Risiko Cloud – Handelsblatt
Handelsblatt 11.02.2021
Die Cloud wird zum Risiko: Deutschen Konzernen drohen millionenschwere Strafen
Für die Firmen könnte dieser massenhafte Datentransfer zum teuren Problem werden, denn die Aufsichtsbehörden bringen sich in Stellung. Datenschützer in Hamburg und Baden-Württemberg haben entsprechende Verfahren eingeleitet. Auslöser waren Beschwerden, dass die Daten in der Cloud nicht ausreichend geschützt seien.
„Wir gehen dem nach und beteiligen uns auch an länderübergreifenden Prüfmaßnahmen“, sagt Stefan Brink, Datenschutzbeauftragter von Baden-Württemberg.
Die Zusammenarbeit mit US-Cloud-Diensten ist heikel, da die Geheimdienste der Vereinigten Staaten weitgehenden Zugriff auf die bei US-Unternehmen gespeicherten Daten haben. Spätestens seitdem der Europäische Gerichtshof im Juli die Rechtsgrundlagen für den Transfer personenbezogener Daten europäischer Bürger in die USA („Privacy Shield“) wegen ungenügenden Datenschutzes kassiert hat, verstoßen viele US-Produkte gegen europäischen Datenschutz.
Gegen deutsche Firmen, die die Dienste dennoch einsetzen, sind Bußgelder von bis zu 20 Millionen Euro möglich. Die Industrie ist alarmiert. Brüssel müsse unbedingt ein Nachfolgeabkommen aushandeln, sagte Iris Plöger vom Industrieverband BDI, „um die dringend benötigte Rechtssicherheit im
unverzichtbaren transatlantischen Daten- und Wirtschaftsverkehr
wiederherzustellen“.
Nicht nur der BDI, sondern auch andere Wirtschaftsverbände zeigen sich
alarmiert. Sie wissen um den weitverbreiteten Einsatz der digitalen Dienste von US-Konzernen in Europas Firmen: Über Office-Produkte von Microsoft werden E-Mails abgewickelt.
Die Auswertung großer Datenmengen geschieht oft mittels Cloud-Diensten von Amazon, und Google hilft dabei, die Zugriffe auf die Internetauftritte der Unternehmen auszuwerten und zu optimieren. Kurz: Ohne Digitallösungen aus den USA läuft in deutschen Firmen kaum etwas.
Die EU-Kommission sollte „umgehend mit der neuen US-Administration in
Verhandlungen über eine wirksame Nachfolgeregelung zum Privacy Shield
eintreten“, sagte der Präsident des Außenhandelsverbands BGA, Anton Börner.
Doch niemand kann sagen, wie lange die Verhandlungen dauern werden und ob am Ende überhaupt ein neues Abkommen mit den USA zustande kommen wird.
Derweil binden sich viele Unternehmen noch stärker an die US-Anbieter, anstatt sich von ihnen zu lösen. Das Handelsblatt erfuhr von etlichen Firmen in Deutschland, die aufgrund der Pandemie kurzfristig Videokonferenzsysteme aufbauen mussten, um auch in Zeiten der Kontaktbeschränkungen mit Mitarbeitern im Homeoffice im Kontakt zu bleiben. Trotz zahlreicher kleinerer Anbieter aus Europa konnten sich meist die beiden US-Dienste Teams von Microsoft und der US-Videoanbieter Zoom durchsetzen.
„Datenschutz ist nicht irgendein Sport“
Diese Praxis bestätigt auch Annette Mühlberg, die bei der Dienstleistungsgewerkschaft Verdi die Projektgruppe Digitalisierung leitet. In der Corona-Pandemie sei in vielen Betrieben und Verwaltungen bei Konferenztools und anderer Software aus Mangel an Alternativen vor allem auf US-Anbieter zurückgegriffen worden. Dies schwäche zum einen die Autonomie Deutschlands und Europas insgesamt, zum anderen entsprächen die verwendeten Tools häufig nicht den hiesigen Anforderungen an den Datenschutz.
