FAQ mit Henrik Hasenkamp von gridscale Rechtssicherheit in der Cloud nach dem Privacy Shield

Redakteur: Elke Witmer-Goßner

Unter dem EU-US Privacy Shield war es bisher möglich, personenbezogene Daten europäischer Bürger an Unternehmen mit Sitz in den USA zu übermitteln. Nach einer Entscheidung des EuGH wurde das Abkommen allerdings vor Kurzem für ungültig befunden.

Firmen zum Thema

Nach Ende des Privacy Shields kann solange in der US-Cloud keine Rechtskonformität gemäß DSGVO gewährleistet werden, bis ein neuer Gesetzesentwurf vorliegt.
Nach Ende des Privacy Shields kann solange in der US-Cloud keine Rechtskonformität gemäß DSGVO gewährleistet werden, bis ein neuer Gesetzesentwurf vorliegt.
(Bild: © mixmagic - stock.adobe.com)

Die Begründung des Gerichts: Das Gesetz bietet keine Garantien, die den strengen Ansprüchen der DSGVO genügen würden. Im Zusammenhang mit der Tatsache, dass besonders Software- und Cloud-Angebote häufig von internationalen Anbietern bezogen werden, müssen Einkäufer ab jetzt noch wachsamer vorgehen. Besonders in Hinblick auf personenbezogene Daten sind Unternehmen noch häufig überfordert. In Form eines FAQs fasst Henrik Hasenkamp, CEO von gridscale, die wichtigsten Punkte zusammen:

Was genau sind überhaupt personenbezogene Daten?

Es sind all jene Daten enthalten, mit denen eine Verbindung zu einer bestimmten Person hergestellt werden kann. Damit sind in der Praxis wesentlich mehr Daten personenbezogen, als es auf den ersten Blick den Anschein hat. Es spielt also keine Rolle, ob die Informationen richtig oder falsch sind, ob sie wichtig, geschäftskritisch oder sensibel sind. Auch unrichtige und scheinbar unwichtige Informationen, wie Initialen oder eine Beschreibung der Gangart einer Person, können personenbezogene Daten sein und fallen somit unter die Regelungen. Für die Nutzung der Cloud ist zu beachten, dass nicht nur etwa Namen oder E-Mail-Adressen unter den Begriff personenbezogen fallen, sondern gesamte Datensätze sowie Logfiles und Zeitstempel.

Was, wenn ich personenbezogene Daten pseudonymisiere?

Auch pseudonymisierte Daten gelten als personenbezogen, da der Bezug theoretisch jederzeit hergestellt werden kann. Das ist beispielsweise bei IP-Adressen in Logfiles von Webservern der Fall. Die Daten dürfen so zwar weiterhin gespeichert werden, allerdings gemäß der Richtlinien der DSGVO. Auch eine Verschlüsselung ändert daran nichts, da der Bezug zur jeweiligen Person mithilfe des richtigen Schlüssels nachvollzogen werden kann. Eine Lösung dafür ist die Trennung von Kundendaten und technischen Informationen. Das bedeutet, dass jeder Kunde und jede Infrastruktur-Ressource eine eindeutige Identifikationsnummer zugewiesen bekommt. Diese ID wird in allen Anwendungen genutzt, die Kundendaten enthalten. Dadurch sind die personenbezogenen Daten von den restlichen Daten getrennt und können beispielsweise selektiv gelöscht werden. Eine andere Möglichkeit ist die Nutzung der Daten in Form von Statistiken, wodurch sie vollständig anonymisiert werden.

Henrik Hasenkamp von gridscale rät davon ab, US-Clouds zu nutzen – solange bis die Rechtssicherheit wieder hergestellt ist.
Henrik Hasenkamp von gridscale rät davon ab, US-Clouds zu nutzen – solange bis die Rechtssicherheit wieder hergestellt ist.
(Bild: gridscale GmbH)

Wie verhält sich die Speicherung von personenbezogenen Daten in Hinblick auf die DSGVO und die Aufbewahrungspflicht?

