Schrems II – Datenschutz und Cloud für Finanzdienstleister reloaded
Wie man nach dem Schrems II-Urteil eine rechtskonforme Cloud-Nutzung sicherstellt
Keyfacts
- Bei der Cloud-Transformation gelten Datenschutz-Anforderungen mit Blick auf Drittlandtransfers weiter als herausfordernd
- Der Weg in die Cloud führt über die einzelfallbezogene Risikoanalyse
- Umstellung auf die neuen EU-Standarddatenschutzklauseln (SCC) und Überprüfung geeigneter technischer und organisatorischer Maßnahmen (TOM) stehen im Fokus
Im Rahmen ihrer Digitalisierungsstrategie nutzen deutsche Finanzdienstleister zunehmend Cloud-Services von US-Providern wie Amazon, Microsoft und Google. Mit dem Angebot von effizienten Homeoffice-Lösungen hat sich der Bedarf während der Corona-Pandemie noch verstärkt. Das Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) stellt die Zusammenarbeit mit US-Cloud-Providern weiter vor datenschutzrechtliche Herausforderungen. Diese gilt es kurzfristig zu betrachten und erforderliche Sicherungsmaßnahmen abzuleiten.
Das Schrems-II-Urteil und seine Auswirkungen
Beim Einsatz von Cloud-Lösungen sehen sich Finanzdienstleister mit datenschutzrechtlichen Herausforderungen konfrontiert, die durch das Urteil des Europäischen Gerichtshof (EuGH) vom 16. Juli 2020, Rechtssache C-311/18 (Schrems II) noch verstärkt wurden. Im Zusammenhang mit der Übermittlung personenbezogener Daten in Drittländer außerhalb der EU bzw. des Europäischen Wirtschaftsraums (EWR) gilt es, die hohen Anforderungen des Schrems-II-Urteils zu beachten. Dieses hat die Rahmenbedingungen für internationale Datentransfers neu geordnet. Der EuGH hatte den Beschluss der Europäischen Kommission von 2016 zur Übermittlung personenbezogener Daten in die USA – das sogenannte EU-US Privacy Shield – für unwirksam und die Übermittlung auf eben dieser Grundlage für rechtswidrig erklärt.
Besonders in der Kritik standen dabei die Überwachungsgesetze der USA, die es Geheimdiensten und Behörden wie der NSA oder dem FBI erlauben, Daten von europäischen Kund:innen der US-Konzerne auszuwerten. Außerdem legt das Urteil fest, dass die EU-Standarddatenschutzklauseln (SCC) als mögliche Rechtsgrundlage für die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU bzw. des EWR ihre Gültigkeit behalten, jedoch müssen diese bei Bedarf durch weitere Sicherheitsmaßnahmen ergänzt werden. Finanzdienstleister müssen somit zwingend eine Einzelfallprüfung durchführen, ob im Rahmen der konkreten Übermittlung personenbezogener Daten ein der EU gleichwertiges Schutzniveau gewährleistet ist.
Am 4. Juni 2021 wurde die langersehnte Neufassung der SCC als Reaktion auf das Schrems II-Urteil verabschiedet. Sie berücksichtigen neben den Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) auch das Schrems-II-Urteil und lösen die bisher geltenden Klauseln ab. Unternehmen haben für die Umsetzung auf bestehende Vertragsverhältnisse eine Übergangsfrist von 18 Monaten erhalten. Spätestens bis 27. Dezember 2022 müssen die Standarddatenschutzklauseln angepasst werden. Eine schnellstmögliche Anpassung ist auf Grund der weitreichenden Berücksichtigung des Schrems-II-Urteils allerdings anzustreben.
Den erhofften, alleinigen Rettungsanker für datenschutzkonforme Drittlandübermittlungen bieten die SCC allerdings nicht. Vielmehr erfordern sie weiterhin eine Einzelfallprüfung, um zu evaluieren, ob zur Sicherstellung eines angemessenen Datenschutzniveaus weitere technische und organisatorische Schutzmaßnahmen erforderlich sind.
Im Anhang II der SCC finden sich beispielhafte Maßnahmen, die geeignete Sicherungen zum weiteren Schutz der personenbezogenen Daten darstellen können. Weitere Handlungssicherheit bieten etwa die Empfehlungen zu ergänzenden Maßnahmen für Übertragungsinstrumente zur Gewährleistung des EU-Schutzniveaus des Europäischen Datenschutzausschuss (EDSA) – sie geben ebenfalls Orientierung. Die praktische Umsetzung der technischen Maßnahmen, zum Beispiel die Auswahl und Umsetzung geeigneter Verschlüsselungsmechanismen, stellt Unternehmen dabei allerdings vor weitere Herausforderungen.
