Skip to content

Leitlinie zur Cloudnutzung

Im Lichte der EuGH Rechtsprechung (Schrems II) empfehlen wir unseren Kunden folgende Leitlinie, wenn es um die Einbindung von Cloudlösungen geht.

Beim Thema Cloud geht es in den meisten Fällen um die Einbindung von US-Dienstleistern. Hier gab es bekanntlich durch die Schrems II Rechtsprechung bis zum neuen Angemessenheitsbeschluss der EU-Kommission (10. Juli 2023 Einbezug der USA) erhebliche Schwierigkeiten in der täglichen Praxis bei der Nutzung von Cloud-Dienstleistern; denn viele liebgewordene Services haben zumindest im Kern einen US-Bezug.

Man könnte meinen, das Thema sei durch den Angemessheitsbeschluss erledigt. Das ist aus zwei Gründen nicht der Fall:

  1. Auch der neue Angemessenheitsbeschluss wird sich einer gerichtlichen Prüfung stellen müssen. Es gilt also, sich auf ein ‘Schrems III’ Urteil des EuGH einzustellen – nicht heute, nicht morgen, aber in den kommenden Jahren. Bei Schrems II hatte der EuGH den datenschutzrechtlich Verantwortlichen keine Übergangsfrist gewährt.
  2. Mit einem Angemessenheitsbeschluss für die USA ist zwar ein Großteil der für Unternehmen interessanten Cloudservices abgedeckt; dies gilt aber nicht automatisch für alle angebotenen Dienste. Sobald sie zumindest teilweise aus sog. unsichere Drittstaaten erbracht werden, ist das Thema natürlich weiterhin akut. Dies gilt auch, wenn ein US-Dienstleister Unterauftragsverarbeitungen aus bzw. durch Dienstleister in sog. unsicheren Drittstaaten erbringen lässt. Je nach Rechtslage in dem unsicheren Drittstaat genügt es breits, dass Personal eingesetzt ist, das aufgrund seiner Staatsangehörigkeit einem unsicheren Drittstaat verpflichtet ist – und zwar unabhängig davon, wo das Personal eingesetzt wird.

Wir empfehlen also weiterhin folgende Leitlinie:

Cloudlösungen zur Verarbeitung von Kundendaten im Auftrag

Für Cloudlösungen sind ausschließlich Dienstleister auszuwählen, die ihren Sitz innerhalb der DSGVO Jurisdiktion haben (EU plus EWR). Zur Vereinfachung von vertragsrechtlichen Fragestellungen sowie von Kontrollhandlungen sind Dienstleister mit Sitz in Deutschland zu bevorzugen.

Gewähren Dienstleister Institutionen oder Personen auch nur gelegentlich Zugriff auf Daten, die sich während dieser Tätigkeit einer Jurisdiktion eines unsicheren Drittstaats verpflichtet fühlen (müssen), scheiden diese Dienstleister für eine Zusammenarbeit aus – und zwar unabhängig davon, von wo aus diese Zugriffe erfolgen. Diese Vorgabe muss über die gesamte Kette eingebundener Subunternehmer eingehalten und durch belastbare Verträge verbindlich gemacht sein. Wir empfehlen die durchgängige Verwendung der EU-Standardvertragsklauseln für den Binnenmarkt.

Jegliche Zugriffsmöglichkeit von Entitäten, die einem unsicheren Drittsaat zuzurechnen sind, müssten auf ihren Impact bewertet werden. Das Ganze wäre zudem Kunden und Kooperationspartnern offenzulegen. Die Berücksichtung der Empfehlung hat somit auch für den eigenen Vertrieb eine gewisse Relevanz.

Cloudlösungen zur Verarbeitung von Mitarbeitenden- und Lieferantendaten

Die für Kundendaten vorstehend formulierten Grundsätze gelten auch für Mitarbeitenden- und Lieferantendaten. Hier sind jedoch Ausnahmen immer dann möglich, wenn hinsichtlich des Funktionsumfangs einer angestrebten Lösung keine annähernd vergleichsweise ‚EU-Lösung‘ gewählt werden kann und geeignete Maßnahmen zum Schutz der Daten vorgenommen werden können.

Die Betroffenen wären in jedem Fall in geeigneter Form über den Drittstaatentransfer zu informieren (DS-Hinweise).

