Skip to content

Leitlinie zur Cloudnutzung

Im Lichte der EuGH Rechtsprechung (Schrems II) empfehlen wir unseren Kunden folgende Leitlinie, wenn es um die Einbindung von Cloudlösungen geht.

Beim Thema Cloud geht es in den meisten Fällen um die Einbindung von US-Dienstleistern. Hier gab es bekanntlich durch die Schrems II Rechtsprechung bis zum neuen Angemessenheitsbeschluss der EU-Kommission (10. Juli 2023 Einbezug der USA) erhebliche Schwierigkeiten in der täglichen Praxis bei der Nutzung von Cloud-Dienstleistern; denn viele liebgewordene Services haben zumindest im Kern einen US-Bezug.

Man könnte meinen, das Thema sei durch den Angemessheitsbeschluss erledigt. Das ist aus zwei Gründen nicht der Fall:

  1. Auch der neue Angemessenheitsbeschluss wird sich einer gerichtlichen Prüfung stellen müssen. Es gilt also, sich auf ein ‘Schrems III’ Urteil des EuGH einzustellen – nicht heute, nicht morgen, aber in den kommenden Jahren. Bei Schrems II hatte der EuGH den datenschutzrechtlich Verantwortlichen keine Übergangsfrist gewährt.
  2. Mit einem Angemessenheitsbeschluss für die USA ist zwar ein Großteil der für Unternehmen interessanten Cloudservices abgedeckt; dies gilt aber nicht automatisch für alle angebotenen Dienste. Sobald sie zumindest teilweise aus sog. unsichere Drittstaaten erbracht werden, ist das Thema natürlich weiterhin akut. Dies gilt auch, wenn ein US-Dienstleister Unterauftragsverarbeitungen aus bzw. durch Dienstleister in sog. unsicheren Drittstaaten erbringen lässt. Je nach Rechtslage in dem unsicheren Drittstaat genügt es breits, dass Personal eingesetzt ist, das aufgrund seiner Staatsangehörigkeit einem unsicheren Drittstaat verpflichtet ist – und zwar unabhängig davon, wo das Personal eingesetzt wird.

Wir empfehlen also weiterhin folgende Leitlinie:

Cloudlösungen zur Verarbeitung von Kundendaten im Auftrag

Für Cloudlösungen sind ausschließlich Dienstleister auszuwählen, die ihren Sitz innerhalb der DSGVO Jurisdiktion haben (EU plus EWR). Zur Vereinfachung von vertragsrechtlichen Fragestellungen sowie von Kontrollhandlungen sind Dienstleister mit Sitz in Deutschland zu bevorzugen.

Gewähren Dienstleister Institutionen oder Personen auch nur gelegentlich Zugriff auf Daten, die sich während dieser Tätigkeit einer Jurisdiktion eines unsicheren Drittstaats verpflichtet fühlen (müssen), scheiden diese Dienstleister für eine Zusammenarbeit aus – und zwar unabhängig davon, von wo aus diese Zugriffe erfolgen. Diese Vorgabe muss über die gesamte Kette eingebundener Subunternehmer eingehalten und durch belastbare Verträge verbindlich gemacht sein. Wir empfehlen die durchgängige Verwendung der EU-Standardvertragsklauseln für den Binnenmarkt.

Jegliche Zugriffsmöglichkeit von Entitäten, die einem unsicheren Drittsaat zuzurechnen sind, müssten auf ihren Impact bewertet werden. Das Ganze wäre zudem Kunden und Kooperationspartnern offenzulegen. Die Berücksichtung der Empfehlung hat somit auch für den eigenen Vertrieb eine gewisse Relevanz.

Cloudlösungen zur Verarbeitung von Mitarbeitenden- und Lieferantendaten

Die für Kundendaten vorstehend formulierten Grundsätze gelten auch für Mitarbeitenden- und Lieferantendaten. Hier sind jedoch Ausnahmen immer dann möglich, wenn hinsichtlich des Funktionsumfangs einer angestrebten Lösung keine annähernd vergleichsweise ‚EU-Lösung‘ gewählt werden kann und geeignete Maßnahmen zum Schutz der Daten vorgenommen werden können.

Die Betroffenen wären in jedem Fall in geeigneter Form über den Drittstaatentransfer zu informieren (DS-Hinweise).