Die Aufbewahrungspflicht verbietet die Löschung von Daten für zehn Jahre nach dem letzten Buchungsvorgang. Sie gilt für alle Unterlagen (und damit auch Daten), die zu den Geschäftsvorfällen gehören – etwa Rechnungen, Angebote, Auftragsbestätigungen, Zahlungsbelege, Verträge und vieles mehr. Dadurch entsteht ein Widerspruch zwischen Lösch- und Aufbewahrungspflicht, der sich aber zugunsten der spezialgesetzlichen Archivierungsfristen auflösen lässt. So dürfen laut DSGVO personenbezogene Daten archiviert werden, wenn dies zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen dient. In Hinblick auf die Cloud-Nutzung, müssen sich Entscheider hier vorher versichern, ob eine Möglichkeit besteht, die Löschung bei einer Prüfung eindeutig nachzuweisen, um sich rechtlich abzusichern.

Ist unverhältnismäßiger Aufwand ein Argument für den Verzicht auf das Löschen?

Im November 2019 wurde eine große Immobiliengesellschaft mit einem Bußgeld von 14,5 Millionen Euro bestraft, da sie Altdaten vieler Mieter nicht systematisch gelöscht hatte. Begründung: Zu hoher Zeitaufwand. Eine Hintertür, die im alten Bundesdatenschutzgesetz (BDSG) noch funktioniert hat. Diese Möglichkeit existiert nicht in der DSGVO und auch der deutsche Gesetzgeber hat sie nicht in das angepasste BDSG übernommen. Genauer gesagt: Eine solche Regel existiert, aber nur für Papierakten, nicht für Datenträger und Cloud-Speicher. In der Praxis bedeutet das, dass auch ein unverhältnismäßig großer Aufwand kein ausreichender Grund sind, seine Daten nicht gemäß DSGVO zu sichern und Unternehmen dieser Regelung nachkommen müssen, selbst wenn dazu neue Systeme eingesetzt werden sollten.

Was ist mit dem internationalen Austausch?

Bisher bestand durch das EU-US Privacy Shield die Möglichkeit personenbezogene Daten europäischer Bürger an Unternehmen mit Sitz in den USA zu übermitteln. Ein Gesetz, das nun für ungültig befunden wurde. Das liegt daran, dass US-Unternehmen auf Anfrage von Geheimdiensten dazu verpflichtet sind eben diese Daten zur Verfügung zu stellen. Was in den USA funktioniert, ist allerdings ein Verstoß gegen die hierzulande geltende DSGVO. Für die Zukunft, ist eine neue Vereinbarung zwischen den USA und der EU in Planung, bis dahin besteht allerdings die „einfache“ Regel, dass Unternehmen gegen das Gesetz verstoßen, sobald von ihnen in die USA übertragene Daten nicht nach DSGVO behandelt werden.

Was sind Standardvertragsklauseln und gelten diese weiterhin?

Standardvertragsklauseln sind gewissermaßen rechtliche Vorgaben, die von der EU zur Datenübermittlung erstellt wurden. Was zuerst sinnvoll erscheinen mag, löst die Probleme bei der Datenübertragung in die USA allerdings nicht. Standardvertragsklauseln setzen voraus, dass ein adäquater und ähnlicher Datenschutz im Empfängerland gewährleistet werden kann, wie in dem des Exporteurs. Da dies in den Vereinigten Staaten nicht der Fall ist, und die Datennutzung in den USA von deutschen Unternehmen nicht vorab garantiert und kontrolliert werden kann, reichen auch Standardvertragsklauseln nicht mehr aus und ersetzen somit nicht, das DSGVO-konforme Handeln. Für Unternehmen bedeutet das, dass die bisherigen Verträge überprüft werden müssen, mit besonderem Blick auf die eventuell bestehenden Standardvertragsklauseln. Juristen haben Zweifel, ob die derzeit in der EU laufende Aktualisierung der Standardvertragsklauseln das Problem der Rechtsunsicherheit dauerhaft wird lösen können.

Welche Risiken entstehen dadurch?

