Cloud und Datenschutz in Einklang bringen

Seit dem 6. Oktober 2015 ist es amtlich: Das seit dem Jahr 2000 geltende Safe-Harbor-Abkommen (2000/520/EG) ist nicht mit dem europäischen Datenschutzrecht vereinbar und deshalb ungültig. So entschied höchstrichterlich der Europäische Gerichtshof (EuGH). Dass es überhaupt zu diesem Urteil kommen musste, ist unverständlich, denn die gravierenden Mängel der „Safe Harbor Principles“, mit deren Einhaltung US-Firmen Datenschutz auf EU-Niveau garantieren wollten, waren seit Jahren bekannt.„Die deutschen Datenschutzbehörden haben schon seit Langem darauf hingewiesen, dass Safe Harbor Defizite hat“, sagt Helga Block, Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen.

Bereits 2010 stellte eine australische Studie fest, dass von den 2170 US-Unternehmen, die von sich behaupteten, Safe Harbor zu respektieren, 940 keine Angaben darüber machten, wie sie die garantierten Einspruchsmöglichkeiten umgesetzt haben. Und über 300 Unternehmen verlangten für die Bearbeitung von Beschwerden Gebühren von bis zu 4000 Dollar. „Aus Datenschutzsicht könnte es nur eine Konsequenz aus den bisherigen Erfahrungen geben – Safe Harbor sofort zu kündigen.“ Das sagte Thilo Weichert, damals Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, angesichts dieser desaströsen Ergebnisse.

Selbst der EU-Kommission, die das Abkommen verhandelt und immer verteidigt hatte, kamen im Zuge der Snowden-Affäre Zweifel: „Angesichts der festgestellten Schwachstellen kann das Safe-Harbor-System nicht wie bisher fortgeführt werden“, schrieb sie in einer im November 2013 verfassten Mitteilung (COM [2013] 846 final) an das Europäische Parlament und den Rat. 

Eine Aufhebung des Abkommens wollten die Politiker allerdings vermeiden: „Die Kommission ist (…) der Auffassung, dass das Safe-Harbor-System eher gestärkt werden sollte“, heißt es in dem Papier weiter. Die Verfasser weisen außerdem ausdrücklich darauf hin, dass europäische Datenschutzbehörden nach Artikel 3 der Safe-Harbor-Entscheidung die Datenübermittlung auf Basis von Safe Harbor auch aussetzen könnten. Dass so wenige von dieser Möglichkeit Gebrauch machten, sieht der Europäische Datenschutzbeauftragte Giovanni Buttarelli aber nicht als Versagen an: „Nachdem das Safe-Harbor-Verfahren angenommen worden war, waren den Datenschutzbehörden gewissermaßen zunächst durch die Entscheidung der Europäischen Kommission die Hände gebunden.“

Erst die Klage einer Privatperson, des österreichischen Studenten Maximilian Schrems, brachte das Abkommen zu Fall. Schrems hatte 2011 damit begonnen, gegen die Datensammelwut des US-Anbieters Facebook vorzugehen, war aber zunächst an den irischen Datenschutzbehörden gescheitert, die aufgrund des europäischen Firmensitzes von Facebook in Irland für das Verfahren zuständig waren. Sie vertraten die von Buttarelli bereits angesprochene Haltung: Safe Harbor ist nach Auffassung der Europäischen Kommission sicher, eine Überprüfung nicht notwendig und auch nicht möglich. 

In der Folge der NSA-Affäre kassierte das oberste irische Zivilgericht 2014 jedoch die Entscheidung der irischen Aufsichtsbehörde und verwies den Fall an den EuGH. Dieser erklärte an besagtem 6. Oktober die „Entscheidung 2000/520“, auf der Safe Harbor beruht, für ungültig und die Rechtsauffassung der irischen Datenschutzbehörde, sie sei an die Safe-Harbor-Entscheidung gebunden, für falsch.