Schutz der Daten bei Cloudlösungen

Beim Schutz von Daten sind technische Maßnahmen (Verschlüsselung) generell organisatorischen Maßnahmen (Vereinbarungen) vorzuziehen. Als Daten seien alle Informationen zu verstehen, die für das Unternehmen einen Wert darstellen bzw. vertraulich sind und/oder einen Personenbezug haben. Bei allen Daten mit einem nicht nur geringen Schutzbedarf (anhand der unternehmensinternen Metrik zu definieren) ist generell eine Verschlüsselung anzustreben. Ein (übergangsweiser) Verzicht auf Verschlüsselung kommt hier nur dann in Frage, wenn alle involvierten Dienstleister über Zweifel hinsichtlich ihrer Zuverlässigkeit erhaben sind, auf organisatorische Schutzmaßnahmen also vertraut werden kann.

Eine Verschlüsselung ist immer dann unverzichtbar, wenn auch bei entsprechenden vertraglichen Vereinbarungen trotzdem Zugriffe auf die Daten von Personen oder Institutionen zu befürchten sind, die sich einer Jurisdiktion eines unsicheren Drittstaats verpflichtet fühlen (müssen).

Eine Verschlüsselung ist auch dann unverzichtbar, wenn ein Dienstleister sie von sich aus in seinen Infos oder Verträgen bzw. auf Nachfrage empfiehlt. Ein Verzicht unter diesen Umständen wäre wohl als fahrlässig zu bewerten.

Als Verschlüsselung im vorstehenden Sinne sind alle Maßnahmen zu verstehen, die einen Zugriff auf Inhalte (Informationen) des Unternehmens durch Mitarbeitende eines Clouddienstleisters oder Dritter wirksam* verhindern – und zwar während des Transports der Daten vom und zum Clouddienstleister, während der Kommunikation zwischen einzelnen Systemen beim Clouddienstleister sowie während der Verarbeitung und im Ruhezustand der Daten.

Das Wesen einer Clouddienstleistung ist die Bereitstellung von Infrastrukturen (IaaS), Plattformen (PaaS) oder Services (SaaS). Der Clouddienstleister hat somit zumindest immer die Kontrolle über die technische Infrastruktur und in der Regel bis zur „Oberkante“ des Betriebssystems. Während eine Verschlüsselung im vorstehenden Sinn illegitime Zugriffe auf die Inhalte der Daten wirksam einschränken kann, kann Verschlüsselung die Zerstörung der Daten nicht verhindern. Dieser Situation ist je nach Schutzbedarf in Dienstleister-übergreifenden Sicherungskonzepten Rechnung zu tragen.

Das Abweichen von vorstehenden Regeln kann neben vertrieblichen Implikationen als Verstoß gegen die DSGVO gewertet werden. Hieraus ergeben sich erhebliche Bußgeldrisiken. Darüber hinaus muss mit Schadenersatzansprüchen der Betroffenen und oder von Kooperationspartnern gerechnet werden. Da sich für Schadenersatzansprüche auf Basis der DSGVO hinsichtlich der Höhe der Zahlungen noch keine europaweit einheitliche Rechtsprechung etabliert hat, muss auch dieses Risiko als möglicherweise erheblich betrachtet werden. Ein Schadenersatzanspruch auf Basis der DSGVO setzt keinen beweisbaren materiellen Schaden voraus, sondern kann bekanntlich auch auf immateriellen Schäden begründet werden.

Cloudnutzung im Licht der ISO 27001

Für deutsche Banken galt über die MaRisk und die BAIT schon lange: Wer in die Cloud geht, muss wissen, wie er da auch wieder rauskommt. Nun hat auch die ISO 27001 in ihrer seit 2022 geltenden Fassung ähnliche Forderungen für alle formuliert, die ein ISMS im Sinne dieser Norm betreiben (wollen). Wir lesen das Control A 5.23 in Verbindung mit A 5.30 so: Zumindest für geschäftkritische Prozesse muss es einen (ausführbaren) Plan B für Cloud-Services geben. Das heißt, es muss Alternativen für das unerwartete Ausbleiben des Cloud-Services geben. Für die Fälle, wo der Cloud-Service zwar weiter Leistungen erbringt, diese aber nicht mehr akzeptabel erscheinen (insb. bei Zweifeln an der Sicherheit), muss es einen durchdachten (idealerweise auf Funktion getesteten) Exit-Plan geben. Das alles kostet – und sollte beim Businesscase vor einer Cloud-Migration mit berücksichtigt werden.

Fazit

  1. Keep it simple, buy European – where ever possible.
  2. Kosten für das Vorhalten von Plan B / ungeplanten Exit bei der Entscheidung für oder gegen eine Cloud-Lösung berücksichtigen.
  3. Egal wer die Cloud betreibt (US, EU, CN), schutzbedürftige Informationen sind durch Verschlüsselung zu schützen.

2021-06
Update 2023-08; 2024-09