sicherlich zu Marktverschiebungen führen, denn viele Cloud-Anbieter haben ihren Sitz und ihre Server in den USA. Der Wegfall des Privacy Shields stellt viele amerikanische Unternehmen vor große Herausforderungen. Wer auf Nummer sicher gehen will, entscheidet sich besser für einen europäischen Cloud-Anbieter, dessen Server ausschließlich in Europa stehen.
Die am häufigsten genutzten Cloud-Speicher
Im Markt für Cloud-Speicher stehen große US-amerikanische Anbieter an der Spitze, die ihre Speicherangebote im Rahmen weitverbreiteter Dienste und Softwarelösungen vermarkten. Software und Speicherkapazität sind daher optimal aufeinander abgestimmt, was für die Kunden komfortabel und praktisch ist. Zu den weltweit größten Anbietern zählen Amazon mit Amazon Drive, Apple mit iCloud, Google mit Google Drive, Microsoft mit OneDrive und Dropbox.
Risiken von Cloud-Speichern bei personenbezogenen Daten
Alle kommerziellen Anbieter verarbeiten personenbezogene Daten der Cloud-Nutzer. Wer die Cloud eines Dienstleisters nutzt, gibt die Hoheit über seine Daten ein Stück weit aus der Hand. Dessen müssen sich alle Nutzer bewusst sein. Privatnutzer sollten bei der Auswahl geeigneter Anbieter deshalb besonders auf Datensparsamkeit achten. Insbesondere Unternehmen, die die personenbezogenen Daten ihrer Mitarbeiter und Kunden in Cloud-Speichern verwalten, sollten sich bei der Wahl eines Anbieters genau auf dem Markt umsehen.
Datenschutzkonforme Clouds erkennen
Cloud-Speicher von Anbietern mit einem Firmensitz und Serverstandorten in Deutschland oder einem Staat der EU oder des Europäischen Wirtschaftsraums (EWR) erfüllen höchstwahrscheinlich die Vorgaben der DSGVO. Anders sieht es beispielsweise bei US-Anbietern aus, die in Deutschland aus Gründen der DSGVO-Konformität ihre Dienste über eine europäische Tochtergesellschaft anbieten und Server-Standorte in Europa betreiben. In diesen Fällen entsprechen sie zwar prinzipiell den Voraussetzungen der DSGVO. Um sicherzugehen, sollten die Datenschutzbeauftragen von Firmen aber genau hinsehen und die Cloud-Speicher diesbezüglich überprüfen.
Folgende Kriterien verdienen dabei Beachtung:
- Verschlüsselte Datenübertragung und Speicherung: Der Schlüssel darf nur dem Nutzer bekannt sein. Der Sinn geht verloren, wenn auch der Anbieter die Daten entschlüsseln und auswerten kann – oder dieser, wie in den USA, sogar gesetzlich dazu verpflichtet ist, Daten auf Anordnung zu dechiffrieren und an die Behörden weiterzugeben.
- Prüfsiegel und Zertifikate: Der Cloud-Anbieter wurde nach einem international anerkannten Standard zertifiziert, beispielsweise durch die ISO/IEC 27001 oder das C5-Testat des BSI (Bundesamt für Informationssicherheit).
- Serverstandort: Es gelten immer die datenschutzrechtlichen Bestimmungen des Landes, in dem sich der Server befindet.
- Back-up: Neben der Cloud sollten zudem alternative Speicher zum Einsatz kommen. Selbst bei sehr sicheren Anbietern verbleibt immer ein Restrisiko, dass Daten verloren gehen oder nicht verfügbar sind. Ein solches Szenario führt nicht nur zu datenschutzrechtlichen Konsequenzen in Form von Bußgeldern und Schadenersatzforderungen, sondern auch zu möglichen materiellen und nichtmateriellen Schäden. Dazu zählen Reputationsschäden und der Verlust von sensiblen Daten wie Geschäftsgeheimnissen oder Kundendaten.
Konsequenzen einer nicht DSGVO-konformen Nutzung von Cloud-Speichern
Wer personenbezogene Daten von Dritten verarbeitet (Kunden, Interessenten oder Mitarbeiter), muss dies DSGVO-konform tun. Andernfalls drohen Sanktionen in Form von hohen Bußgeldern. Beinahe noch kritischer als diese ist für Unternehmen die Tatsache, dass die Aufsichtsbehörden bei Verstößen eine sofortige Einstellung der widerrechtlichen Datenverarbeitung verfügen können. Dies kann – je nach Firma – sogar das Ende für die aktuelle Geschäftstätigkeit bedeuten.
Die perfekte Cloud gibt es nicht, zumindest nicht von der Stange. Jedes Unternehmen hat spezifische Anforderungen, beispielsweise im Hinblick auf die Synchronisation der Daten, Design und Usability, gemeinsames Arbeiten, Anzahl der Nutzer, Verschlüsselung und Datenschutzniveau sowie die Kosten im Verhältnis zur Speicherkapazität. Jedoch gibt es in Deutschland viele gute Alternativen zu den großen US-Anbietern.
Cloud-Speicher selbst einrichten
Für viele Unternehmen dürfte eine eigene Firmen-Cloud die beste Alternative sein, obwohl der Aufbau und die Umsetzung einigen Aufwand erfordern. Denn die Verantwortlichen müssen in eine geeignete IT-Infrastruktur, ein Back-up-Konzept, in Datenschutzlösungen und regelmäßige Wartungsarbeiten investieren. Der Aufwand lohnt sich aber, denn wer eine eigene Firmen-Cloud besitzt, profitiert von den Vorteilen, ohne die Nachteile einer Fremdlösung in Kauf nehmen zu müssen. Das Unternehmen behält mit der eigenen Cloud die Hoheit über sämtliche Daten. Zudem lassen sich Speichervolumen, Berechtigungsmanagement, Funktionalität und Usability präzise auf die individuellen Anforderungen abstimmen. Auch Datenschutz und Datensicherheit bleiben in eigener Hand und unter Kontrolle.
Fazit
Wer als Unternehmen einen Cloud-Speicher nutzen möchte, sollte bei der Auswahl der Lösung genau auf den Datenschutz schauen. Denn insbesondere bei Anbietern aus Drittstaaten ist eine DSGVO-konforme Verarbeitung personenbezogener Daten regelmäßig nicht gewährleistet. Firmen sollten daher prüfen, wo sich die Server-Standorte befinden. Auch der Umgang mit personenbezogenen – und insbesondere sensiblen – Daten gemäß der Datenschutzerklärung verdient einen präzisen Blick.