Leitlinie zur Cloudnutzung
2021-06
Updated 2022-02
Im Lichte der EuGH Rechtsprechung (Schrems II) empfehlen wir unseren Kunden folgende Leitlinie, wenn es um die Einbindung von Cloudlösungen geht. Optimisten meinen, dass sich die rechtlichen Rahmenbedingungen für die Nutzung von Dienstleistern aus sog. unsicheren Drittstaaten in absehbarer Zeit auf politischer Ebene wieder ändern und das Thema dann wieder entspannter angegangen werden kann. Wir teilen diesen Optimismus leider bei allem guten Willen nicht.
Cloudlösungen zur Verarbeitung von Kundendaten
Für Cloudlösungen sind ausschließlich Dienstleister auszuwählen, die ihren Sitz innerhalb der DSGVO Jurisdiktion haben (EU plus EWR). Zur Vereinfachung von vertragsrechtlichen Fragestellungen sowie von Kontrollhandlungen sind Dienstleister mit Sitz in Deutschland zu bevorzugen.
Gewähren Dienstleister Institutionen oder Personen auch nur gelegentlich Zugriff auf Daten, die sich während dieser Tätigkeit einer Jurisdiktion eines unsicheren Drittstaats verpflichtet fühlen (müssen), scheiden diese Dienstleister für eine Zusammenarbeit aus – und zwar unabhängig davon, von aus wo diese Zugriffe erfolgen. Diese Regelung umfasst beispielsweise Support- oder Wartungstätigkeiten durch US-Dienstleister auch dann, wenn diese in Deutschland auf in Deutschland gehostete Daten durch US-Personal stattfinden würden. Diese Vorgabe muss über die gesamte Kette eingebundener Subunternehmer eingehalten und durch belastbare Verträge verbindlich gemacht sein.
Jegliche Zugriffsmöglichkeit von Entitäten, die einem unsicheren Drittsaat zuzurechnen sind, müssten Kunden und Kooperationspartnern offengelegt werden. Die Einhaltung dieser Grundsätze hat somit sehr hohe vertriebliche Bedeutung.
Cloudlösungen zur Verarbeitung von Mitarbeiter- und Lieferantendaten
Die für Kundendaten vorstehend formulierten Grundsätze gelten auch für Mitarbeiter- und Lieferantendaten. Hier sind jedoch Ausnahmen immer dann möglich, wenn hinsichtlich des Funktionsumfangs einer angestrebten Lösung keine annähernd vergleichsweise ‚EU-Lösung‘ gewählt werden kann und geeignete Maßnahmen zum Schutz der Daten vorgenommen werden können.
Die Betroffenen wären in jedem Fall in geeigneter Form über den Drittstaatentransfer zu informieren (DS-Hinweise).
Schutz der Daten bei Cloudlösungen
Beim Schutz von Daten sind technische Maßnahmen (Verschlüsselung) generell organisatorischen Maßnahmen (Vereinbarungen) vorzuziehen. Als Daten seien alle Informationen zu verstehen, die für das Unternehmen einen Wert darstellen bzw. vertraulich sind und/oder einen Personenbezug haben. Bei allen Daten mit einem nicht nur geringen Schutzbedarf (anhand der unternehmensinternen Metrik zu definieren) ist generell eine Verschlüsselung anzustreben. Ein (übergangsweiser) Verzicht auf Verschlüsselung kommt hier nur dann in Frage, wenn alle involvierten Dienstleister über Zweifel hinsichtlich ihrer Zuverlässigkeit erhaben sind, auf organisatorische Schutzmaßnahmen also vertraut werden kann.
Eine Verschlüsselung ist immer dann unverzichtbar, wenn auch bei entsprechenden vertraglichen Vereinbarungen trotzdem Zugriffe auf die Daten von Personen oder Institutionen zu befürchten sind, die sich einer Jurisdiktion eines unsicheren Drittstaats verpflichtet fühlen (müssen). Von diesem Umstand ist formell aufgrund der EuGH Rechtsprechung stets auszugehen, wenn in irgendeiner Weise z.B. US-Unternehmen an der Leistungserbringung beteiligt sind oder faktisch Einfluss auf die Leistungserbringung nehmen können.
Eine Verschlüsselung ist auch dann unverzichtbar, wenn ein Dienstleister sie von sich aus oder auf Nachfrage insb. zum Schutz vor Zugriffen von US-Personen oder Institutionen für die Nutzung der eigenen Dienste empfiehlt. Ein Verzicht unter diesen Umständen wäre als fahrlässig zu bewerten.
Als Verschlüsselung im vorstehenden Sinne sind alle Maßnahmen zu verstehen, die einen Zugriff auf Inhalte (Informationen) des Unternehmens durch Mitarbeiter eines Clouddienstleisters oder Dritter wirksam* verhindern – und zwar während des Transports der Daten vom und zum Clouddienstleister, während der Kommunikation zwischen einzelnen Systemen beim Clouddienstleister sowie während der Verarbeitung und im Ruhezustand der Daten.
*) Bei der Wahl der Technik ist auch auf Nachhaltigkeit zu achten. Die Verschlüsselung ist so zu wählen, dass sie in zumindest absehbarer Zeit nicht durch zunehmende Rechenleistung hinfällig wird (Stichwort Quantencomputer).
