Open Telekom Cloud für Geschäftskunden

Nach Schrems II: Mit europäischer Cloud auf Nummer sicher

von Redaktion
Eine Europa-Flagge mit Schloss-Icon im Zentrum der Sterne.
Ohne Datentransfer in Drittländer bieten europäische Cloud-Lösungen Datensouveränität und größtmögliche Sicherheit.

In diesem Artikel lesen Sie, 

  • welche Hintergründe das EuGH-Urteil „Schrems II“ hat, 
  • was die neuen Entwicklungen für Unternehmen, öffentliche Träger und IT-Dienstleister bedeuten, die auf US-Cloud-Dienste setzen,
  • und wie die Wahl der richtigen Public Cloud hilft, den Datenschutz EU-konform zu meistern.

Ob beim Austausch von Auftragsinformationen mit internationalen Niederlassungen oder von Forschungsergebnissen in Hochschulkooperationen, ob bei der Informationsverarbeitung in Wirtschaftsunternehmen oder in der digitalen Verwaltung: Daten kennen keine Grenzen. Und Cloud Computing ist unverzichtbar für die Umsetzung vielfältiger Anforderungen. Daten dabei international zu verarbeiten, ist für viele Unternehmen und Behörden längst Alltag. Laut den Marktforschern von Capgemini tauschten 2020 73 Prozent aller Firmen aus Deutschland, Österreich und der Schweiz Daten mit Lieferanten, sechs von zehn mit Aufsichtsbehörden und drei von zehn mit kommerziellen Datenanbietern. Dabei müssen personenbezogene Informationen besonders geschützt werden. Die eigenen Daten, die in der Public Cloud liegen, nach einem Cyberangriff oder einem staatlichen Zugriff im Ausland in fremden Händen zu wissen? Ein Horror-Szenario.

Aufruf zu mehr Datenschutz

Dem Schutz europäischer Daten im Ausland diente auch das Datenschutz-Abkommen „Privacy Shield“ zwischen den USA und der EU. In seiner Entscheidung Schrems II kippte der Europäische Gerichtshof (EuGH) im Juli 2020 das Privacy Shield jedoch – wie Jahre zuvor schon das Vorgängerabkommen „Safe Harbor“. Denn alle Datentransfers in Länder außerhalb der EU müssen nach der europäischen Datenschutzgrundverordnung (DSGVO) gewährleisten, dass das Datenschutzniveau im Zielland dem der EU entspricht. Das Privacy Shield konnte jedoch laut EuGH keinen angemessenen Schutz gewährleisten und wurde daher gekippt.

Open Telekom Cloud im Öffentlichen Sektor

 

Standardvertragsklauseln als Alternative

Ein anderer, datenschutzkonformer Ansatz für internationale Datentransfers sind die sogenannten Standardvertragsklauseln (engl. standard contractual clauses, SCC).  Bei diesen einigen sich der Datenexporteur und der ausländische Datenimporteur vertraglich über das Datenschutzniveau. Diese Verpflichtungen muss der Datenimporteur aber auch tatsächlich einhalten können. Die Standardvertragsklauseln behalten nach dem EuGH-Urteil weiterhin ihre Gütigkeit – auch für Übermittlungen in die USA. Allerdings sind stets eine Einzelfallprüfung und gegebenenfalls die Umsetzung weiterer Maßnahmen erforderlich. Zudem stammten die SCC noch aus der Zeit vor der DSGVO. Die Folge für viele Unternehmen und öffentliche Einrichtungen: untragbare Rechtsrisiken und Angst vor hohen Strafen auf der einen Seite, aufwändige und unwirtschaftliche Prozesse bei der Umsetzung in neuen Verträgen auf der anderen.

Das hat Schrems II ausgelöst

  • Die irische Datenschutzaufsicht untersagte Facebook, Daten an die US-Konzernzentrale zu übermitteln. Daraufhin drohte Facebook, sich aus dem europäischen Markt zurückzuziehen.
  • Die Berliner Datenschutzaufsicht rief zu einer koordinierten Aktion auf, um Datenschutzmissbrauch zu stoppen
  • Datenschutzaktivist Max Schrems legte mit seiner NGO „noyb“ Beschwerde gegen über 100 EU-Unternehmen ein, die unzureichend abgesichert auf amerikanische Verarbeiter setzten.
 