Das EuGH-Urteil ist kein bloßer juristischer Akt, sondern hat unmittelbar massive Konsequenzen für Unternehmen. Sie müssen schleunigst prüfen, ob sie beziehungsweise ihre Dienstleister davon betroffen sind. Grund: „Übermittlungen von personenbezogenen Daten in die USA, die allein auf Safe Harbor als Rechtsgrundlage gestützt sind, können gegen die nationale Umsetzung von Artikel 25 der EU-Datenschutzrichtlinie 95/46/EG verstoßen“, erklärt der oberste europäische Datenschützer Buttarelli.

In Deutschland tun sie das auf jeden Fall, so NRW-Datenschützerin Helga Block: „Nach dem Safe-Harbor-Urteil des EuGH (…) ist eine Datenübermittlung aufgrund der Safe-Harbor-Entscheidung der Kommission vom 26. Juli 2000 (2000/520/EG) nicht zulässig.“ Wer diesen Sachverhalt ignoriert, riskiert Bußgelder bis zu 300.000 Euro. In Einzelfällen können sogar noch höhere Summen fällig werden, etwa wenn es um die Abschöpfung von Gewinnen geht. „Auch zivilrechtliche Klagen derjenigen, deren Daten übertragen werden, kommen in Betracht“, ergänzt der Rechtsanwalt und Fach­anwalt für IT-Recht Jens Eckhardt, Vorstand bei EuroCloud Deutschland_eco e. V. (Ressort Recht).

Nach dem EuGH-Urteil hatten sich die europäischen Datenschützer allerdings auf ein Stillhalteabkommen bis Ende Januar 2016 geeinigt. Während dieser Zeit sollte es keine Sanktionen für Firmen geben. „Sofern bis Ende Januar 2016 keine angemessene Lösung für eine Nachfolgeregelung zu Safe Harbor gefunden sein sollte, werden die Datenschutzbehörden dann alle notwendigen und angemessenen Maßnahmen ergreifen, um die Rechte betroffener Personen zu schützen, gegebenenfalls in koordinierten Aktionen“, kündigte Buttarelli aber an.

Ob es zu diesen Aktionen kommt und wie sie ausgestaltet sind, stand zu Redaktionsschluss noch nicht fest.

Welche Sprengkraft im Urteil des EuGH liegt, scheint vielen Unternehmen nicht klar zu sein, wie eine Untersuchung des Landesamts für Datenschutz und Informationsfreiheit (LfDI) Rheinland Pfalz ergab. Das Amt wollte im Dezember – also zwei Monate nach dem Urteil – von den 122 größten Unternehmen des Landes im Rahmen eines Auskunftsverfahrens wissen, auf welcher Rechtsgrundlage sie personenbezogene Daten in die USA übermitteln und welche Konsequenzen sie aus dem EuGH-Urteil gezogen haben.

Fast die Hälfte (47 Prozent) der 105 Unternehmen, die ihrer Auskunftspflicht nachkamen, offenbarten erhebliche, teils gravierende Defizite im Umgang mit personenbezogenen Daten von Kunden, Geschäftspartnern und Beschäftigten. 15 Prozent waren nicht in der Lage, die zehn einfachen Fragen des LfDI, die stichwortartig beziehungsweise mit Ja oder Nein beantwortet werden konnten, innerhalb der gesetzten Monatsfrist vollständig zu bearbeiten.

17 Prozent gaben zwar an, keine Datentransfers in die USA vorzunehmen, verstrickten sich jedoch in Widersprüche. „Diesen Unternehmen ist offensichtlich nicht klar, dass bei der Nutzung von Cloud-Diensten, von Google Analytics, Microsoft Office 365 oder Facebook regelmäßig personenbezogene Daten in die USA übermittelt werden“, heißt es vonseiten des LfDI. Weitere 15 Prozent hatten offensichtlich die Tragweite des Urteils nicht verstanden, denn sie gingen immer noch von einem „angemessenen Datenschutzniveau“ in den USA beziehungsweise bei ihren US-Partnerfirmen aus.

