EU-US Privacy-Shield, CLOUD Act, DSGVO und die Cloud

Was Unternehmen und Behörden jetzt wissen müssen

Es herrscht große Unsicherheit beim Thema Datenschutz, seitdem der Europäische Gerichtshof (EuGH) das EU-US Privacy-Shield Abkommen für ungültig erklärt hat. Damit fehlt die eindeutige Rechtsgrundlage, um personenbezogene Daten von EU-Bürgern bei US-amerikanischen Diensten zu verarbeiten. Der folgende Artikel soll mehr Klarheit schaffen, verdeutlicht unsere Positionierung als LionGate AG und zeigt notwendige Handlungsableitungen.

Das Urteil des Europäischen Gerichtshofs, das EU-US Privacy-Shield-Abkommen zu kippen, wirkt sich stark auf den Datentransfer zwischen der EU und den USA aus. Europäische Unternehmen und Behörden sind stark verunsichert, was nun in Bezug auf CLOUD Act, DSGVO (Datenschutzgrundverordnung) und Cloud zu tun ist: Das nehmen wir bei unseren Kunden und gerade auch bei Behörden wahr, mit denen wir in Bezug auf unsere Online-Lernplattform vicole für Schulen in Kontakt stehen. Oft liegt es aus unserer Sicht daran, dass die Begriffe beliebig und falsch verwendet und miteinander vermischt werden.

CLOUD Act vs. EU-US Privacy Shield: Wer greift auf welche Daten zu?

Der EU-US-Privacy-Shield war der (absehbar) gescheiterte Versuch einer Regelung zwischen den USA und der EU zum Transfer von Daten aus der EU in die USA und die Verarbeitung bei dort angesiedelten Diensteanbietern.

Der CLOUD Act (Clarifying Lawful Overseas Use of Data Act) hingegen ist die Grundlage für den Zugriff von US-Ermittlungsbehörden auf gespeicherte Daten im Rahmen der Strafverfolgung und unabhängig davon, wo die Daten gespeichert sind.

Dem CLOUD Act untersteht jedes Unternehmen mit Hauptsitz oder Niederlassungen in den USA. Das gilt also sowohl für IT-Unternehmen wie Amazon Web Services (AWS), Microsoft und Google, als auch für jeden „Global Player“ aus Europa. Der CLOUD-Act besagt, dass den US-Behörden auch außerhalb der USA gespeicherte Daten zur Verfügung gestellt werden müssen, wenn ein US-Gericht einen entsprechenden Haftbefehl ausgestellt hat, der das rechtfertigt. Selbst dann hat das Unternehmen dagegen aber noch Rechtsmittel.

Es geht hier also grundsätzlich um einen staatlichen Zugriff im Zuge von Strafverfolgung und Terrorabwehr. Man kann durchaus kritisch interfragen, ob die rechtlichen Voraussetzungen für Haftbefehle in den USA mit denen Europas vergleichbar sind. Aber dennoch sind die USA ein befreundeter, demokratischer Rechtsstaat. Ganz anders verhält es sich, wenn Diensteanbieter (z.B. SaaS Services) aus eigener Entscheidung Kundendaten in die USA übertragen, um diese dort zu speichern und für weitere Zwecke zu verwenden. Diese Unternehmen haben ein Eigeninteresse an diesen Daten. Sie sind dann im Sinne der DSGVO für diese verantwortlich. In diesem Fall überlassen sie die Daten privatwirtschaftlichen Unternehmen, die in den USA kaum Datenschutzregeln unterliegen. Der CLOUD-Act gilt darüber hinaus.

Bedeutet das also, dass europäische Unternehmen und Behörden keine Cloud-Services mehr nutzen sollten?

Cloud-Services in Europa DSGVO-konform nutzen

In Europa gibt es im Vergleich zu den USA – und natürlich umso mehr verglichen mit China –gesellschaftlich ein grundsätzlich anderes Verständnis, wie mit personenbezogenen Daten umzugehen ist. Mit der DSGVO gibt es einen rechtlichen Rahmen. Auch wenn sich hier ein Spannungsfeld zeigt: Cloud-Lösungen datenschutzkonform zu betreiben, ist es in Europa nach wie vor möglich. Als LionGate setzen wir bereits seit Jahren Projekte nach strengen Datenschutz-Kriterien für unsere Großkunden um.

