Datentransfers in einen Drittstaat wie die USA sind nur zulässig, wenn dort ein angemessenes Datenschutzniveau sichergestellt ist. Reicht es dazu, die personenbezogenen Daten zu verschlüsseln? Oder ist die Verschlüsselung nur eine Maßnahme von vielen?
Handlungsbedarf bei der Nutzung von Online-Diensten aus den USA
Drei von vier Unternehmen (76 Prozent) nutzten im Jahr 2019 Rechenleistungen aus der Cloud, so die Studie „Cloud-Monitor 2020“ des Digitalverbands Bitkom und der Wirtschaftsprüfungsgesellschaft KPMG.
Drei Viertel der Unternehmen setzen auf Cloud Computing |
Unternehmen aus Deutschland nutzen Cloud-Dienste aber nicht nur, um Daten zu speichern (Cloud-Storage genannt). Sie verwenden auch Anwendungen aus der Cloud wie Office-Programme, E-Mail-Dienste, Terminverwaltungen, Videokonferenzdienste und Programme zur Datenanalyse, um nur einige Beispiele zu nennen.
Viele Cloud-Dienste werden dabei von Unternehmen aus den USA betrieben. Werden personenbezogene Daten in die Cloud übermittelt, muss es dafür eine Rechtsgrundlage geben, so will es die Datenschutz-Grundverordnung (EU-DSGVO). Bei vielen Cloud-Diensten aus den USA galt bisher der sogenannte „Privacy Shield“ als die Rechtsgrundlage.
Mit dem Urteil des Europäischen Gerichtshofs (EuGH), dass der Privacy Shield als rechtliche Grundlage für die Übermittlung personenbezogener Daten in die USA ungültig ist, stehen viele Unternehmen nun vor einer Herausforderung: Wie können sie nun personenbezogene Daten in einen Cloud-Dienst übertragen, der in den USA betrieben wird?
Von rechtlicher Seite gibt es viele Überlegungen und Hinweise, worauf ein Unternehmen nun achten muss. Gleichzeitig melden sich Anbieter von Verschlüsselungslösungen zu Wort, man könne das Privacy-Shield-Problem lösen, indem man einfach alle Daten verschlüsselt.
So manches Unternehmen denkt nun: Wenn die Daten verschlüsselt sind, kann man sie problemlos in die USA übermitteln, auch wenn Privacy Shield keine Rechtsgrundlage sein kann und es keine andere absolut rechtssichere Rechtsgrundlage gibt. Doch stimmt das?
Nutzung der verschlüsselten Daten in den USA
Ohne in die Tiefen des Datenschutzrechts einzutauchen, lohnt sich bereits die Überlegung, ob die Daten beim Empfänger, also zum Beispiel bei dem Cloud-Betreiber in den USA, verschlüsselt bleiben. Nehmen wir das Beispiel, dass ein Unternehmen einen Cloud-Dienst für Maschinelles Lernen in den USA nutzen möchte, ein häufig anzutreffender Fall.
Zum einen lassen sich die verschlüsselten Daten nicht mittels Maschinellen Lernens verarbeiten und analysieren. Sie müssen also entschlüsselt werden, um sie überhaupt nutzen zu können. Bei der Verschlüsselung handelt es sich nur um eine sogenannte Transport- und / oder Ruhezustandsverschlüsselung. Werden die Daten genutzt, liegen sie in diesem Zeitraum unverschlüsselt vor. Zum anderen muss auch auf dem Server in den USA sichergestellt sein, dass nur Befugte die Daten weiterverarbeiten. Das setzt aber eine Rechtsgrundlage voraus. Ein „Ersatz“ für Privacy Shield ist die Verschlüsselung also nicht.
Personenbezug bei verschlüsselten Daten
Manchmal hört man das Argument, verschlüsselte Daten würden nicht mehr dem Datenschutz unterliegen, denn sie hätten den Personenbezug verloren. Wäre dem so, könnten verschlüsselte Daten ohne datenschutzrechtliche Vorgaben übermittelt und verarbeitet werden.