Der Weg in die Cloud und die Einzelfallprüfung: Datenübermittlung in Drittländer identifizieren
Ist der Schritt in die Cloud geplant oder liegen bereits Daten in der Cloud, müssen Unternehmen in einem ersten Schritt identifizieren, ob bei der Cloud-Nutzung Datenübermittlungen in Drittländer erfolgen. Dabei können grundsätzlich alle Cloud-Produkte und -Services betroffen sein, so beispielsweise Video-Konferenz-Services, Automatisierung- oder Customer-Experience-Services. Hierbei reicht es aus, dass einzelne Services (z.B. Diagnose- und Analysedaten) dieser Produkte in Drittländer übermittelt werden oder Wartungen aus einem Drittland heraus erfolgen.
Um Drittlandübermittlungen und die damit einhergehenden Herausforderungen zu vermeiden, sollten europäische Alternativlösungen in Betracht gezogen werden. Dies erweist sich allerdings in der Praxis als schwierig, da aktuell noch keine Alternativen zu den marktgängigen amerikanischen Cloud-Providern bestehen. Wie der KPMG Cloud Monitor 2021 zeigt, könnte GAIA-X eine Alternative sein, Lock-in-Effekte bei außereuropäischen Anbietern zu vermeiden. Doch der flächendeckende Einsatz von GAIA-X erscheint aktuell noch in weiter Ferne.
Cloud-Monitor 2023: Financial Services
Unsere Studie „Cloud-Monitor 2023: Financial Services. Nutzung von Cloud Computing im Finanzsektor“ zeigt Ihnen, wie Sie durch den Einsatz von Cloud-Lösungen Ihre IT-Landschaft transformieren und Prozesse optimieren können.
Studie herunterladenMust-have für Finanzdienstleister: Die einzelfallbasierte Risikoanalyse aller Cloud-Services
Unternehmen haben deshalb erst einmal keine andere Wahl, als eine Einzelfallprüfung für den Einsatz von Cloud-Services vorzunehmen. Und diese ist durchaus komplex: Zunächst sind die einschlägigen Rechtsvorschriften im Drittland zu identifizieren, die beispielsweise einen Datenzugriff durch Behörden oder andere Stellen ermöglichen. Ein entsprechendes Risikoszenario des Zugriffs durch solche Behörden gilt es dann hinsichtlich der Eintrittswahrscheinlichkeit und Schadenshöhe zu bewerten. Und auch weitere potenzielle Risiken, die etwa aus einem IT-Sicherheitsvorfall resultieren können, gilt es zu evaluieren. Denn nur bei einer vollumfassenden Identifizierung und Bewertung bestehender Risiken ist eine passgenaue Mitigation der Risiken durch geeignete technische und organisatorische Maßnahmen möglich.
Als mögliche technische Schutzmaßnahmen bietet sich zum Beispiel eine Verschlüsselung, eine Anonymisierung oder Pseudonymisierung der personenbezogenen Daten an. Ziel hierbei ist, Behörden aus Drittländern keinen Zugriff auf die personenbezogenen Daten im Klartext zu ermöglichen. Gleichzeitig gilt es, bei solchen Überlegungen die Vorteile der Cloud-Nutzung nicht in Mitleidenschaft zu ziehen. Der Zugriff für berechtigte Nutzer:innen innerhalb der EU soll gewährleistet werden. Die Cloud-Provider bieten verschiedene Verschlüsselungsmethoden an, die im Einzelfall zu evaluieren sind.
Nächste Schritte
Die Auswirkungen in der Praxis sind weitreichend und erfordern beträchtliche Maßnahmen zur Identifizierung und Mitigation von Risiken. Insbesondere vor dem Hintergrund, dass die deutschen Datenschutzbehörden zurzeit eine koordinierte Prüfung des internationalen Datentransfers mittels Fragebogen zur Umsetzung der Vorgaben des EuGH-Urteils bei Unternehmen durchführen und aktuelle Datenschutzbeschwerden prüfen, ist es Unternehmen angeraten, schnellstens alles zu tun, um ihre personenbezogenen Daten bestmöglich zu schützen.
Doch eines ist aber klar: Der Einsatz von Cloud-Services amerikanischer Anbieter ist und bleibt eine Entscheidung, bei der die verbleibenden Restrisiken wohl durchdacht und die Entscheidung unter Berücksichtigung aller Umstände für Dritte nachvollziehbar erfolgen sollte.
