EuGH-Urteil zum Privacy Shield – das Ende der Cloud?
Mit der Pressemitteilung 91/20 vom 16.07.20 ist der europäische Gerichtshof zu einem Urteil in puncto Datentransfer aus der EU in die USA gekommen. Im Ergebnis wurde der Beschluss 2016/1250 über die Angemessenheit des vom EU-US-Datenschutzschilds gebotenen Schutzes für ungültig erklärt.
Dies ist nach dem Kippen des Safe-Harbour-Abkommens im Jahr 2015 bereits das zweite Mal, dass Datenschutzabkommen mit den Vereinigten Staaten nachträglich für unwirksam erklärt wurden. Für alle Betroffenen ist das nicht nur ärgerlich, sondern eventuell auch mit hohen Folgekosten verbunden. Zudem führt es zu Verunsicherungen und erschüttert das Vertrauen sowie die Belastbarkeit in solche Abkommen nachhaltig.
Doch was bedeutet das jetzt konkret für den Einsatz von Cloud-Lösungen US-amerikanischer Anbieter?
Vermehrt wird nun davon ausgegangen, dass der Einsatz von Cloud Services US-amerikanischer Unternehmen mit dieser Entscheidung nicht mehr möglich und datenschutzkonform realisierbar ist – dem ist jedoch nicht so! Im Gegenteil: auch Aufsichtsbehörden wie BaFin und Bundesbank sind der Überzeugung, dass die Zukunftsfähigkeit von Banken, Versicherungen und Finanzdienstleistern auch von der Nutzung sowie den sich daraus ergebenen Chancen der Cloud abhängt.
Deshalb gilt auch weiterhin: Bevor man Services aus der Cloud bezieht, müssen alle Vorarbeiten sorgfältig erledigt werden. Das beginnt bei der konkreten Anforderungsanalyse, geht über die sorgfältige Auswahl des geeigneten Services und mündet in der aktiven Vertragsgestaltung. Diese sollte zudem auf einer Kenntnis der Risiken beruhen, damit diese durch passende Vertragsbestandteile mitigiert werden können.
Viele Cloud-Transformationen scheitern an einem Missverständnis betreffend den Umgang mit Risiken in Unternehmen. Viele Manager glauben bis heute, sie müssten ihren Verantwortungsbereich frei von Risiken halten. Die Aufsicht von regulierten Unternehmen erwartet aber, dass das Management proaktiv mit Risiken umgeht, diese also kennt und akzeptiert oder Gegenmaßnahmen aufsetzt. Prüfer würdigen es nicht, wenn die Unternehmensleitung keine Risiken vorweisen kann, sondern kritisieren bei zu wenigen gesteuerten Risiken im Gegenteil mangelnde Transparenz und mangelndes Risikobewusstsein. Die Verlagerung der (Rest-)Risiken, die sich aus der Nutzung von Cloud-Diensten ergeben, auf den Gesetzgeber oder internationale Abkommen, funktioniert also nicht.
Für eine sorgsam aufgesetzte Cloud-Transformation gilt deshalb, im Rahmen der Cloud-Strategie die Risiken zu identifizieren, die sich aus der Cloud-Transformation für Daten und Applikationen ergeben. Zwar akzeptieren die Cloud-Hyperscaler die DSGVO, bleiben aber dennoch als amerikanische Unternehmen dazu verpflichtet, auf Anforderung amerikanischer Behörden Daten herauszugeben, egal, ob diese in Deutschland oder anderswo liegen. Dieser Interessenkonflikt ist erstmal ein Risiko. Mitigiert werden kann dieses jedoch beispielsweise durch Verschlüsselung, ggf. mit eigenem Schlüsselmanagement, oder in dem man seine „Kronjuwelen“ an Daten nicht in der Cloud verarbeitet. Solche Maßnahmen mitigieren das Risiko auf ein Restrisiko, welches die Unternehmensleitung akzeptieren muss. Die Aufsichtsbehörden erwarten, dass der Schutzbedarf der Daten festgestellt wurde und nach Prüfung und ggf. Umsetzung von Mitigationsmaßnahmen der Weg in die Cloud bewusst beschritten wurde. All das muss im Risikomanagement nachvollziehbar dokumentiert sein.
Unternehmenslenker, die ihre Cloud Services erst nach fundierter Abwägung aller Möglichkeiten und auf ihre Bedarfe angepasst beauftragt haben, sollten durch das EuGH Urteil (wenn überhaupt) nur marginal betroffen sein. Dies trifft für alle Vertragskonstrukte zu, die nicht auf Privacy Shield beruhen, auf den sich die EU GH Richter beziehen. Generell ist davon auszugehen, dass es auch die Intention der Richter war, mit ihrem Urteil eine Verbesserung und Konkretisierung des bisherigen Abkommens zu initiieren.
Potenziellen Cloud-Kunden empfehlen wir deshalb, sich kompetente Beratung ins Haus zu holen, die Ihnen aufzeigt, welche vertraglichen und technischen Möglichkeiten Ihnen zur Verfügung stehen, damit der Weg in die Cloud datenschutzkonform erfolgt.
Der Weg in Cloud – von der Idee zur Strategie
Anforderungen – Cloud-Strategie – Datensicherheit
Viele regulierte Unternehmen stehen vor der Frage, welche Anforderungen bereits im Vorfeld umgesetzt werden müssen, um einen aufsichtskonformen Cloud-Einsatz zu ermöglichen. Das Whitepaper unterstützt Sie bei der Herstellung der Cloud Readiness und zeigt Ihnen schrittweise auf, wie Sie zu einer umfassenden Cloud-Strategie gelangen. Zudem erfahren Sie, was Sie nach der Inbetriebnahme berücksichtigen sollten, um die Sicherheit Ihrer Daten zu gewährleisten.