Report: Die Suche nach den Datenschutz-Lücken im Cloud Computing
Nicht jeder Cloud-Dienst ist aus Sicht des Datenschutzes unproblematisch. Doch wie beurteilt man den Cloud-Datenschutz? Aufsichtsbehörden zeigen, wo Datenschutz-Mängel zu befürchten sind.
Datenschutz ist und bleibt wichtiges Auswahlkriterium
Wichtigste Kriterien bei der Auswahl eines Cloud-Dienstleisters sind für Cloud-Nutzende und diejenigen, die den Einsatz planen oder darüber diskutieren, die Leistungsfähigkeit und Stabilität der Systeme (89 Prozent) sowie Vertrauen in die Sicherheit und Compliance des Cloud-Providers (86 Prozent), so der „Cloud-Monitor 2021“ von Bitkom Research.
Mit Vertrauen in die Compliance und Sicherheit eines Providers ist es aber nicht getan. Die Datenschutz-Grundverordnung (DSGVO) verlangt bei der Cloud-Nutzung: „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“
Die Landesbeauftragte für den Datenschutz Niedersachsen betont: „Trotz der Auslagerung von Aufgaben an den Dienstleister bleibt der Verantwortliche für die Datenverarbeitung nach außen, also Betroffenen und Dritten gegenüber, in vollem Umfang verantwortlich.“ Entsprechend müssen Cloud-Nutzende sicherstellen, dass sie keinen Cloud-Dienst einsetzen, der Lücken im Datenschutz aufweist. Das zu beurteilen, ist aber nicht so einfach, zumal die Zertifizierungen nach DSGVO, die als Nachweis der Datenschutzmaßnahmen gelten könnten, noch immer nicht verfügbar sind.
Was die Aufsichtsbehörden bei Cloud-Diensten prüfen
Es befreit nicht von eigenen Kontrollen, doch gibt es einen guten Hinweis darauf, worauf man achten sollte: Die Aufsichtsbehörden für den Datenschutz führen immer wieder eigene Kontrollen im Bereich Cloud Computing durch. Die Punkte, die die Datenschutzaufsicht näher anschaut, sollte man als Unternehmen sicherlich auch betrachten, wenn es um die Frage geht, ob der Cloud-Dienst denn den Datenschutz einhält oder nicht.
Zum Beispiel fand es die Landesbeauftragte für Datenschutz- und Informationsfreiheit des Landes Nordrhein-Westfalen, Bettina Gayk, besonders problematisch, dass große amerikanische IT- und Internet-Unternehmen weiterhin personenbezogene Daten in die USA übermitteln, obwohl sie die Daten nicht vor einem möglichen Zugriff der US-Sicherheitsbehörden schützen könnten. Das sei spätestens nach der sogenannten Schrems-II-Entscheidung des Europäischen Gerichtshofs nicht mehr zulässig.
„Das hat Folgen für die Wirtschaft und alle, die für ihre Datenverarbeitung auf die Dienstleistung der US-Unternehmen zurückgreifen“, erläuterte Gayk. Sie forderte, dass diese Unternehmen datenschutzgerechte Produkte und Dienstleistungen für den europäischen Markt anbieten. Sonst müssten sich viele Unternehmen und Verwaltungen in NRW neu orientieren, um nicht selbst Datenschutzverstöße zu begehen.
Länderübergreifende Kontrollen zu Datenübermittlungen in Drittstaaten
Entsprechend fanden bereits im Sommer 2021 länderübergreifende Kontrollen zu Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittstaaten) statt. Das Ziel war die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs in seiner Schrems-II-Entscheidung vom 16. Juli 2020 (Rs. C-311/18).
Darin hatte das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten Privacy Shields erfolgen können. Der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten ist ferner nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann.
Die Aufsichtsbehörden schrieben ausgewählte Unternehmen auf der Basis eines gemeinsamen Fragenkatalogs an. Dabei ging es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten.