Schutz der Daten bei Cloudlösungen

Beim Schutz von Daten sind technische Maßnahmen (Verschlüsselung) generell organisatorischen Maßnahmen (Vereinbarungen) vorzuziehen. Als Daten seien alle Informationen zu verstehen, die für das Unternehmen einen Wert darstellen bzw. vertraulich sind und/oder einen Personenbezug haben. Bei allen Daten mit einem nicht nur geringen Schutzbedarf (anhand der unternehmensinternen Metrik zu definieren) ist generell eine Verschlüsselung anzustreben. Ein (übergangsweiser) Verzicht auf Verschlüsselung kommt hier nur dann in Frage, wenn alle involvierten Dienstleister über Zweifel hinsichtlich ihrer Zuverlässigkeit erhaben sind, auf organisatorische Schutzmaßnahmen also vertraut werden kann.

Eine Verschlüsselung ist immer dann unverzichtbar, wenn auch bei entsprechenden vertraglichen Vereinbarungen trotzdem Zugriffe auf die Daten von Personen oder Institutionen zu befürchten sind, die sich einer Jurisdiktion eines unsicheren Drittstaats verpflichtet fühlen (müssen).

Eine Verschlüsselung ist auch dann unverzichtbar, wenn ein Dienstleister sie von sich aus in seinen Infos oder Verträgen bzw. auf Nachfrage empfiehlt. Ein Verzicht unter diesen Umständen wäre wohl als fahrlässig zu bewerten.

Als Verschlüsselung im vorstehenden Sinne sind alle Maßnahmen zu verstehen, die einen Zugriff auf Inhalte (Informationen) des Unternehmens durch Mitarbeitende eines Clouddienstleisters oder Dritter wirksam* verhindern – und zwar während des Transports der Daten vom und zum Clouddienstleister, während der Kommunikation zwischen einzelnen Systemen beim Clouddienstleister sowie während der Verarbeitung und im Ruhezustand der Daten.

*) Bei der Wahl der Technik ist auch auf Nachhaltigkeit zu achten. Die Verschlüsselung ist so zu wählen, dass sie in zumindest absehbarer Zeit nicht durch zunehmende Rechenleistung hinfällig wird (Stichwort Quantencomputer).

Das Wesen einer Clouddienstleistung ist die Bereitstellung von Infrastrukturen (IaaS), Plattformen (PaaS) oder Services (SaaS). Der Clouddienstleister hat somit zumindest immer die Kontrolle über die technische Infrastruktur und in der Regel bis zur „Oberkante“ des Betriebssystems. Während eine Verschlüsselung im vorstehenden Sinn illegitime Zugriffe auf die Inhalte der Daten wirksam einschränken kann, kann Verschlüsselung die Zerstörung der Daten nicht verhindern. Dieser Situation ist je nach Schutzbedarf in Dienstleister-übergreifenden Sicherungskonzepten Rechnung zu tragen.

Das Abweichen von vorstehenden Regeln kann neben vertrieblichen Implikationen als Verstoß gegen die DSGVO gewertet werden. Hieraus ergeben sich erhebliche Bußgeldrisiken. Darüber hinaus muss mit Schadenersatzansprüchen der Betroffenen und oder von Kooperationspartnern gerechnet werden. Da sich für Schadenersatzansprüche auf Basis der DSGVO hinsichtlich der Höhe der Zahlungen noch keine europaweit einheitliche Rechtsprechung etabliert hat, muss auch dieses Risiko als möglicherweise erheblich betrachtet werden. Ein Schadenersatzanspruch auf Basis der DSGVO setzt keinen beweisbaren materiellen Schaden voraus, sondern kann bekanntlich auch auf immateriellen Schäden begründet werden.

Niederlassung versus Tochterunternehmen

Sofern Services von global agierenden Dienstleistern in Anspruch genommen werden sollen, empfehlen wir stets auf solche zurückzugreifen, die sich vollständig nach europäischem Recht in der EU aufgestellt haben. Das heißt: Eine Tochtergesellschaft gegründet haben.

Einige Nicht-EU-Dienstleister werben damit, dass sie ihre Server in der EU betreiben und deshalb alles in Ordnung sei. Das könnte aber leider in einigen Fällen nicht der Fall sein. Wenn ein Nicht-EU-Unternehmen Server in einem EU-Rechenzentrum betreibt, verbleibt die Hoheit über die Daten gewöhnlich bei einer Entität außerhalb der EU. Ist diese Entität in einem unsicheren Drittstaat beheimatet, besteht sodann kein ausreichender Schutz gegen auch physische Übermittlungen der Daten in den unsicheren Drittstaat.

Vielfach wird noch angeführt, die EU-Server würden von einer EU-Niederlassung betrieben. Genügt das? Nach unserer Überzeugung nicht, denn ein Niederlassungsleiter ist der Hauptniederlassung gegenüber weisungsgebunden. Das heißt, eine Hauptniederlassung in einem unsicheren Drittstaat darf ihrem EU-Niederlassungsleiter Dinge anweisen, die im Land der Hauptniederlassung rechtlich einwandfrei sind, aber nicht in der EU. Der EU-Niederlassungsleiter kann so in einen formell nicht auflösbaren Konflikt geraten. Es ist egal, was er tut; der Rechtsbruch auf bzw. gegen eine Seite ist garantiert. Keine gute Basis für die Absicherung von schutzbedürftigen Daten.