Neue Klauseln, neues Glück für den EU-US-Datenschutz

Was nun? Für langfristig sichere Geschäftsbeziehungen nah am digitalen Alltag bedeutete das Urteil eine enorme Hürde. Denn Unternehmen, Hochschulen oder auch Behörden stehen beim Datenaustausch nach Übersee vor großen Unsicherheiten, besonders bei der Frage, welche zusätzlichen Maßnahmen sie treffen müssen. Entsprechend stand die EU unter Druck, diese Unsicherheiten auszuräumen und den Markt wieder zukunftssicher international anzubinden. Daher hat die EU-Kommission im Juni 2021 neue Standardvertragsklauseln vorgestellt (PDF).

Die neuen EU-Standardvertragsklauseln

  • vier Module zum jeweiligen Anwendungsgebiet
  • klarere Sprache, flexiblere Ausgestaltung
  • neue Dokumentations- und Prüfungspflichten für Datenexporteure, Benachrichtigungs- und Abwehrpflichten für Importeure
  • Übergangsfrist für bestehende Verträge bis zum 27.12.2022
 

Die Neufassung der SCC soll für Unternehmen und Behörden „benutzerfreundliche Instrumente für den Transfer“ liefern. Das heißt: Tauschen Unternehmen noch auf Basis der alten Klauseln personenbezogene Daten mit Drittländern wie den USA aus, müssen sie bestehende Verträge prüfen und innerhalb von 18 Monaten auf die neuen SCC anpassen. Der Aufwand? Je nach Unternehmens- oder Behördengröße sowie internationaler Verzahnung der Prozesse nicht zu unterschätzen. Ein neues Abkommen ist bei der Kluft zwischen dem Anspruch der DSGVO und dem Selbstverständnis vieler Drittstaaten vorerst nicht in Sicht.

Mit europäischen Clouds gewappnet für Schrems III

Offen bleibt, wie der EuGH bei einer Klage zu den neuen SCC oder gar einem potenziellen neuen Privacy Shield entscheiden würde. Die Erwartungen der EU-Kommission an die USA sind sehr hoch. Wäre eine solche neue Regelung mit EU-Recht vereinbar? Oder droht „Schrems III“? Auch wenn Nutzer von Microsoft Azure und Amazon Web Services durch die neuen Klauseln geschützter wären: Hundertprozentige Sicherheit gibt es nicht. Gewissheit bieten hingegen europäische Cloud-Umgebungen. Denn ohne Übermittlung an Drittländer benötigt man auch keine Zusatzbestimmungen. Das bedeutet für Unternehmen und Träger in Kommunen, Bund und Ländern: Datensouveränität auf Basis europäischer Lösungen ist das effektivste Mittel für langfristige Sicherheit bei allen Cloud-Anwendungen. Gegen Betriebsausfälle, unerlaubten Behördenzugriff und Datenlecks, die das Ansehen, personenbezogene Daten von Kunden und Bürgern, aber auch Forschungsergebnisse gefährden können. Ganz nach dem Motto: Wer nicht exportiert, ist von überraschenden Änderungen und verschärften Anforderungen auch nicht betroffen.


Jetzt direkt buchen und 250 € Startguthaben sichern

 

Haben Sie Fragen?

Wir beantworten Ihre Fragen zu Testmöglichkeit, Buchung und Nutzung – kostenfrei und individuell. Probieren Sie es aus! Hotline: 24 Stunden am Tag, 7 Tage die Woche
0800 33 04477 aus Deutschland / 00800 33 04 47 70 aus dem Ausland

  • Die Open Telekom Cloud Community

    Hier treffen sich Nutzer, Entwickler und Product Owner um sich zu helfen, auszutauschen und zu diskutieren.

    Jetzt entdecken 

  • Telefon

    Kostenfreie Experten-Hotline

    Unsere zertifizierten Cloud-Experten stehen Ihnen mit persönlichem Service zur Seite.

    0800 33 04477 (aus Deutschland)

    +800 33 04 47 70
     (aus dem Ausland)

    24 Stunden am Tag, 7 Tage die Woche

  • E-Mail

    Unser Kunden-Service steht Ihnen per E-Mail-Support kostenlos zur Verfügung.

    E-Mail schreiben