Aber Vorsicht: Verschlüsselte Daten sind ein klassisches Beispiel für Pseudonymisierung, so die Aufsichtsbehörden für den Datenschutz. Die verschlüsselten Informationen beziehen sich auf Personen, die durch einen Code gekennzeichnet sind, während der Schlüssel für die Zuordnung des Codes zu den Kennzeichen der Personen (zum Beispiel Name, Geburtsdatum, Adresse) gesondert aufbewahrt wird.
Pseudonyme Daten sind jedoch weiterhin personenbeziehbar. Denn sie lassen sich durch Heranziehung zusätzlicher Informationen einer natürlichen Person zuordnen. Man müsste zuverlässig verhindern können, dass der Cloud-Betreiber in den USA oder andere Stellen dort den Schlüssel zur Entschlüsselung erlangen können. Dann aber könnten die Daten in der Cloud auch nicht weiterverarbeitet werden.
Man kann also nicht davon ausgehen, dass verschlüsselte Daten nicht mehr dem Datenschutz unterliegen. Unternehmen brauchen somit auch für die Übermittlung verschlüsselter Daten eine Rechtsgrundlage.
Allein die Verschlüsselung reicht nicht
Aber auch wenn es nicht ausreicht, die personenbezogenen Daten zu verschlüsseln, um sie in einen Drittstaat wie die USA übermitteln zu dürfen, ist die Verschlüsselung durchaus eine wichtige zusätzliche Maßnahme bei einer Datenübermittlung.
Verschlüsselung gehört zu den zusätzlichen Maßnahmen, um ein Datenschutzniveau sicherzustellen, das dem in der EU gleichwertig ist, so die Aufsichtsbehörden. Nur dann, wenn ein angemessenes Datenschutzniveau im Empfängerland bei der Übermittlung personenbezogener Daten sichergestellt ist, darf die Datenübermittlung erfolgen. Nur dann also dürfen Unternehmen Online-Dienste aus den USA weiterhin nutzen, wenn damit personenbezogene Daten verarbeitet werden sollen. Die Verschlüsselung allein reicht dafür nicht, auch wenn dies manche Anbieter behaupten. Im Gegenteil - hat der Datenempfänger (also das US-Unternehmen) auch den Schlüssel für die Entschlüsselung, ist Verschlüsselung als zusätzliche Maßnahme zum Erreichen eines angemessenen Schutzniveaus im Drittland USA quasi wertlos. Egal wie gut sie gegen externe Angreifer wie Hacker wirkt - die Problematik bei den US-Transfers sind die Zugriffsmöglichkeiten der dortigen Behörden. Und diese verlangen Herausgabe von Daten und Schlüssel vom US-Anbieter. Verschlüsselung bringt in diesem Kontext also nur etwas, wenn der Schlüssel nicht mit in die USA übertragen wird.
Vorsicht vor Pauschalaussagen!
Da es wie gerade gezeigt bei der rechtskonformen Gestaltung von Datentransfers in nicht-EU-Staaten auf die Details ankommt sollten Sie Angebote, die angeblich einfache, 100% sichere technische Lösungen zum Privacy-Shield-Problem offerieren, unbedingt kritisch hinterfragen.
Informationssicherheit und Datenschutz haben eine Menge gemeinsam. Aber nicht jede Maßnahme, die effektiv vor Hackerangriffen schützt, ist auch Datenschutzkonform. Hier bedarf es großen Fachwissens auf beiden gebieten und langjähriger Erfahrung, um eine effektive und bezahlbare Lösung für den Mittelstand aufzubauen. Bei yourIT betrachten wir Datenschutz und Informationssicherheit als Teile eines ganzheitlichen Managementsystems - DSMS und ISMS aus einer Hand. Wenn Sie mehr über unser Managementsystem und unsere Arbeitsweise erfahren wollen - sprechen Sie uns an.
Einen ersten Eindruck von unserer Arbeit bekommen Sie auch in unserer kostenlosen Webinar-Reihe DatenschutzAKTUELL. Im nächsten Termin am kommenden Mittwoch, 21.07.2021, um 11:00 Uhr geht es nochmals um den rechtskonformen Einsatz von Microsoft365.
Wir freuen uns auf Sie!