Anders stellt sich die Situation bei einer Tochtergesellschaft in der EU dar. Hier ist der Vorstand oder der Geschäftsführer (je nach Rechtsform) ausschließlich EU-Recht bzw. nationalem Recht im jeweiligen Mitgliedsstaat verpflichtet. Wir unterstellen, dass die Geschäftsleitung EU-Bürger(in) ist, um die Betrachtung nicht unnötig zu verkomplizieren. Einer operativen Weisung einer ausländischen Muttergesellschaft kann sich die Leitung einer solchen Tochtergesellschaft nach unserem Kenntnisstand formell wirksam entgegenstellen, ohne einen unmittelbaren offenen Rechtsbruch zu begehen.

Uns wäre neu, dass Drittstaaten-Recht auf einen z.B. deutschen GmbH-Geschäftsführer bindende Wirkung hätte. Egal, wem die Anteile der GmbH gehören. Eine z.B. deutsche GmbH-Geschäftsführerin ist EU-Recht und dem Recht der Bundesrepublik Deutschland verpflichtet.

Im Zuge der Diskussionen um die Rechtsfolgen aus Schrems II wurde zeitweise argumentiert, dass europäische Daten auch bei einem Tochterunternehmen eines US-Anbieters nicht sicher seien. Richtig ist, dass eine EU-Geschäftsleiterin ja vom Mehrheitseigentümer der Gesellschaft (Entität in einem seinerzeit als formell unsicher geltenden Drittstaat) ja mit Abberufung oder Ähnlichem bedroht werden könnte und so dann doch gefügig gemacht wird. Faktisch sicherlich richtig. Wer so argumentiert, muss dann aber jeden Vorstand auch reiner EU-Gesellschaften durchleuchten, ob sie nicht eventuell geliebte Verwandtschaft in unsicheren Drittstaaten haben und darüber erpressbar sind. Unsere Meinung: Ab hier wird es potentiell absurd.

Wer die Nutzung von US-Tochtergesellschaften vor dem Hintergrund von Schrems II für nicht DSGVO-konform gehalten hatte, der hätte auch dazu auffordern müssen, bei der Nutzung von reinen EU-Providern regelmäßig deren Eigentumsstruktur zu überprüfen. Womöglich hat das anscheinend ur-deutsche Familienunternehmen seine GmbH-Anteile ja längst an einen Investor in die vermeintlich bösen USA verkauft. Faktisch wären wir dann genau dort, wo ein US-Dienstleister mit einer EU-Tochter auch steht. Ohne den neuen Angemessenheitsbeschluss hätte sich hier unter Umständen also eine neue DSGVO-motivierte Prüfpflicht der Gesellschafterliste im Handels- bzw. Transparenzregister ergeben. Spätestens hier kommt man ins Grübeln, ob wir in der Diskussion um die Folgen aus Schrems II noch den richtigen Fokus hatten.

Cloudnutzung im Licht der ISO 27001

Für deutsche Banken galt über die MaRisk und die BAIT schon lange: Wer in die Cloud geht, muss wissen, wie er da auch wieder rauskommt. Nun hat auch die ISO 27001 in ihrer seit 2022 geltenden Fassung ähnliche Forderungen für alle formuliert, die ein ISMS im Sinne dieser Norm betreiben (wollen). Wir lesen das Control A 5.23 in Verbindung mit A 5.30 so: Zumindest für geschäftkritische Prozesse muss es einen (ausführbaren) Plan B für Cloud-Services geben. Das heißt, es muss Alternativen für das unerwartete Ausbleiben des Cloud-Services geben. Für die Fälle, wo der Cloud-Service zwar weiter Leistungen erbringt, diese aber nicht mehr akzeptabel erscheinen (insb. bei Zweifeln an der Sicherheit), muss es einen durchdachten (idealerweise auf Funktion getesteten) Exit-Plan geben. Das alles kostet – und sollte beim Businesscase vor einer Cloud-Migration mit berücksichtigt werden.

Fazit

  1. Keep it simple, buy European – where ever possible.
  2. Kosten für das Vorhalten von Plan B / ungeplanten Exit bei der Entscheidung für oder gegen eine Cloud-Lösung berücksichtigen.
  3. Egal wer die Cloud betreibt (US, EU, CN), schutzbedürftige Informationen sind durch Verschlüsselung zu schützen.

2021-06
Update 2023-08; 2024-09