Es besteht vielfach Unsicherheit, ob die geplante Nutzung von Cloud-Systemen den gesetzlichen Vorgaben entspricht, vor allem vor dem Hintergrund der Vorgaben der Datenschutzgrundverordnung (DSGVO). Für stark regulierte Unternehmen, etwa im Finanzbereich (zum Beispiel Banken oder Kapitalverwaltungsgesellschaften), gelten daneben aufgrund aktueller oder künftiger regulatorischer Vorgaben weitere, spezielle Anforderungen, beispielsweise auf Basis des Digital Operational Resilience Act (DORA).
Aus Datenschutzsicht erhitzt zurzeit kaum ein Thema die Gemüter mehr, als die Frage, ob Cloud-Dienste amerikanischer Anbieter in Deutschland datenschutzkonform genutzt werden können. Von besonderer Brisanz ist dabei für in Deutschland agierende Unternehmen, dass die deutschen Datenschutzaufsichtsbehörden in der Vergangenheit die Nutzung solcher Dienste kritisch gesehen haben.
So veröffentlichte etwa die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Ende 2022 eine Stellungnahme zu Microsoft 365, die im Ergebnis wohl so zu verstehen ist, dass der Einsatz von Microsoft 365 aus Sicht des DSK einige (erhebliche) Datenschutzprobleme mit sich bringe oder mit sich bringen könne.
Die folgenden Kritikpunkte werden in Bezug auf US-Cloud-Anbieter etwa regelmäßig angeführt:
- Vielfach sei nicht klar, in welchem Umfang und für wessen Zwecke Daten verarbeitet werden. Es könne nicht überblickt werden, was genau mit den betroffenen Daten passiere.
- Die vertraglichen Regelungen der Anbieter (etwa zur Auftragsverarbeitung) würden vielfach nicht den gesetzlichen Vorgaben der DSGVO entsprechen.
- Als besonderes Risiko wird auch regelmäßig hervorgehoben, dass in den USA verarbeitete Daten unter Umständen umfangreichem Zugriff durch US-Behörden unterliegen würden und ein solcher Zugriff mit den Prinzipien der DSGVO unvereinbar sei. Die Datenschutzbehörden verlangen in Bezug auf US-Cloud-Anbieter, dass die Nutzung solcher Dienste durch umfassende (und rein faktisch nur schwerlich umsetzbare) Sicherungsmaßnahmen (vertraglicher, organisatorischer und technischer Natur) abgesichert werden.
Die EU, die USA, aber auch die US-Cloud-Anbieter selbst haben das Problem erkannt und Maßnahmen auf den Weg gebracht, die die vorstehend erläuterten Kritikpunkte zum Teil auflösen, aber zumindest die entsprechenden Risiken verringern sollten:
- Noch 2023 soll ein zwischen der EU und den USA bereits verhandeltes neues Datenschutzabkommen mehr Rechtssicherheit schaffen (Privacy Shield II). Dieses Abkommen wird den Datentransfer im Hinblick auf US-Unternehmen, die sich in diesem Rahmen zertifizieren lassen, erheblich erleichtern. Es ist davon auszugehen, dass sich alle großen US-Cloud-Anbieter entsprechend zertifizieren lassen werden. Allein dieser Umstand sollte die Risiken der Nutzung einer Cloud eines US-Anbieters in Zukunft erheblich verringern.
- Auch die US-Cloud-Anbieter haben in den vergangenen Jahren nachgebessert und sind auf die Kritik der Behörden eingegangen. So hat etwa Microsoft eine „EU-Datengrenze“ eingeführt, die es Unternehmen erlaubt, die Datenströme noch stärker auf die EU einzugrenzen. Daneben stellen mittlerweile alle großen Cloud-Anbieter mehr oder weniger umfassendes Informationsmaterial zur Verfügung, das es den Nutzern erlauben soll, etwaige datenschutzrechtliche Risiken besser einschätzen zu können.
Wollen Unternehmen Cloud-Dienste von US-Anbietern nutzen, sollten sie aber auch selbst proaktiv tätig werden, um eine datenschutzkonforme Nutzung zu ermöglichen sowie um etwaige (Rest-)Risiken weiter zu verringern, beispielsweise
- Die konkreten Datenströme bei der Nutzung solcher Dienste sollten – soweit möglich – nachvollzogen und dokumentiert werden. Hierbei sollten auch die eigene IT-Abteilung und der Datenschutzbeauftragte des Unternehmens „mit ins Boot“ geholt werden.
- Soweit im konkreten Fall möglich, sollte durch entsprechende Einstellungen sichergestellt werden, dass in der Cloud verarbeitete Daten auf Servern in der EU gespeichert werden.
- Ferner sollte geprüft werden, ob durch ergänzende, vor allem technische Maßnahmen (wie Verschlüsselung, Pseudonymisierung, oder Gateway-Lösungen) eine weitere Risikoreduzierung möglich ist.
- Die Vertragswerke des jeweiligen Cloud-Anbieters sind auf etwaige rechtliche Inkonsistenzen und Risiken zu überprüfen. Zwar wird man im Zweifel (vor allem bei kleineren oder mittelständischen Unternehmen) nur wenig Spielraum haben, die Verträge mit den Anbietern zu verhandeln. Im Einzelfall ist aber der Abschluss von Sidelettern möglich. Jedenfalls sollten die Ergebnisse einer Vertragsprüfung im Rahmen einer abschließenden Risikoabwägung dokumentiert und bewertet werden.
Fazit: Die Nutzung von US-Cloud-Diensten ist nicht per se unzulässig. Solche Dienste sollten aber nicht ungeprüft genutzt werden. Im Vorfeld sollten Unternehmen sorgfältig dokumentieren, prüfen und abwägen, ob eine datenschutzkonforme Nutzung möglich ist und ob der Einsatz der entsprechenden Dienste durch ergänzende Schutzmaßnahmen flankiert werden kann oder muss.
Über GSK Stockmann
GSK Stockmann wurde 1997 gegründet und ist eine führende unabhängige europäische Wirtschaftskanzlei mit über 250 Rechtsanwälten und Steuerberatern in Deutschland, Luxemburg und dem Vereinigten Königreich. Mehr Informationen unter www.gsk.de