Dabei gilt es aus unserer Sicht folgendes zu beachten:

  • Datenspeicherung in deutschen Rechenzentren: Um den Datenschutz zu gewährleisten, betreiben viele Cloud-Anbieter mittlerweile Rechenzentren in Europa oder Deutschland. Der Kunde kann explizit festlegen, wo er seine Services und Daten betreiben und speichern möchte. Als LionGate betreiben wir unsere Cloud-Lösungen beispielsweise im Rechenzentrum von AWS in Frankfurt.
  • Daten sind kein Geschäftsmodell: Für unsere Kunden entwickeln und betreiben wir genau auf ihre Anforderungen zugeschnittene Cloud-Lösungen. Unsere Kunden bezahlen uns dafür nicht mit ihren Daten. Wir arbeiten mit dem Cloud-Anbieter AWS zusammen, mit dem oft die Shopping-Plattform Amazon assoziiert wird. Beide sind aber voneinander getrennte Legal Entities. AWS stellt hochverfügbare, hochsichere Cloud-Infrastruktur bereit. Sicherheit und Datenschutz haben dabei immer höchste Priorität. Regelmäßige Audits und Zertifizierungen bestätigen das. Nicht alle Anbieter von SaaS-Lösungen können das leisten, weshalb Unternehmen und Behörden das im Einzelfall kritisch prüfen sollten.
  • Auftragsdatenverarbeitung und technische und organisatorische Maßnahmen: Um einen Cloud-Service nutzen zu können, müssen die konkreten Details der Zusammenarbeit und des Datenschutzes in einer Vereinbarung zu Auftragsdatenverarbeitung (ADV; oder Englisch: Data Processing Agreement, DPA) festgehalten werden. Die ADV beschreibt auch die notwendigen technischen und organisatorischen Maßnahmen (TOM), um den Datenschutz und die Sicherheit zu gewährleisten. Die Datenschutzbeauftragten unserer Kunden bescheinigen uns regelmäßig die Klarheit unserer ADV und die konsequente Umsetzung der TOM. Erst vor kurzem haben neutrale Datenschutzbeauftragte dies bei unserer Initiative vicole bestätigt.

Die Cloud als Enabler der Digitalisierung

Nicht zuletzt während der Corona-Pandemie hat sich gezeigt: Die Zeit ist reif, um die Digitalisierung in Deutschland und Europa weiter voranzutreiben. Diese Erfahrung haben wir in den vergangenen Monaten auch besonders im Zusammenhang mit unserer Plattform für Schulen vicole gemacht. Seit dem Frühjahr haben wir sie an rund 50 Schulen in Deutschland implementiert und somit die Digitalisierung dieser Schulen unterstützt. Und wir sind auch weiter im Gespräch mit Entscheidern in Politik und Bildung, um das Thema gemeinsam noch weiter voranzubringen.

Die Cloud spielt beim Thema „Digitale Schule“ eine zentrale Rolle. Und das gilt auch für weitere Bereiche: Die Cloud ist der wesentliche Enabler der Digitalisierung. Ähnlich wie Elektromobilität nicht ohne Strom auskommt, funktioniert Digitalisierung nicht ohne Cloud.

Als wesentliche Punkte sind hier zu nennen:

