Schrems II

Datensouveränität trotz Cloud

29. Juli 2022, 6:30 Uhr | Autor: Armin Simon / Redaktion: Diana Künstler

Die DSGVO und die Schrems II-Debatte haben noch einmal ordentlich Druck auf die Unternehmen erzeugt, die personenbezogene Daten speichern müssen. Die SCCs sind eine Herausforderung. Doch es gibt Mittel und Wege, die die weitere Zusammenarbeit mit US-Providern ermöglichen.

Warum kommt den Standardvertragsklauseln (SCCs, Standard Contractual Clauses) als neue Rechtsgrundlage eine gesteigerte Bedeutung zu?
Warum ist der Datenaustausch mit US-Unternehmen, die in Europa Services anbieten, problematisch?
Was empfiehlt der Europäische Datenschutzausschuss (EDSA)?
Inwiefern kann die Trennung der Schlüssel von den verschlüsselten Daten hier Abhilfe schaffen?

Am 16. Juli 2020 kippte der EUGH mit Schrems II das Abkommen Privacy Shield, das den Datenaustausch zwischen der EU und den USA geregelt hatte. Für den Datentransfer in die USA sowie in andere Drittländer kommt deshalb nun den Standardvertragsklauseln auch SCCs (Standard Contractual Clauses), als neue Rechtsgrundlage eine gesteigerte Bedeutung zu. Die Europäische Kommission hat am 4. Juni 2021 eine neue, stark überarbeite Version für die Übermittlung personenbezogener Daten an Drittländer herausgegeben, um die Rechtslage nach dem Schrems II Urteil abzubilden. Diese SCCs sind für Neuverträge bereits seit 27.09.2021 anzuwenden. Alle Altverträge sind bis zum 27.12.2022 umzustellen. Im Ergebnis wird europäisches Datenschutzrecht vertraglich auf Datenverarbeitungen in Drittländer ausgeweitet und auf diese Weise die DSGVO-Konformität sichergestellt.

Diese „kleinen“ Änderungen stellen Unternehmen bei personenbezogenen Daten vor große Herausforderungen. Nach dem Wegfall des Privacy Shield gilt es diese besonders zu schützen, um ein vergleichbares Sicherheitsniveau wie in der EU zu gewährleisten. Da die US-Hyperscaler auch europäische Daten an US-Behörden herausgeben müssen, sind zusätzliche Maßnahmen nötig. Sie sind in den Standardvertragsklauseln Anhang II als technische und organisatorische Maßnahmen (TOMs) zu vereinbaren. Im Kern handelt es sich dabei um Maßnahmen, die verhindern, dass Provider die Daten ihrer Kunden im Klartext einsehen und weitergeben können.

Bei den Standardvertragsklauseln der Europäischen Kommission handelt es sich um ein herausgegebenes Vertragsmuster zur Regelung von Datenexporten und -importen zwischen dem Europäischen Wirtschaftsraum und Drittländern. Die Standardvertragsklauseln sind dabei unverändert anzuwenden, die TOMs dagegen müssen für jede Kategorie der Datenübermittlung die individuellen und konkreten Schutzmaßnahmen beschreiben.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Problematischer Datenzugriff

Die Regelung trifft vor allem US-Unternehmen, die Services in Europa anbieten. Das Problem beim Datenaustausch mit diesen besteht darin, dass sie der US-Gerichtsbarkeit unterliegen und die Daten unter Umgehung des EU-Rechts an US-Behörden weitergeben müssen. US-Gesetze wie FISA 702 oder die Executive Order 12.333 verleihen US-Behörden umfassende Rechte, um auf Daten zuzugreifen, die bei elektronischen Kommunikationsdienste-Anbietern gespeichert sind oder mit diesen ausgetauscht werden. Unter dem Deckmantel der nationalen Sicherheit sind daher viele US-Unternehmen unter anderem dazu verpflichtet, auf behördliche Anfrage uneingeschränkten Zugriff auf alle gespeicherten Daten zu ermöglichen. Daraus folgt, dass Unternehmen sich also nicht mehr darauf verlassen können, dass ihre Daten nach dem Umzug in die Cloud von den Providern datenschutzrechtlich einwandfrei gespeichert werden.

