Cloud Computing und Datenschutz

Digitalisierung und Cloud-Modelle

Cloud-Provider stellen für Unternehmen aus der Privatwirtschaft und für Anwender*Innen im öffentlichen Sektor (Bundes-, Landes-, Kommunalverwaltungen und öffentliche Unternehmen) zahlreiche attraktive Cloud-Modelle als Innovationsmotor für die digitale Transformation bereit. Vernetzte Dateninfrastrukturen (wie zukünftig das EU-Projekt GAIA-X) ermöglichen einen jederzeitigen, standortunabhängigen Zugriff auf in der Cloud gespeicherte Daten. Hochskalierbar, bedarfsabhängig, kostengünstig und in Echtzeit bieten Cloud-Provider Rechen- und Speicherkapazitäten (Infrastructure-as-a-Service), Entwicklungs- und Ausführungsumgebungen (Platform-as-a-Service) oder standardisierte Anwendungen (Software-as-a-Service) an. Die Cloud-Produkte werden beliebigen Nutzern (Public Cloud), konzerninternen Anwendern (Private Cloud), gemeinsam mit anderen Cloud-Providern (Community Cloud) oder als Kombination (Hybrid Cloud) bereitgestellt. In Rahmen der Vertragsgestaltung kommt dem EVB-IT Cloud große Bedeutung zu.

DSGVO-Grundsätze zum Datentransfer

Der Anwender (Datenexporteur) ist für die Übermittlung und Datenverarbeitung durch den Cloud-Anbieter (Datenimporteuer / Auftragsverarbeiter) verantwortlich. Verarbeitet der Cloud-Provider die Daten außerhalb der EU, greifen die Grundsätze zum Datentransfer in Drittstaaten (Art. 44 ff. DSGVO). Als Erlaubnisgründe kommen ein Angemessenheitsbeschluss der EU-Kommission, geeignete Garantien (etwa Standarddatenschutzklauseln) und Ausnahmeregelungen in Betracht.

Besonderheiten für US-Cloud-Anbieter

Datenmengen werden an den Cloud-Provider übermittelt und zentral in der Cloud gespeichert. Weltweit verfügen gerade die US-Hyperscaler (Microsoft, Amazon, IBM, Salesforce und Google) über den größten Marktanteil, die höchste Skalierbarkeit und Funktionalität. Bei US-Cloud-Anbietern war lange Zeit unsicher, inwieweit Ermittlungsbehörden auf die in der Cloud gespeicherten Daten zugreifen dürfen. Datenschutzrechtliche Bedenken ergaben sich insbesondere aus Sec. 702 „Foreign Intelligence Surveillance Act“ (FISA), wonach US-Sicherheitsbehörden i. R. d. PRISM- und UPSTREAM-Überwachungsprogramme auf übermittelte Daten zugreifen konnten. Dieses mangelnde Datenschutzniveau in den USA führte zur Unwirksamkeit des Safe-Harbor-Abkommens (Schrems-I). Im Juli 2020 erklärte der EuGH (Schrems-II) auch das Nachfolgeabkommen (EU-US-Privacy-Shield) für unwirksam, weshalb es zwischenzeitlich an einem Angemessenheitsbeschluss für die USA fehlte. Nach Einführung des Trans-Atlantic Data Privacy Framework und einer flankierenden Executive Order zur Begrenzung der Zugriffsrechte der Nachrichtendienste wurde die Datenübermittlung in die USA mit dem Angemessenheitsbeschluss vom 10.07.2023 zumindest im Hinblick auf Unternehmen, die sich dem Selbstzertifizierungsmechanismus des neuen Datenschutzrahmen unterworfen haben, auf eine neue rechtliche Grundlage gestellt. Für nicht-zertifizierte Unternehmen bedarf es weiterhin anderer Lösungen.

Lösungen für einen datenschutzkonformen Cloud-Einsatz

Die EU-Kommission hat am 04.06.2021 neue Standardvertragsklauseln (SCC) angenommen, die bei Datentransfers angewendet werden können. Sie sollen die EuGH-Vorgaben umsetzen. und berücksichtigen, dass eine Ergänzung dieser SCC‘s durch weitere Klauseln / zusätzliche Garantien („additional safeguards“) erforderlich sein kann. Zukünftig obliegt Verwendern und Aufsichtsbehörden die Prüfpflicht, ob die neuen SCC‘s trotz staatlicher Zugriffsrechte ein angemessenes Datenschutzniveau gewährleisten oder ob zusätzliche Garantien notwendig sind. Hilfestellung bieten hierbei die Empfehlungen des Europäischen Datenschutzausschusses (EDSA).