Offensichtlich muss man es also immer wieder betonen: So lange nicht klar ist, ob es einen Safe-Harbor-Nachfolger geben wird und wie dieser aussieht, gelten die USA als ein Land ohne angemessenes Datenschutzniveau. Anders als etwa bei einer Übermittlung nach Kanada, Israel oder in einige südamerikanische Länder, für die es weiter gültige Vereinbarungen gibt, ist der Transfer in die USA deshalb mit denselben Maßstäben zu messen wie etwa eine Datenübermittlung nach China, Indien oder Pakistan.

So bleiben Unternehmen drei mehr oder weniger rechtssichere Möglichkeiten für den Austausch personenbezogener Daten mit US-Firmen.

EU-Standardvertragsklauseln: Die Europäische Kommission hat Vertragsklauseln für die Übermittlung personenbezogener Daten zwischen zwei verantwortlichen Stellen (Controller/Controller) sowie von einer verantwortlichen Stelle zum Auftragsdatenverarbeiter (Controller/Processor) geschaffen, die Unternehmen direkt verwenden können (Entscheidung 2010/87EU unter Aufhebung der Entscheidung 2002/16/EC).

Standardvertragsklauseln müssen einklagbar sein, und zwar nicht nur durch die Vertragsparteien, sondern auch durch betroffene Personen, vor allem wenn ihnen als Folge eines Vertragsbruchs Schaden entsteht. Für die Datenübermittlung zwischen gleichberechtigten Stellen gibt es zwei Versionen von Standardvertragsklauseln (Entscheidung 2001/497/EC, Set I und 2004/915/EC, Set II).

Eine detaillierte Beschreibung der Unterschiede dieser beiden Varianten findet sich auf dem Blog „Datenschutz Notizen“, der von Mitarbeitern der Datenschutz Nord Gruppe betrieben wird.

Ob die Standardvertragsklauseln im Licht des Safe-Harbor-Urteils überhaupt noch nutzbar sind, darüber herrschte zu Redaktionsschluss Unklarheit. Nach Ansicht der EU-Kommission sind sie weiterhin wirksam, die Artikel-29-Datenschutzgruppe – das unabhängige Beratungsgremium der EU-Kommision – und die deutschen Aufsichtsbehörden wollten dagegen bis Ende Januar 2016 prüfen, inwieweit das Instrument noch zum Einsatz kommen kann. Bis dahin sollten zumindest keine Sanktionen verhängt werden, wenn Unternehmen auf Basis der Standardvertragsklausen personenbezogene Daten in die USA übermitteln.

Binding Corporate Rules: Vor allem große Konzerne und Unternehmensgruppen haben individuelle verbindliche Unternehmensrichtlinien (Binding Corporate Rules, BCR) festgelegt, um die datenschutzkonforme Übertragung personenbezogener Daten aus Europa in andere Länder zu gewährleisten. Dazu gehören beispielsweise BMW, Deutsche Post, Deutsche Telekom, Osram und die Siemens-Gruppe. Auch die Rechtsgültigkeit der BCR ist derzeit unklar. Die deutschen Datenschützer haben angekündigt, bis auf Weiteres keine neuen Genehmigungen für Datenübermittlungen in die USA auf Grundlage von BCR zu erteilen.

