„Die Nutzung von Cloud-Diensten ist niemals völlig frei von Risiken“

Was sind die rechtlichen Risiken bei der Nutzung etwa US-amerikanischer Cloud-Provider? Und ist man als Unternehmen automatisch auf der sicheren Seite, wenn man sich für einen europäischen oder deutschen Cloud-Betreiber entscheidet?

com! professional spricht darüber mit Sebastian Schulz. Er ist Rechtsanwalt in der Kanzlei Härting in Berlin. Zu seinen Schwerpunkten gehören Datenschutzrecht und Data-Compliance.

Sebastian Schulz Rechtsanwalt in der Kanzlei Härting

(Quelle: Härting )

Schulz: Die Nutzung von Cloud-Diensten ist niemals völlig frei von Risiken. Die damit verbundene Lockerung der Herrschaft über geschäftliche Informationen oder verarbeitete personenbezogene Daten ist tendenziell immer risikoträchtiger als die Nutzung unternehmenseigener On-Premises-Lösungen. Ob der Cloud-Dienst durch ein US-amerikanisches Unternehmen oder einen Anbieter mit Sitz innerhalb Deutschlands beziehungsweise der EU erbracht wird, ist dabei erst einmal nicht entscheidend.

Aus der Unternehmensperspektive sollte bei der Wahl des Dienstleisters deshalb vor allem das jeweils angebotene Schutzniveau maßgebend sein. Hier sind große Dienste, auch US-amerikanischer Anbieter, oft besser aufgestellt. Die aktuell vor allem durch die Datenschutzaufsichtsbehörden der EU-Mitgliedstaaten getriebene Debatte über die Sicherheit von Lösungen US-amerikanischer Anbieter blendet das gern aus.

Schulz: Die gegenwärtige Diskussion wird praktisch ausschließlich von datenschutzrechtlichen Aspekten dominiert. Im Zentrum steht die Frage, ob die in einem Unternehmen verarbeiteten personenbezogenen Daten auf Servern US-amerikanischer Anbieter sicher sind oder nicht. Betroffen sind neben Kunden- und Lieferantendaten regelmäßig auch Daten der eigenen Belegschaft. Nicht selten unterliegen Daten von Beschäftigten sogar einem höheren Schutzbedarf, da hier besondere persönliche Daten wie beispielsweise zur Gesundheit, zur Konfessionszugehörigkeit oder der etwaigen Mitgliedschaft in einer Gewerkschaft Gegenstand der Verarbeitung sind.

Schulz: Keine Cloud-Lösung ist absolut sicher. Auch Rechenzentren mit definierten Standorten in der EU sind Ziele von Cyberattacken oder Innentätern. Das Motiv hinter der durch US-Anbieter forcierten Datenlokalisation ist, sich darüber einem potenziellen unmittelbaren Zugriff von US-amerikanischen Ermittlungsbehörden zu entziehen. Damit ist die Hoffnung verbunden, dass Kunden in der EU das Vertrauen nicht verlieren und Aufsichtsbehörden in ihrer Kritik ein Stück weit abrüsten. Bei genauerem Hinsehen sind solche Lokalisationen aber oft nur Placebos. Zahlreiche US-Rechtsakte auferlegen heimischen Unternehmen die Pflicht, bei Vorliegen bestimmter Voraussetzungen auch auf ausländischen Servern gespeicherte Informationen herauszugeben.

Mit diesem Überwachungsfetisch der Amerikaner muss man leben. Andere demokratische Staaten sind hier auch nicht besser. Der Glaube daran, dass ein US-Unternehmen unter Strafandrohung nicht die geforderten Informationen an die eigene Administration herausgibt, erscheint mir schon ein wenig weltfremd. Nicht ohne Grund behalten sich alle großen Dienstleister eine solche Übermittlungsbefugnis in den eigenen Vertragswerken vor. Dass deshalb aber der Einsatz von US-Dienstleistern unter Berufung auf das Datenschutzrecht per se am Pranger steht, ist nicht sinnvoll und auch rechtlich nicht begründbar.

Schulz: Die EU-Kommission hat im Dezember 2022 den Entwurf für einen neuen sogenannten Angemessenheitsbeschluss vorgelegt. Durch diesen Beschluss sollen die USA, genauer US-amerikanische Unternehmen, die sich einem Selbstzertifizierungsmechanismus unterworfen haben, erneut als sichere Datenempfänger eingestuft werden. Nach europäischem Datenschutzrecht bedarf es dann keiner weiteren Garantien zum Schutz der exportierten Daten in den USA mehr, auch keiner Standarddatenschutzklauseln. Ist die Verarbeitung insgesamt rechtmäßig, müssen Datenexporteure die Behörden dann erst einmal nicht mehr fürchten. Ich gehe davon aus, dass der Beschluss Anfang des zweiten Quartals veröffentlicht werden wird. Als sicher gilt auch, dass auch dieses Framework durch den Europäischen Gerichtshof bewertet werden wird. Ob es allerdings nach den Entscheidungen zu Safe Harbor und Privacy Shield erneut zu einer Schelte aus Luxemburg kommen wird, ist längst nicht ausgemacht. Die Rahmenbedingungen haben sich schon deutlich geändert.

Schulz: Der Nutzung von Cloud-Diensten sollte ganz generell stets eine unternehmensinterne Abwägung vorgeschaltet sein. Hier sollten informations- und datenschutzrechtliche Risiken, aber auch Effizienz-, Performance- und Kostenaspekte Berücksichtigung finden. Ergibt sich hiernach, dass die in der Cloud zu verarbeitenden Informationen angemessen geschützt werden können und ein vergleichbarer Service durch europäische Unternehmen nicht angeboten wird, sehe ich keinen Grund, sich nicht für den besseren Cloud-Dienst eines US-amerikanischen Anbieters zu entscheiden.

Schulz: Im Gegenteil beobachten wir in der Praxis eine regelrechte Scheu der Behörden, Aspekte des Drittstaatentransfers von Daten einmal zum Gegenstand eines Verwaltungs- oder Klageverfahrens zu machen. Das mag auch daran liegen, dass die aufsichtsbehördliche Abneigung eher auf einem diffusen Unbehagen beruht, als auf rechtlich überzeugenden Argumenten.

Schulz: Eine solche Klausel, die sich zudem auch auf etwaige Unterauftragnehmer erstrecken sollte, ist üblich und sinnvoll. Im Sozialrecht sind solche Klauseln sogar zwingend, da das Sozialgesetzbuch besonders strenge Vorgaben zur Zulässigkeit von Datenexporten macht. Alternativ sind vertragliche Abreden denkbar, nach denen eine Datenverarbeitung außerhalb der EU nur unter Einhaltung der Vorgaben der DSGVO erfolgen darf. So wird auch noch einmal vertraglich festgelegt, dass der Cloud-Anbieter im Fall eines Drittstaatentransfers seinen damit verbundenen Pflichten nachkommt.