EuGH-Urteil zu Privacy Shield

EuGH-Urteil zu Privacy Shield

Zum aktuellen Thema EU-US Privacy Shield haben wir uns mit dem COO von Stackfield, Herr Christopher Diesing, virtuell zusammengesetzt.
Im Interview spricht er über die Bedeutung des Urteils für Nutzer von SaaS-Produkten, die Informationen auf US Servern gespeichert haben, sowie über die Auswirkungen auf das eigene Unternehmen Stackfield.

Warum ist der Datenschutz gerade im SaaS-Bereich, bei digitalen Lösungen zu Kommunikation, Zusammenarbeit und Projektmanagement, ein so relevantes Thema?

CD: Das Thema Datenschutz ist heutzutage natürlich omnipräsent, aber gerade die voranschreitende Digitalisierung öffnet in vielen Bereichen die Pforten für Datenmissbrauch immer weiter und das wirft natürlich, zum größten Teil auch berechtigte Bedenken auf. Im geschäftlichen Sektor sehen wir immer mehr, dass sich Saas-Plattformen zur Kommunikation und Kollaboration etablieren, weil sie die Zusammenarbeit einfacher und angenehmer gestalten. Dies führt natürlich auch dazu, dass in den Unternehmen auch sehr sensible Daten über diese Kommunikationslösungen ausgetauscht werden: Personenbezogene Daten und Betriebsinterna sind fast immer Teil davon. Durch die engere Zusammenarbeit werden die Daten auch schneller verarbeitet – was in erster Linie natürlich ein großer Vorteil ist!

Bietet die verwendete Software allerdings nicht ausreichend Schutz und integrierte Richtlinien, können diese Daten schnell nach außen dringen. Kommt es zu Data Leaks, so können diese nicht nur das Image einer Firma schädigen, sondern auch die wirtschaftliche Position einer Firma existenziell gefährden und erhebliche Kosten nach sich ziehen. Für den Umgang mit den besonders schützenswerten personenbezogenen Daten definiert die Europäische Datenschutzgrundverordnung daher strikte Auflagen, deren Einhaltung für die Unternehmen einen hohen Stellenwert haben sollte.  All das beeinflusst maßgeblich, welches Tool genutzt werden darf und welches nicht.

Was macht es so schwierig ein passendes Tool mit angemessenem Datenschutzniveau zu finden?

CD: Die verfügbare Bandbreite und Fülle an Tools ist immens, was zunächst allein die Auswahl des passenden Tools hinsichtlich des Funktionsumfangs erschwert. Gleichzeitig sind die Informationen der Anbieter zum Thema Datenschutz und Informationssicherheit aber recht undurchsichtig bzw. für den Endverbraucher nur schwer zu verstehen. Zum Teil werden hier recht abstruse Aussagen getroffen. Einige Anbieter werben beispielsweise mit einer Ende-zu-Ende-Verschlüsselung, obwohl es sich häufig nur um eine reine SSL-Verschlüsselung handelt, bei welcher die Daten nur auf dem Weg vom Computer zu den Servern des Anbieters verschlüsselt werden. Was wiederum auf den Servern des Anbieters geschieht, wird hiermit in keiner Weise abgedeckt oder erläutert.

Bei einer echten Ende-zu-Ende-Verschlüsselung werden die Daten bereits auf dem Endgerät verschlüsselt, in diesem Zustand nochmals zusätzlich mit SSL verschlüsselt übertragen und im gleichen verschlüsselten Zustand auf den Servern des Anbieters gespeichert. Erst beim Abrufen auf dem Endgerät werden die Daten wieder entschlüsselt. Durch den Einsatz einer echten Ende-zu-Ende Verschlüsselung hat der Plattformbetreiber keine Möglichkeit zum Einblick in die Daten der Nutzer. Für diese sind derart wage Betitelungen allerdings nur schwer zu deuten. Hier lohnt es sich, genauer beim entsprechenden Anbieter nachzuhaken.