Der Internetverband eco empfiehlt Unternehmen, die Daten in die USA exportieren wollen, Folgendes zu berücksichtigen:

Informierte Einwilligung: Nach § 4 des Bundesdatenschutzgesetzes (BDSG) ist die Erhebung und Übermittlung personenbezogener Daten rechtmäßig, wenn dazu eine individuelle Einwilligung der betroffenen Person vorliegt. Sie ist dafür auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie gegebenenfalls auf die Folgen einer Verweigerung der Einwilligung hinzuweisen. Soweit besondere Arten personenbezogener Daten erhoben werden, muss sich die Einwilligung ausdrücklich auf diese Daten beziehen. Zu den besonderen personenbezogenen Daten gehören Informationen über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Die Einwilligung ist von jedem Betroffenen individuell einzuholen und die Zustimmung zu dokumentieren. Sie kann darüber hinaus jederzeit widerrufen werden. „Eine Einwilligung der Kunden zum Transfer personenbezogener Daten kann unter engen Bedingungen eine tragfähige Grundlage für den Datentransfer sein. Grundsätzlich darf der Datentransfer aufgrund einer Einwilligung jedoch nicht wiederholt, massenhaft oder routinemäßig erfolgen“, schreibt der Internetverband eco in seinen Empfehlungen.

§ 4c des BDSG legt darüber hinaus einige Ausnahmen fest, die eine Übermittlung personenbezogener Daten auch dann ermöglichen, wenn im Zielland kein angemessenes Datenschutzniveau herrscht – beispielsweise zur Erfüllung von Verträgen, etwa einer Flugbuchung oder einer Hotelreservierung, im Rahmen von Amtshilfe oder auch, wenn lebenswichtige Interessen des Betroffenen auf dem Spiel stehen, also etwa medizinische Daten übertragen werden müssen.

Von diesen Ausnahmen abgesehen ist ein Transfer personenbezogener Daten in die  USA derzeit mit erheblichen Rechtsunsicherheiten behaftet. „Soweit es möglich ist, empfehle ich die Speicherung und Verarbeitung personenbezogener Daten innerhalb der EU, da hier ein angemessenes Datenschutzniveau besteht“, sagt NRW-Datenschützerin Helga Block.

Nicht umsonst legten viele Unternehmen bereits vor dem Safe-Harbor-Urteil großen Wert darauf, Cloud-Anbieter aus Deutschland oder zumindest der Europäischen Union zu wählen. Nach einer Umfrage, die Bitkom Research im Auftrag von KPMG im November und Dezember 2014 durchführte, rangierten die Kriterien „Rechenzentrum in Deutschland“ und „Hauptsitz in Deutschland“ ganz oben bei den Anforderungskriterien der Unternehmen.

Wer diesen Weg geht, sollte sich sicherheitshalber  vom Provider zusätzlich vertraglich bestätigen lassen, dass die Daten das Rechtsgebiet der EU nicht verlassen und nicht etwa an Standorte in Übersee, zu Subunternehmern oder auf Pu­blic-Cloud-Plattformen wie Amazon Web Services oder die Google Cloud Platform weitergeleitet werden.

US-Firmen betonen gern, dass die Daten bei ihrer EU-Konkurrenz ebenfalls dem Zugriff durch US-Behörden unterliegen, sofern die Anbieter Tochterunternehmen oder Niederlassungen in den USA unterhalten. „Zentraler Gegenstand der Safe-Harbor-Entscheidung ist (…) nicht der Austausch personenbezogener Daten mit amerikanischen Unternehmen, sondern der Transfer solcher Daten in den amerikanischen Rechtsraum, das heißt deutsche Unternehmen mit Niederlassung in den Vereinigten Staaten von Amerika sind ebenso betroffen, wenn sie personenbezogene Daten in ihre Niederlassung transferieren wollen“, sagt Dirk Bornemann, Mitglied der Geschäftsleitung und Assistant General Counsel bei Microsoft Deutschland.