Auch arbeitsrechtlich machen die US-Lösungen Probleme. Die Gewerkschafterin kritisiert: Die Politik habe sich bisher nicht ausreichend darum gekümmert, dass gesetzeskonforme Kommunikationslösungen für Bürger und Unternehmen zur Verfügung stehen. Betrieblich unterlägen Software-Programme, die zur Leistungs- und Verhaltenskontrolle genutzt werden können, der Mitbestimmung.
Darum seien Transparenz und Nachvollziehbarkeit der Funktionen der
Programme und der Orte, wo Daten gespeichert werden, immens wichtig.
Mühlberg: „Datenschutz ist nicht irgendein Sport, sondern soll Geschäftsgeheimnisse schützen und die informationelle Selbstbestimmung und damit die Demokratie stärken.“ Die entscheidende Frage, die die Datenschutzbehörden in den nun anberaumten Verfahren klären müssen: Werden bei den US-Cloud-Konzernen deutsche Daten in den USA gespeichert? Oder haben US-Behörden im Zweifel Zugriff auf die Daten?
Die Deutsche Bahn verteidigt die umstrittene Entscheidung für US-Cloud-
Dienste. Rechte und Verordnungen würden erfüllt und Daten nur in Deutschland und den Niederlanden verarbeitet, sagte eine Sprecherin. „Zudem hat die DB ein sehr umfangreiches Verschlüsselungskonzept nach dem Stand der Technik aufgebaut.“
Die Entscheidung gegen europäische Anbieter erklärt der Konzern unter anderem mit dem Verweis auf „eine hohe Flexibilität und die Verfügbarkeit höherwertiger Services“. Anders gesagt: Aus Sicht der Bahn konnte kein europäischer Wettbewerber mit dem Angebot von Amazon und Microsoft mithalten.
Die Deutsche Bank argumentiert ähnlich. „Die IT-Infrastruktur einer Bank
unterliegt strengen Vorschriften“, sagte ein Konzernsprecher. Dazu zähle
Verschlüsselung. Daten von europäischen Kunden würden zudem in Europa gespeichert und der Zugriff auf Daten sei strengen Regeln unterworfen.
Auf die Frage, ob das gemeinsame Entwickeln von Produkten mit Google nicht auch einen Datentausch nötig mache, antwortete der Sprecher: „Ein genereller Datenaustausch zwischen Deutscher Bank und Google ist nicht Teil der strategischen Partnerschaft für Cloud-Dienstleistungen.“
Alleine Daten in Europa zu speichern reicht in vielen Fällen nicht aus, betont Baden-Württembergs Datenschutzbeauftragter Stefan Brink: „Im Prinzip ist das der richtige Ansatz. Allerdings hilft das nur wenig bei US-Dienstleistern, welche dem US-Cloud-Act unterliegen und auch Daten, welche ausschließlich in der EU verarbeitet werden, ihren US-Geheimdiensten auf Anforderung ausliefern müssen.“
Der Cloud-Act verpflichtet US-amerikanische Unternehmen, gespeicherte
Kundendaten an Strafverfolgungsbehörden in den USA weiterzugeben – etwa im Fall eines Terrorverdachts. „Betroffen sind praktisch alle US-Produkte“, sagte Brink. Lediglich Nischenprodukte könnten eine Ausnahme sein oder Daten konsequent verschlüsseln. „In allen anderen Fällen kann man zwar das Risiko des Zugriffs von US-Behörden minimieren, aber nicht völlig ausschließen.“ Und bereits das führe zur Rechtswidrigkeit.
Transferproblem trotz Verschlüsselung
Ob die Konzerne sich mit der Entscheidung juristisch angreifbar machen, mit dieser Frage müssen sich nun die Datenschutzbeauftragten beschäftigen. Johannes Caspar, der hamburgische Beauftragte für Datenschutz, ist auch Co-Vorsitzender einer speziellen Taskforce zur Cloud-Problematik. Die Gruppe soll Wege finden, wie die deutschen Aufsichtsbehörden gemeinsam erreichen können, dass das EuGH-Urteil zur Datenübermittlung über den Atlantik auch umgesetzt wird.