Warum standen viele US-Tools, bezogen auf den Datenschutz, in den vergangenen Monaten derart in der Kritik?

CD: Das Problem liegt in der amerikanischen Rechtsprechung. Der Patriot Act, der in den USA als Reaktion auf die Terroranschläge am 11. September 2001 erlassen wurde, ermöglicht es den US-Behörden, ohne richterlichen Beschluss auf Daten zuzugreifen, die auf US-Servern gespeichert werden. Nachdem 2018 der Cloud Act erlassen wurde, sind US-Anbieter auch zur Herausgabe der Daten verpflichtet, wenn sie diese auf Servern außerhalb der USA speichern.

Das widerspricht ganz klar dem, was durch die DSGVO für die Verarbeitung von personenbezogenen Daten festgeschrieben wird. Die DSGVO besagt, dass personenbezogene Daten nur außerhalb der EU verarbeitet werden dürfen, wenn ein angemessenes Schutzniveau geboten wird und/oder geeignete Garantien vorliegen. Eine geeignete Garantie sollte beispielsweise durch das Privacy Shield Abkommen zwischen der EU und den USA in Verbindung mit einer Datenschutzfolgeabschätzung gegeben sein – eigentlich. Patriot Act und Cloud Act stehen allerdings in Konflikt mit der DSGVO, nach welcher zu jedem Zeitpunkt bekannt sein muss, wer auf die gespeicherten und verarbeiteten Daten Zugriff und entsprechende Einsicht hat.

Im Juli diesen Jahres wurde das Privacy Shield Abkommen vom Europäischen Gerichtshof gekippt – was bedeutet das für Nutzer von SaaS-Produkten?

CD: Dass das Privacy Shield Abkommen vom Europäischen Gerichtshof gekippt wurde, bedeutet das Wegfallen der rechtlichen Grundlage für die Nutzung von US-Diensten und das ist für Kunden amerikanischer Anbieter tatsächlich ein Riesending. Sie müssen nun genau evaluieren, ob die Nutzung der jeweiligen Dienste noch rechtlich vertretbar ist.

Das Problem ist also ganz zentral auch ein rechtliches?

CD: Richtig. (Wenn auch nicht ausschließlich.) Die DSGVO setzt strikte Vorgaben dahingehend, wie mit personenbezogenen Daten umzugehen ist. Die Einhaltung dieses Gesetzes ist die Hauptvoraussetzung für die Verarbeitung personenbezogener Daten. Wer sich nicht daran hält, riskiert mindestens beträchtliche Geldbußen, welche im Vergleich zum Bundesdatenschutzgesetz deutlich erhöht wurden.

Aus diesem Grund sollten Unternehmen genau prüfen, welche Dienste aktuell im Einsatz sind und welche rechtliche Grundlage zur Verarbeitung genutzt wird.

Hierdurch sichern sich diese auch für die Zukunft ab, da ein Wechsel zu anderen Tools nach einer gewissen Zeit sehr aufwendig sein kann. Schließlich müssen alle Daten vom alten Tool exportiert und in das neue eingepflegt werden. Selbst wenn es zu einem Privacy-Shield-Nachfolger kommt, ist es nicht unwahrscheinlich, dass es wieder zu einer ähnlichen Situation kommt. Dass ein Abkommen zwischen den Vereinigten Staaten und Europa gekippt wurde, so wie es im Juli mit dem Privacy Shield Abkommen passiert ist, war nicht das erste Mal und es wird voraussichtlich auch nicht das letzte Mal gewesen sein.

Wieso denken Sie das?

CD: Schrems, der mit seiner Klage das Privacy Shield, wie auch seinen Vorgänger, Safe Harbor, zu Fall gebracht hat, hat auch damit argumentiert, dass in Amerika das US-Recht immer Vorrang hat. Das ist ein ganz wichtiger Punkt, den man im Hinterkopf behalten sollte. Solange Gesetze wie der Cloud Act bestehen bleiben, wird man Abkommen wie das Privacy Shield kritisch betrachten und solange besteht die Gefahr, dass diese Abkommen gekippt werden.