„Die Frage, wie mit Anfragen und Anordnungen von Drittstaatsbehörden umgegangen wird – und es geht hier nicht nur um die USA – ist in der Tat relevant“, ergänzt Europas oberster Datenschützer Buttarelli und verweist auf die demnächst in Kraft tretende EU-Datenschutzgrundverordnung: „Artikel 43a der Datenschutzgrundverordnung wird vorsehen, dass in solchen Fällen die erprobten Rechtshilfeverträge zu nutzen sind.“ Übersetzt heißt das, dass ein direkter Zugriff von NSA, CIA oder anderen US-Behörden auf Daten europäischer Kunden, etwa unter Berufung auf den Patriot Act, nicht statthaft ist. Stattdessen müssen sie sich mit einem Rechts­hilfeersuchen an die offiziellen Stellen im jeweiligen europäischen Land wenden.

Wer ganz auf Nummer sicher gehen will, sollte seine Daten vor der Übertragung mit Kennwörtern verschlüsseln, die dem Provider nicht bekannt sind. Einige Hoster bieten dieses „Zero Knowledge“-Prinzip als Dienstleistung an, meist gegen Aufpreis. Alternativ können Unternehmen auch ein eigenes Verschlüsselungs-Gateway betreiben, das alle Daten chiffriert, bevor sie in die Cloud übermittelt werden. Solche sogenannten Cloud Encryption Gateways bieten beispielsweise DataLocker mit SafeCrypt (Vertrieb in Deutschland über Origin Storage), Blue Coat/Perspecsys mit Cloud Data Protection oder CipherCloud mit der gleichnamigen Plattform.

Viele US-Anbieter tun sich mit dem europäischen Verständnis von Datenschutz schwer oder ignorieren ihn einfach völlig. Dropbox etwa verweist in seinen Datenschutzerklärungen unverdrossen auf die Safe-Harbor-Vereinbarungen. Eine rechtssichere Speicherung unverschlüsselter personenbezogener Daten in einer Dropbox ist also derzeit nicht möglich.

IBM ärgert sich sogar ganz offiziell über die Entscheidung des EuGH, statt die unbestreitbaren Defizite von Safe Harbor anzuerkennen. Das Urteil des Europäischen Gerichtshofs bedrohe die globalen Datenflüsse und werde sich negativ auf die Versuche auswirken, einen einheitlichen digitalen Binnenmarkt in Europa aufzubauen, schimpft Christopher A. Padilla, Vice President IBM Government and Regulatory Affairs, in einem Statement.

IBM war nicht bereit, die von com! professional für diesen Artikel gestellten Fragen zu beantworten – ebenso wenig wie Google, das in offiziellen Verlautbarungen nur auf die ebenfalls umstrittenen Standardvertragsklauseln verweist. Amazon reagierte auf unsere Anfrage gar nicht.

Ganz anders agiert dagegen Microsoft. Das Unternehmen bemüht sich schon seit Jahren, den Eindruck zu vermeiden, man gehe lax mit europäischen Datenschutznormen um. Gegen den Versuch einer US-Behörde, Zugriff auf Daten europäischer Kunden zu erhalten, die auf irischen Servern des Anbieters liegen, wehrt sich Microsoft mit allen juristischen Mitteln. „Wir sind nach wie vor zuversichtlich, dass wir uns mit unserer Rechtsposition spätestens vor dem Supreme Court durchsetzen werden“, sagt Microsoft-Rechtsexperte Dirk Bornemann.

Erst vor Kurzem hat das Unternehmen in Kooperation mit der Deutschen Telekom die „Microsoft Cloud für Deutschland“ angekündigt. „Die Entwicklungen der letzten Jahre haben gezeigt, dass es einen Bedarf an lokalen Cloud-Lösungen gibt,“ so Bornemann. Im Konstrukt der „Microsoft Deutschland Cloud“ fungiert T-Systems als Treuhänder, der Services wie Azure und Office 365 anbietet.