  • Innovation: Neue technologische Innovationen wie beispielsweise Künstliche Intelligenz (Englisch: Artificial Intelligence, AI) und das Internet der Dinge (Englisch: Internet of Things, IoT) kommen nicht mehr ohne die Cloud aus. Denn: AI-Services erzeugen große Datenmengen und setzen eine hohe Rechenleistung voraus. Performante, skalierbare Systeme aufzubauen, ist sehr kostspielig und um schnell und rechtzeitig auf die benötigte Rechenleistung zugreifen zu können, reichen eigene Server nicht aus. Viele Unternehmen setzen deshalb bereits auf Cloud-basierte Systeme. Und rufen so die benötigten Rechenleistungen ab, wann immer sie diese brauchen. Ohne unnötig Ressourcen zu verbrauchen, beispielsweise für Server, die sie nicht ständig auslasten. Diese Tendenz wird noch weiter zunehmen.
  • Elastizität: Nur Cloud-Infrastrukturen bieten die notwendige Elastizität, um flexibel auf Kundenanforderungen reagieren zu können. So lassen sich je nach Bedarf zusätzlich benötigte Ressourcen kurzfristig für Bedarfsspitzen bereitstellen. Werden sie nicht mehr benötigt, lassen sie sich schnell und unkompliziert wieder freigeben. Ein Beispiel: Schulen, die während der Corona-Pandemie für Online-Lernplattformen schnell große Rechnerkapazitäten benötigten. Manche Landkreise in Bayern haben bis zu 20 Server beschafft. Diese wurden aber nur zu bestimmten Zeiten voll ausgelastet – eine Ressourcenverschwendung. Und mit der Rückkehr zum Präsenzunterricht werden diese Kapazitäten nun gar nicht mehr benötigt. Wer hier auf Cloud-Lösungen – und nicht auf eigene Server – setzte, schonte gleichzeitig die Budgetmittel der Schulen bzw. Landkreise.
  • Agilität und Flexibilität: Die Digitalisierung bedingt neue flexible und agile Modelle der Zusammenarbeit. Unternehmen müssen sich fortlaufend auf die sich ändernden Kundenbedürfnisse fokussieren und schnell darauf reagieren können. Die Cloud unterstützt dieses Vorgehen und auch technische Practices optimal, wie beispielsweise Continuous Deployment oder DevOps .
  • Collaboration: Die Digitalisierung sorgt auch dafür, dass einzelne Akteure innerhalb der Wertschöpfungsketten enger zusammenarbeiten. Und dass Wertschöpfungsketten neu definiert werden.
  • Kosten: Schlussendlich lassen sich, wie oben bereits am Beispiel von Schulen erklärt, durch den sinnvollen Einsatz von Cloud-Lösungen Kosten signifikant einsparen.

Der Markt der Cloud-Anbieter

US-amerikanische Anbieter wie AWS, Microsoft, IBM und Google dominieren den Markt der Cloud-Anbieter. AWS ist mit Abstand der Marktführer, was unabhängige Marktforschungsunternehmen wie Gartner bestätigen (s. Abbildung „Magic Quadrant for Cloud Infrastructure as a Service, Worldwide“).

Wir sind AWS-Partner und nutzen primär AWS für unsere Cloud-Lösungen. AWS hat uns bezüglich der Funktionalität, Stabilität, Kosten und Performance im Vergleich mit dem Wettbewerb überzeugt.  Und auch in Bezug auf den Datenschutz ziehen wir AWS den Konkurrenzunternehmen vor.

Leider gibt es derzeit keine nennenswerten europäischen Alternativen zu AWS in diesem Markt. Es gibt zwar eine Vielzahl an Hosting-Angeboten. Diese erfüllen aber nicht die Minimal-Anforderungen an Cloud Computing, beispielsweise an die Skalierbarkeit, wie oben ausgeführt.

Als Bitkom-Mitglied verfolgen und unterstützen wir die europäischen Initiativen rund um Gaia-X und die Themen Datensouveränität und Datenhoheit. Gaia-X kann aber lediglich einen konzeptionellen und organisatorischen Rahmen schaffen. Konkrete privatwirtschaftliche Initiativen sehen wir hier aktuell noch nicht.

Fazit

Auch nach dem Aus des EU-US Privacy-Shield-Abkommens lassen sich Cloud-Services noch datenschutzkonform gemäß der DSGVO nutzen. Unternehmen und Behörden sollten dabei aber unbedingt kritisch bleiben: Hinterfragen Sie Lösungen, die nicht in Europa betrieben werden, wie sie Ihre Daten verwerten. Aus unserer Sicht ist dies gerade im Bereich Schule und Bildung ein wichtiges Entscheidungskriterium. Denn es geht um die sensiblen Daten von Schüler*innen. Datenschutzbeauftragte der einzelnen Bundesländer haben das in den letzten Monaten mehrfach klar artikuliert.

 

Wir freuen uns darauf, mit unseren Kunden und mit Entscheidern aus Bildung und Politik weiterhin die Digitalisierung aktiv mit innovativen Cloud-Lösungen zu gestalten und voranzubringen.

Sie haben Fragen zum Thema Cloud und Datenschutz? Melden Sie sich gerne bei uns. .


Lassen Sie uns reden.

Ihr Kontakt bei LionGate: Michael Schießl, Gründer und Vorstand