Wie kann man sich absichern, wenn man eine langfristige Kollaborationslösung im Unternehmen einführen will?

CD: Wer auf Nummer sicher gehen will und sich auch in Zukunft keine Sorgen um gesetzliche Grauzonen machen will, sollte auf eine Datenverarbeitung im europäischen Raum setzen und hierbei sicherstellen, dass kein Datenzugriff über den Cloud Act erfolgen kann.

Im Anschluss an das Privacy-Shield-Urteil forderte die Berliner Datenschutzbeauftragte, Maja Smoltczyk, eine Verlagerung aller in den USA gespeicherten personenbezogenen Daten nach Europa.

In Deutschland wird "Made in Germany" so langsam zu einem Gütesiegel auf dem SaaS-Markt. Warum ist das so?

CD: "Made & hosted in Germany" bedeutet für SaaS-Kunden vor allem eines: Rechtssicherheit. Anbieter aus Deutschland, deren Server sich in Deutschland befinden stehen ausschließlich unter deutscher Rechtsprechung. Ähnliches gilt für Anbieter aus den gesamten Europäischen Raum, solange ausschließlich mit europäischen Subunternehmern zusammengearbeitet wird und keine Daten in die USA übertragen werden. Diese Anbieter sind nicht von den amerikanischen Gesetzen betroffen und müssen von Gesetzeswegen einen ausreichenden Datenschutz gewährleisten.

Was würden Sie den Unternehmen empfehlen? Wie sollte man vorgehen, wenn man amerikanische Tools im Einsatz hat?

CD: Allen Unternehmen würde ich einen Blick in das eigene Verarbeitungsverzeichnis empfehlen. Dort ist ersichtlich, welche Tools derzeit im Einsatz sind und wo sich der Sitz des Anbieters sowie, falls abweichend, der Hauptsitz des Konzerns befinden. Bei allen Tools mit amerikanischem Sitz oder Serverstandort besteht Prüfungs- und Handlungsbedarf.

Denkbar wäre es dann, mit Standardvertragsklauseln zu arbeiten. Dass diese Klauseln allerdings eingehalten werden können und dass im jeweiligen Land des Anbieters ein angemessenes Schutzniveau aufrechterhalten werden kann, muss im Zuge einer Datenschutzfolgenabschätzung geprüft werden. Hierbei sollte man aber weiterhin auf die Auswirkungen des Patriot Acts und des Cloud Acts achten!

Mit Stackfield bieten Sie selbst eine eigene Cloud-Lösung zur Zusammenarbeit und Kommunikation und sind hierdurch als Auftragsverarbeiter tätig.

Hatte das Privacy-Shield-Urteil Auswirkungen auf Stackfield als Unternehmen?

CD: Mit Stackfield setzen wir von Anfang an auf Subunternehmer aus Deutschland und eine Datenverarbeitung im Europäischen Raum, weshalb wir vom Privacy Shield Urteil nicht betroffen sind. Wie von Ihnen erwähnt, können wir hierdurch unseren Kunden in der Rolle als Auftragsverarbeiter eine gewisse Sicherheit bieten, was natürlich den Aufwand zur Einhaltung der DSGVO auf Kundenseite deutlich verringert.

Vielen Dank für das Interview, Herr Diesing!

Zu Stackfield:

Stackfield ist ein Münchner SaaS-Tool das die Bereiche Kommunikation, gemeinsame Dateiablage, Aufgabenmanagement, Kalender und Termine in sich vereint. Das Tool ermöglicht eine End-to-End Verschlüsselung der Cloud Daten, welche sicher auf Servern in Deutschland abgelegt werden.

Wir bei der EMC Home of Data GmbH nutzen Stackfield seit einigen Jahren, um unsere interne Kommunikation und Projektplanung effizient und sicher zu gestalten.

Wenn Sie weitere Fragen zu Stackfield haben, können Sie sich gerne an office@emc-homeofdata.de wenden.