Das Wesen einer Clouddienstleistung ist die Bereitstellung von Infrastrukturen (IaaS), Plattformen (PaaS) oder Services (SaaS). Der Clouddienstleister hat somit zumindest immer die Kontrolle über die technische Infrastruktur und in der Regel bis zur „Oberkante“ des Betriebssystems. Während eine Verschlüsselung im vorstehenden Sinn illegitime Zugriffe auf die Inhalte der Daten wirksam einschränken kann, kann Verschlüsselung die Zerstörung der Daten nicht verhindern. Dieser Situation ist je nach Schutzbedarf in Dienstleister-übergreifenden Sicherungskonzepten Rechnung zu tragen.
Das Abweichen von vorstehenden Regeln kann neben vertrieblichen Implikationen als Verstoß gegen die DSGVO gewertet werden. Hieraus ergeben sich erhebliche Bußgeldrisiken. Darüber hinaus muss mit Schadenersatzansprüchen der Betroffenen und oder von Kooperationspartnern gerechnet werden. Da sich für Schadenersatzansprüche auf Basis der DSGVO hinsichtlich der Höhe der Zahlungen noch keine europaweit einheitliche Rechtsprechung etabliert hat, muss auch dieses Risiko als möglicherweise erheblich betrachtet werden. Ein Schadenersatzanspruch auf Basis der DSGVO setzt keinen beweisbaren materiellen Schaden voraus, sondern kann auch auf immateriellen Schäden begründet werden.
Niederlassung versus Tochterunternehmen
Sofern Services von US-Dienstleistern in Anspruch genommen werden sollen, empfehlen wir stets auf solche zurückzugreifen, die sich vollständig nach europäischem Recht in der EU aufgestellt haben. Das heißt: Eine Tochtergesellschaft gegründet haben.
Einige Nicht-EU-Dienstleister werben damit, dass sie ihre Server in der EU betreiben und deshalb alles in Ordnung sei. Das dürfte aber leider nicht der Fall sein. Wenn ein Nicht-EU-Unternehmen Server in einem EU-Rechenzentrum betreibt, verbleibt die Hoheit über die Daten bei einer Entität außerhalb der EU. Ist dies ein unsicherer Drittstaat besteht sodann kein ausreichender Schutz gegen auch physische Übermittlungen der Daten in den unsicheren Drittstaat.
Vielfach wird noch angeführt, die EU-Server würden von einer EU-Niederlassung betrieben. Genügt das? Nach unserer Überzeugung nicht, denn ein Niederlassungsleiter ist der Hauptniederlassung gegenüber weisungsgebunden. Das heißt, eine US-Entität als Hauptniederlassung darf ihrem EU-Niederlassungsleiter Dinge anweisen; im Zweifel muss sie sogar aus Sicht des EU-Rechts unzulässige Dinge anweisen, weil es US-Recht so wiederum so vorsieht. Der EU-Niederlassungsleiter kann so in einen formell nicht auflösbaren Konflikt geraten. Es ist egal, was er tut; der Rechtsbruch auf bzw. gegen eine Seite ist garantiert. Keine gute Basis für die Absicherung von schutzbedürftigen Daten.
Anders stellt sich die Situation bei einer Tochtergesellschaft dar. Hier ist der Vorstand oder der Geschäftsführer (je nach Rechtsform) ausschließlich EU-Recht bzw. nationalem Recht im jeweiligen Mitgliedsstaat verpflichtet. Wir unterstellen, dass die Geschäftsleitung EU-Bürger(in) ist, um die Betrachtung nicht unnötig zu verkomplizieren. Einer operativen Weisung einer ausländischen Muttergesellschaft kann sich die Leitung einer solchen Tochtergesellschaft nach unserem Kenntnisstand formell wirksam entgegenstellen, ohne einen unmittelbaren offenen Rechtsbruch zu begehen.
Uns wäre neu, dass US-Recht auf einen z.B. deutschen GmbH-Geschäftsführer bindende Wirkung hätte. Egal, wem die Anteile der GmbH gehören. Eine z.B. deutsche GmbH-Geschäftsführerin ist EU-Recht und dem Recht der Bundesrepublik Deutschland verpflichtet.
In aktuellen Positionierungen zum Thema wird nun argumentiert, dass europäische Daten auch bei einem Tochterunternehmen eines US-Anbieters nicht sicher seien. Richtig ist, dass eine EU-Geschäftsleiterin ja vom Mehrheitseigentümer der Gesellschaft (Entität in einem unsicheren Drittstaat) ja mit Abberufung oder Ähnlichem bedroht werden könnte und so dann doch gefügig gemacht wird. Faktisch sicherlich richtig. Wer so argumentiert, muss dann aber jeden Vorstand auch reiner EU-Gesellschaften durchleuchten, ob sie nicht eventuell geliebte Verwandtschaft in unsicheren Drittstaaten haben und darüber erpressbar sind. Unsere Meinung: Ab hier wird es potentiell absurd.
Wer die Nutzung von US-Tochtergesellschaften vor dem Hintergrund von Schrems II für nicht DSGVO-konform hält, der müsste auch dazu auffordern, bei der Nutzung von reinen EU-Providern regelmäßig deren Eigentumsstruktur zu überprüfen. Womöglich hat das anscheinend ur-deutsche Familienunternehmen seine GmbH-Anteile ja längst an einen Investor in die vermeintlich bösen USA verkauft. Faktisch wären wir dann genau dort, wo ein US-Dienstleister mit einer EU-Tochter auch steht. Kommt also als nächstes die DSGVO-motivierte Prüfpflicht der Gesellschafterliste im Handelsregister? Spätestens hier kommt man ins Grübeln, ob wir noch den richtigen Fokus haben.