Um Cloud-Services konform einsetzen zu können, müssen Unternehmen auf die Prinzipien des „Zero Knowledge“ und der „Segretation of Duties“ zurückgreifen. Durch Verschlüsselung oder Pseudonymisierung ist sichergestellt, dass Daten für den Cloud-Provider nicht einsehbar sind. Gleichzeitig ermöglicht es privilegierten Cloud-Administratoren ihre Arbeit zu tun, ohne Einblick in die Daten zu erhalten. Allerdings gibt es einen zentralen Punkt, der beachtet werden muss. So weist der Europäische Datenschutzausschuss (EDSA) in seinen Empfehlungen ausdrücklich darauf hin, dass Transportverschlüsselung und Data-at-Rest-Verschlüsselung auch in Kombination nicht ausreichen, wenn die kryptografischen Schlüssel beim Anbieter gespeichert sind. Liegen diese Schlüssel beim Anbieter, kommt dieser auch ohne Wissen oder Zustimmung des eigentlichen Inhabers an die Daten, so dass das Zero-Knowledge-Prinzip nicht mehr gewahrt ist. Doch es gibt einen Ausweg.

Empfehlungen des EDSA

In den SCCs muss diese Sachlage bewertet werden. US-Unternehmen können keine Garantien geben und müssen im Zweifel die Daten herausgeben. Deshalb müssen Unternehmen handeln und können sich dabei an den Empfehlungen des EDSA orientieren. Ein positives Beispiel für die Einhaltung und Befolgung dieser Empfehlung ist das auf AWS gehostete Portal Doctolib, über das die französische Impfkampagne organisiert wurde. Hier entschied das höchste französische Verwaltungsgericht (Conseil d’Etat), dass die Trennung der verschlüsselten Daten und der Verschlüsselungsschlüssel für eine rechtssichere Cloud-Nutzung sorgen. Unternehmen sollten also darauf achten, dass die Verschlüsselungsschlüssel getrennt vom Provider sind, falls es sich bei diesem um ein US-Unternehmen handelt. Wie lässt sich nun die Trennung von Schlüssel und Verschlüsselung technisch aufsetzen? Je nachdem, auf welcher Ebene die Daten abgesichert und verschlüsselt werden können, ergeben sich folgende Ansatzpunkte:

Applikationsebene
Plattformebene
Infrastrukturebene

Abhängig davon, welcher Service gebucht wurde, kann die Verschlüsselung auf unterschiedlicher Ebene ansetzen. Bei jedem dieser Szenarien sollte der Entschlüsselungsschlüssel, wie beim Beispiel der französischen Impfkampagne, separat auf einer externen vertrauenswürdigen Plattform liegen. Beispielsweise ermöglichen Microsoft und Thales mit „MIP“ (Microsoft Information Protection) geschützte Daten durch einen zweiten zusätzlichen Key (DKE/Double Key Encryption) so zu verschlüsseln, dass auch Microsoft keinen Zugriff mehr auf die Daten hat. Die Google-Cloud-Plattform ermöglicht inzwischen ebenfalls für viele ihrer Dienste EKM (External Key Management) unter Einbindung des Thales Cipher Trust Managers“. AWS entwickelt derzeit ebenfalls eine gemeinsame Lösung, welche Schrems-II-Konformität ermöglichen wird, sie wird unter dem Namen „xKS“ (eXternal Key Service) verfügbar sein.

Die DSGVO und die Schrems II-Debatte haben noch einmal ordentlich Druck auf die Unternehmen erzeugt, die personenbezogene Daten speichern müssen. Die SCCs sind für Unternehmen eine Herausforderung, weil Schutzmaßnahmen zur Schaffung eines gleichwertigen Schutzniveaus wie im europäischen Wirtschaftsraum gefordert sind. Im Kern ist das durch die Trennung der Schlüssel von den verschlüsselten Daten möglich. Es gibt somit TOMs mit denen man Anhang II mit Leben füllen kann, so dass die weitere Zusammenarbeit mit US-Providern ermöglicht wird.

Armin Simon, Regional Director for Encryption Solutions Deutschland bei Thales