Da besonders Software- und Cloud-Angebote häufig von internationalen Anbietern bezogen werden, entsteht dadurch das Risiko, dass die Anwendung nicht an die DSGVO oder eigene Compliance-Vorgaben angepasst werden kann. Sichern Unternehmen die Daten nicht umfassend beträgt der Rahmen für Bußgelder bei Verstößen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Die Einhaltung der DSGVO ist also längst keine Option mehr und zur Vermeidung dieser Risiken unbedingt notwendig.

Bin ich selbst oder der Cloud-Provider für die Einhaltung der DSGVO verantwortlich?

Das ist eine Frage, die immer wieder aufkommt und besonders bei kleineren Unternehmen zu Unsicherheit führt. Die Verantwortlichkeit für die Einhaltung des Datenschutzes muss zuvor zwischen den Parteien genau geklärt werden, da ein Cloud-Anbieter häufig eher Dienstleistungscharakter hat und den jeweiligen Auftrag nur unter den Vorgaben des Kunden ausführt. Unternehmen ist daher geraten, im Vertrag die einheitlichen oder gemeinschaftlichen Verantwortlichkeiten genau festzuhalten, insbesondere im Hinblick auf die DSGVO.

Was bedeutet das für die Nutzung von US-Cloud-Angeboten?

Bei der Nutzung von SaaS oder cloud-basierten Lösungen werden Daten in die Cloud übertragen, bei der Nutzung von US-Clouds ist also eine Übermittlung in die USA nicht zu vermeiden. Zusätzlich dazu gibt es auch Cloud-Anbieter mit Rechenzentren außerhalb der USA, was die Situation weiterhin verkompliziert. Nach der Kippung des Privacy Shields kann in der US-Cloud keine Rechtskonformität gemäß DSGVO gewährleistet werden, bis ein neuer Gesetzesentwurf vorliegt. Die Nutzung von Anbietern aus den USA sollte also möglichst vermieden werden.

Gibt es Ausnahmen?

Ist es Unternehmen möglich, die explizite Einwilligung der betroffenen Personen einzuholen, ist die Übertragung weiterhin erlaubt. In Anbetracht der großen Mengen an Daten, die in die Cloud von verschiedenen Zugriffspunkten übertragen werden, ist diese Variante für die meisten Unternehmen allerdings vermutlich keine Option.

Welche Alternative habe ich?

Da ein Rückzug aus der Cloud nicht ohne Weiteres möglich ist und Cloud-Angebote weiterhin eine Vielzahl von Vorteilen bieten, empfiehlt es sich auf heimische Cloud-Anbieter zurückzugreifen, deren Rechenzentren sich in der EU befinden. So ist seitens des Anbieters bereits eine Sicherung gemäß DSGVO garantiert und die Nutzung von personenbezogenen Daten richtet sich komplett nach den hierzulande geltenden Regelungen. Anbieter wie gridscale, die sich auf den deutschen und EU-Markt spezialisiert haben, bieten vollen Funktionsumfang unter Berücksichtigung der DSGVO und ermöglichen individuelle Compliance-Anpassungen.

Weiterführende Inhalte

gridscale und die Wirtschaftskanzlei Heuking Kühn Lüer Wojtek haben ein kostenfreies Kompendium zu rechtlichen Fallstricken beim Cloud Computing veröffentlicht. Der praxisnahe Ratgeber geht dabei über die gängigen Schlagworte zu Datenschutz und Datensicherheit weit hinaus und liefert Business- und IT-Entscheidern Hintergrundinformationen und konkrete Hilfestellungen bei der Auswahl des für sie passenden Cloudanbieters. Das Whitepaper steht hier gegen Registrierung zum Download bereit.

Henrik Hasenkamp verantwortet als CEO die Strategie und Ausrichtung von gridscale, einem europäischen IaaS- und PaaS-Anbieter, der die technologische Basis für anspruchsvolle Cloud-Lösungen schafft. Der Diplom-Wirtschaftsinformatiker führt das Kölner Unternehmen mit seinen rund 100 Mitarbeitern zusammen mit Felix Kronlage-Dammers.

(ID:47344120)