„Die Idee hinter der Daten-Treuhänder-Lösung zwischen T-Systems und Microsoft ist es, den nach deutschem Recht unzulässigen Zugriff amerikanischer Behörden auf die Daten deutscher Kunden zu verhindern“, erklärt Claus-Dieter Ulmer, Konzerndatenschutzbeauftragter der Deutschen Telekom. Damit ist den Begehrlichkeiten der US-Behörden von vornherein ein Riegel vorgeschoben. „Das ist eine vertrauensbildende Maßnahme für die deutschen Kunden und kann beispielhaft sein für andere“, so Ulmer weiter. Da die Daten nicht im Zugriff von Microsoft liegen und auch den europäischen Rechtsraum nicht verlassen, sind sie nicht vom Safe-Harbor-Urteil betroffen.

Unternehmen, die sich diesen Luxus gönnen wollen, müssen allerdings tiefer in die Tasche greifen: „Im Preis für die neuen Dienste wird sich der Mehraufwand für die besondere Architektur dieser Lösung widerspiegeln“, sagt Bornemann.

Ende vergangenen Jahres haben sich Kommission, Rat und Parlament der Europäischen Union im sogenannten Trilog auf eine endgültige Fassung der lange umstrittenen Datenschutzgrundverordnung geeinigt. Eine ausführliche vergleichende Gegenüberstellung dazu findet sich auf der Webseite des Bayerischen Landesamts für Datenschutzaufsicht.

Der Befürchtung, es werde zu einer Aushöhlung des hohen deutschen Datenschutz­niveaus kommen, widerspricht der Datenschutzbeauftragte der Telekom, Claus Ulmer, entschieden: „Eine Schwächung des Datenschutzes findet keineswegs statt, eher im Gegenteil: Mit der neuen EU-Datenschutzgrundverordnung kann es gelingen, ein hohes Datenschutzniveau zu sichern und gleichzeitig neue digitale Geschäftsmodelle zu ermöglichen.“ Ulmer lobt vor allem das darin vereinbarte Marktortkonzept: „Danach ist das europäische Datenschutzrecht auf all diejenigen anwendbar, die in Europa ihre Produkte und Dienstleistungen anbieten – unabhängig davon, wo der Anbieter seinen Sitz hat: in Europa, in den USA oder Asien.“

Wie genau sich die Grundverordnung und das Marktortprinzip auf die Datenübermittlung in Drittstaaten auswirken werden, ist derzeit noch nicht zu sagen (siehe dazu auch das Interview mit Thomas Kranig, dem Präsidenten des Bayerischen Landesamts für Datenschutzaufsicht). Auf jeden Fall werden die Aufsichtsbehörden zukünftig viel stärker gezwungen sein, sich europaweit abzustimmen. „Wir müssen versuchen, gemeinsam zu Ergebnissen zu kommen und dürfen nicht mehr unsere Einzelmeinung vor uns hertragen, wie es bisher gelegentlich geschah“, betont Kranig.

Das aktuelle Chaos im Datenschutzrecht ist eine Zumutung für Unternehmen. Sie sind nach wie vor in der Pflicht, bei der Zusammenarbeit mit Dienstleistern und Partnern in den USA eine rechtssichere Übermittlung personenbezogener Daten zu garantieren. Wie diese auszusehen hat, kann – Stand Mitte Januar – jedoch niemand sagen. Selbst scheinbar bewährte Mechanismen wie die Standardvertragsklauseln oder die Binding Corporate Rules stehen auf dem Prüfstand.

Es bleibt also allen Firmen, die in irgendeiner Form mit US-amerikanischen Providern zusammenarbeiten, etwa indem sie deren Cloud-Dienste nutzen, letztlich nur übrig, die Entwicklung sehr genau zu beobachten und gegebenenfalls schnell zu reagieren. In der Zwischenzeit sollten sie personenbezogene Daten besser möglichst nur verschlüsselt ablegen.

Anderenfalls gehen die Unternehmen nicht nur finanziel­le Risiken ein, weil Geldbußen und Schadensersatzklagen drohen, auch der Reputationsschaden kann erheblich sein, wenn publik wird, dass ein Unternehmen fahrlässig mit den Daten seiner Kunden, Partner oder Mitarbeiter umgegangen ist.