Die Taskforce frage bei deutschen Unternehmen den Einsatz von Diensten von US-Unternehmen ab, erklärt Caspar. „Unternehmen, die US-Anbieter einsetzen, um etwa Analyse- und Trackingdienste zu betreiben, werden dann begründen müssen, auf welcher Grundlage die Datenübermittlung erfolgt“, sagt der Datenschützer. „Kann keine zufriedenstellende Antwort gegeben werden, werden die Behörden auf einen Wechsel des Anbieters oder eine Aussetzung der Übermittlung hinwirken und auch prüfen, ob Sanktionen angezeigt sind.“ Caspars Kollege Brink sieht deutsche Firmen, die personenbezogene Daten in die USA übermitteln, einem erheblichen rechtlichen Risiko ausgesetzt. Die europäischen Unternehmen seien aktuell „mit einer massiven Bußgeldgefahr konfrontiert und benötigen rasche Lösungen“, so Brink. Unternehmen könnten die Problematik eines Datentransfers zwar durch eine „wirksame Verschlüsselung“ in den Griff bekommen. „Allerdings erfordern viele Datenverarbeitungen in der Cloud eine vorherige Entschlüsselung der Daten, sodass die Transferproblematik
in diesen Fällen wieder auflebt.“
Microsoft gehört zu den wenigen US-Unternehmen, die eine Lösung für
europäische Kunden nach Ende des „Privacy Shield“-Abkommens bieten wollen. Der Konzern will sich vertraglich verpflichten, Datenanfragen von Regierungen juristisch anzufechten. Julie Brill, Chief Privacy Officer bei Microsoft, kündigte sogar an, das Unternehmen werde Entschädigungen zahlen, sollten entgegen der DSGVO auf personenbezogene Daten zugegriffen werden.
Ob dieses Vorgehen letztlich ausreicht, bleibt offen. Eigentlich hatte Microsoft zusammen mit der Deutschen Telekom ein für europäische Kunden sicheres System aufgestellt. Dabei konnten Kunden in Deutschland die Microsoft-Produkte nutzen. Die Daten wurden in Rechenzentren gespeichert, die ausschließlich von der Deutschen Telekom als Datentreuhänder betrieben wurden. Im August 2018 aber kündigte Microsoft die Partnerschaft überraschend auf.
Seitdem ist das Modell Geschichte. Microsoft betreibt für Kunden in Deutschland stattdessen eigene Rechenzentren in Berlin und Frankfurt.
Auch für die Telekom wird die jüngste Entwicklung zum Problem. Der Konzern vertreibt Lösungen von Microsoft und anderen US-Konzernen an Kunden in Deutschland. Ein Sprecher sagte, der Konzern empfehle betroffenen Kunden, Verträge auf Basis von EU-Standardvertragsklauseln abzuschließen, auf Serverstandorten in Europa zu bestehen und alle Daten zu verschlüsseln. „Wir rechnen bis Ende März mit den Empfehlungen des Europäischen Datenschutz-Ausschusses zur Auslegung des EuGH-Urteils“, sagte ein Telekom-Sprecher.
Experten sehen Brüssel am Zug
Caspar betont, wie weitreichend die Entscheidung der europäischen Richter war: „Das EuGH-Urteil lässt ja nicht nur den Privacy Shield entfallen, sondern stellt auch grundsätzlich die Verwendung von Standardvertragsklauseln infrage.“
Einzelne Verträge zwischen deutschen Firmen und US-Dienstleistern bieten also keinen ausreichenden Schutz.
Die Auswirkungen gehen so weit, dass es auch aus Sicht des Datenschützers
Caspar eine politische Lösung geben muss: „Insgesamt muss klar erkannt werden, dass wir in der Frage der Datenübermittlung in die USA immer stärker in eine Sackgasse geraten sind“, sagte er. „Hier wieder herauszukommen ist Aufgabe der EU-Kommission und der US-Administration.“ Der Schlüssel hierzu liege in den US-Sicherheitsgesetzen. Caspar: „Es wird sich zeigen, ob die neue Präsidentschaft den Weitblick hat, das Niveau des Datenschutzes gegenüber europäischen Nutzern zu verbessern und die erforderlichen Garantien für Rechte und Freiheiten zu schaffen.“