SecureDataService Dipl. Ing. (FH) Nicholas Vollmer
Priorstraße 63
41189 Mönchengladbach
Telefon: 02166/96523-30
www.SecureDataService.de
SDS / Unser Unternehmen / News / News-Details

Nebelkerze aus Brüssel zu Schrems II

von Nicholas Vollmer (Kommentare: 0)

Europa wartet auf konkrete Anleitungen... doch Brüssel liefert nicht.

Seit dem EuGH-Urteil zum Drittland-Datentransfer ("Schrems II") warten die Europäer gebannt auf konkrete Vorgaben. Wann dürfen personenbezogene Daten ohne Einwilligungen z.B. in die USA transferiert werden? Reicht eine Verschlüsselung? Gibt es vertragliche Gestaltungsmöglichkeiten? Alle schauen nach Brüssel, doch von dort wird nur eine 38-seitige Nebelkerze geworfen. Es hat aber den Anschein, dass die meisten US-Clouddienste nicht mehr verwendet werden dürfen, wenn diese auf personenbezogene Klartext-Daten zugreifen. Was ist also möglich und was nicht (ohne explizite Einwilligung einer jeden betroffenen Person)?

 

[Nachtrag am 17.11.2020: Zurecht wurde darauf hingewiesen, dass der Datenschutz-Ausschuss ("EDBP") kein Gremium in Brüssel ist. Es ist ein Gremium der Datenschutz-Aufsichtsbehörden aller EU-Länder. Dessen war ich mir durchaus bewusst, aber ich hatte mich für eine Vereinfachung entschieden. Dies sei hiermit also präzisiert.]

DIE entscheidende Frage ist: Wie kann man den EU-Standardvertrag retten? Wie schützt man EU-Bürger vor einer grenzenlosen staatlichen Überwachung in den USA? Auf dem Spiel stehen beispielsweise Amazon-Cloud-Dienste, Microsoft 365, Google Analytics, Videokonferenzsysteme, E-Mail-Konten, Websites und vieles mehr.

Die Antwort sollte hoffentlich das Gremium "EDPB" liefern. Dort wurden solche EU-übergreifenden Themen immer diskutiert und dort hatte man im Juli 2019 schon auf die Probleme des US-CLOUD-ACT hingewiesen. Am 10.11.2020 war es nun so weit: Ein erster Diskussions-Entwurf der "Recommendations 01/2020" wurde bekannt gemacht (alle relevanten Dokumente finden Sie hier, wobei wir die die hier relevanten Dokumente automatisiert ins Deutsche übersetzt haben).

Was stellen wir fest? Nach 20 Seiten an Erläuterungen und Definitionen kommt der Anhang 2, der für Klarheit sorgen soll. Dort finden sich technische, vertragliche und organisatorische Überlegungen. Was uns alle interessiert: Welche "zusätzlichen Maßnahmen" können wir treffen, um den EU-Standardvertrag weiterhin nutzen zu können?

Leider werden vom EDPB (fast) allen Erwartungen enttäuscht. Auf die wichtigsten Szenarien geht das Gremium nicht ein und lässt den Leser somit im Unklaren. Beim Leser stellt sich Frust ein. Das soll jetzt DIE Empfehlung sein, auf die alle Experten gewartet haben?

Fassen wir die technischen Möglichkeiten zusammen, die einen EU-Standardvertrag retten können:

  1. Ein verschlüsselter Up-/Download von personenbezogenen Daten ist problemlos möglich, wenn das Passwort allein in den Händen des EU-Verantwortlichen liegt. Das ist soweit eigentlich keine Neuigkeit.

  2. Pseudonymisierte Daten sind kein Problem, wenn sichergestellt ist, dass die jeweilige Person nicht erkennbar ist. Es muss aber wirklich ausgeschlossen sein, dass durch jegliche Querverbindungen zu anderen Daten ein Personenbezug entsteht. Beispielhaft werden hier Forschungszwecke genannt. Auch dieses Feststellung ist keine Überraschung.

    In Randnummern 81 und 82 werden Informationsdienste erwähnt, deren Nutzungsdaten (Zugriffszeit, Reihenfolge der aufgerufenen Funktionen, Eigenschaften des verwendeten Geräts usw.) erfasst werden. Auch wenn hier keine Namen erfasst werden, so können die Daten dennoch personenbeziehbar sein. In Randnummer 83 wird hier eine "besondere Vorsicht" gefordert.

    Hier wird es nun spannend: Täglich fallen viele Milliarden Nutzungsdaten in den USA und weltweit an. Manche verfügen nur über die IP-Adresse, um eine Person potentiell zu identifizieren; andere bedürfen ganz klar ein Login oder andere Mechanismen der Authentifizierung. Wann sind diese Nutzungsdaten noch wirksam pseudonymisiert und wann nicht? Hierzu liefert das EDPB keinerlei Kriterien, sondern nur den Hinweis auf besondere Vorsicht. Wir sind also genauso schlau wie vorher.

    Oder anders ausgedrückt: Wenn ein EU-Verantwortlicher hinsichtlich der Nutzungsdaten keine Erwägungen und Maßnahmen zur "besonderen Vorsicht" nachweisen kann, dann verstößt er wohl gegen den Datenschutz.

  3. Durchleitung von Daten über Drittland-Server sind unproblematisch, wenn zumindest eine Transportverschlüsselung vorliegt (also z.B. SSL oder TLS). Im Einzelfall müsse man auch über eine Ende-zu-Ende-Verschlüsselung nachdenken. Auch das ist kein wirklicher Erkenntnisgewinn. Das Internet "entscheidet" selbstständig, welche Weg die Datenpakete nehmen und dass kann immer auch Länder außerhalb Europas beinhalten. Wenn das ein Problem wäre, dann könnten wir das Internet abschalten.