Webhoster zum Beispiel wurden unter anderem befragt zu den Kategorien personenbezogener Daten, die sie verarbeiten, zur Übermittlung personenbezogener Daten in Drittstaaten, zu einer möglichen Offenlegung oder Verschlüsselung der Daten, zur Rechtsgrundlage für die Übermittlung, zu konkreten Verträgen zur Datenverarbeitung, zur Bewertung der Rechtsordnung im Drittland und zu den Garantien für ein angemessenes Datenschutzniveau.
Offensichtlich waren und sind in diesen Bereichen Abweichungen von den Datenschutzvorgaben nicht unwahrscheinlich, die Aufsichtsbehörden suchten und suchen deshalb in diesem Umfeld, ob es Lücken gibt.
Überwachungsgesetze in Drittstaaten als Problem
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat zudem die Ergebnisse eines externen Gutachtens zur Reichweite bestimmter Zugriffsrechte von US-amerikanischen Sicherheitsbehörden veröffentlicht. Es zeigt sich, dass zahlreiche Konstellationen, in denen US-Dienstleister in die Datenverarbeitung eingebunden sind, datenschutzrechtlich problematisch sein können.
Die DSK erwähnt unter anderem dieses Ergebnis des Gutachtens: Der für die Anwendbarkeit von Section 702 des US-amerikanischen Foreign Intelligence Surveillance Act (FISA) zentrale Begriff „electronic communication service provider“ ist sehr weit.
Es ist auch nicht in jedem Fall erforderlich, dass die Dienste der Öffentlichkeit zur Verfügung gestellt werden, sondern es kann beispielsweise genügen, dass ein Unternehmen seinen Mitarbeitenden einen E-Mail-Dienst bereitstellt, so das Gutachten. Der Begriff „electronic communication service provider“ umfasse zudem unter anderem auch Anbieter von „remote computing services“ und nicht nur herkömmliche Telekommunikationsanbieter.
Aktuell laufende Cloud-Prüfungen
Auch zur Zeit laufen Prüfungen der Aufsichtsbehörden bei Cloud-Diensten. Als ersten Schritt im Rahmen ihrer koordinierten Prüfung werden die teilnehmenden Aufsichtsbehörden einen Fragebogen an ausgewählte öffentliche Stellen richten. Insgesamt werden dabei über 80 öffentliche Einrichtungen in der gesamten EU kontaktiert.
Die Aufsichtsbehörden fragen insbesondere nach Verfahren und Schutzmaßnahmen, die beim Erwerb von Cloud-Diensten eingerichtet werden, untersuchen die Herausforderungen im Zusammenhang mit internationalen Übermittlungen und analysieren die Beziehungen zwischen Verantwortlichen und sogenannten Auftragsverarbeitern, also externen Dienstleistern für Cloud-Dienste.
Anschließend werten die Aufsichtsbehörden die Antworten auf den Fragebogen auf nationaler Ebene aus und entscheiden über mögliche Aufsichts- und Durchsetzungsmaßnahmen. Darüber hinaus werden die Ergebnisse der nationalen Maßnahmen aggregiert und analysiert, um gezielte Folgemaßnahmen auf europäischer Ebene zu ermöglichen.
Der Europäische Datenschutzausschuss (EDSA) wird vor Ende 2022 einen Bericht über das Ergebnis dieser Analyse veröffentlichen. Diese Analyse wird sehr wertvoll sein, um Datenschutz-Lücken im Cloud Computing genauer eingrenzen zu können.
Allerdings können sich Unternehmen nicht bis dahin gedulden. Vielmehr müssen sie selbst aktiv kontrollieren und die Cloud-Anbieter hinsichtlich der Maßnahmen für ein angemessenes Datenschutzniveau befragen. Die wohl bald verfügbare Zertifizierung nach DSGVO kann eine wichtige Hilfe dabei werden.