    Einschränkend sollte man erwähnen, dass in Randnummer 84 u.a. Folgendes gefordert wird:
    (a) Die Existenz von Hintertüren (in Hardware oder Software) ist auszuschließen. Zero Trust? Nette Forderung, doch wie soll das funktionieren? Für Hardware gibt es vereinzelt FIPS-Zertifizierungen. Bei Software dürfte man ausschließlich Open-Source-Software einsetzten, die von Experten geprüft wurde. Der Firefox-Webbrowser wäre also OK, der Google Chrome Browser hingegen nicht? Ein Linux-Server ja, ein Microsoft-Server nicht? Mozilla Thunderbird ja, Microsoft Outlook nicht? Nextcloud statt iCloud? VeraCrypt statt Bitlocker?
    (b) Der Verschlüsselungsalgorithmus muss fehlerfrei und ordnungsgemäß implementiert sein, was z.B. durch Zertifizierung überprüft wurde. Das kann heutzutage kaum jemand leisten. Auch hier wäre eventuell Open-Source-Software ein gangbarer Weg; doch gerade da fehlt es an den finanziellen Mitteln, um eine offizielle Zertifizierung zu durchlaufen. (Ausnahme: VeraCrypt)

    Kurz und knackig gesagt: Das EDPB sieht die Nutzung des Internets nur dann als zulässig an, wenn die Daten wirksam verschlüsselt sind und die Software nachweislich keine Hintertür enthalten.

    Wieder einmal möchte eine öffentliche Stelle für Klarheit sorgen... und bringt durch zusätzliche Forderungen alles zum Einsturz.

  4. Der Sonderfall von Berufsgeheimnisträgern (z.B. Ärzten und Rechtsanwälten) wird in Randnummer 85 thematisiert. Mit einer Ende-zu-Ende-Verschlüsselung ist dies durchaus darstellbar. Gut zu wissen... betrifft aber kaum jemanden.

  5. Cloud-Dienste, die Zugang zu Daten im Klartext benötigen sind zunächst NICHT zulässig.
    Treffer, versenkt! Am Beispiel von Microsoft 365 mit seinen Onlinefunktionen sehen wir, dass Microsoft durchgängig einen Zugriff auf unverschlüsselte Daten benötigt. Hiergegen gibt es laut EDPB keine technischen Lösungen. Möglicherweise mag es noch vertragliche Alternativen geben, aber darauf geht das EDPB nicht weiter ein.

  6. Kein Konzern-Privileg für US-amerikanische Mutterunternehmen. Ab Randnummer 90 wird der "Fernzugriff auf Daten für Geschäftszwecke" thematisiert. Wenn die US-Mutter also die Konzendaten zu Konzernzwecken verarbeitet, dann gibt es laut EDPB keine technischen Mittel, um den Datenschutz zu gewährleisten. Es ist also unzulässig. Möglicherweise mag es noch vertragliche Alternativen geben, aber darauf geht das EDPB nicht weiter ein.

Welche vertraglichen Maßnahmen wären denkbar, um den EU-Standardvertrag zu retten? Hier muss man voranstellen, dass natürlich nur die US-Anbieter ihre Verträge anpassen können. Wir kleinen EU-Nutzer sind da völlig machtlos. Es geht also "nur" darum, dass man die datenschutzrechtlichen Vertragsklauseln findet und bewertet. Das EDPB liefert elf mögliche Vertrags-Szenarien, die hier aber nicht im Einzelnen vorgestellt werden sollen. Das ist zu komplex und (leider) wirklichkeitsfremd.

Schließlich erwähnt das EDPB noch die organisatorischen Maßnahmen ab Randnummer 122. Hier finden sich gewisse "Selbstverpflichtungen", die hier nicht weiter erwähnt werden sollen. Möglicherweise steht und fällt hier alles mit der Frage, ob eine US-Regierungsstelle das US-Unternehmen zum Stillschweigen verpflichten kann, sodass die EU-Verantwortlichen keinerlei Kenntnis (geschweige denn Einflussmöglichkeiten) haben.

 

Und was ist mit dem US-CLOUD-ACT? Wie ist es zu bewerten, wenn ein EU-Auftragnehmer auch in den USA ansässig ist und somit stillschweigend (und vorbei an Amtshilfe-Abkommen) personenbezogene Daten an die US-Gerichte aushändigen muss? Das EDPB hatte im Juli 2019 bereits sehr deutlich auf die Brisanz hingewiesen. Doch im hier vorliegenden Dokument wird darauf nicht im Geringsten eingegangen. Ist es kein Problem mehr? Oder ist es politisch zu brisant? Wir wissen es nicht. Brüssel lässt uns vermutlich absichtlich im Ungewissen. Das ist eine große Enttäuschung.
Viele EU-Unternehmer werden da ganz pragmatisch vorgehen: Wenn Brüssel dieses Thema an dieser wichtigen Stelle nicht erwähnt, dann ist das auch kein Problem. So gesehen hatte das Land NRW kürzlich wohl Recht, als man das Problemfeld US-CLOUD-ACT in wenigen Worten vom Tisch wischte.

 

Diese EDPB-Empfehlung steht bis zum 30.11.2020 öffentlich zur Diskussion und wird dann wohl wenige Wochen später als EU-Empfehlung publiziert. Die deutschen Aufsichtsbehörden werden dann wohl nach einigen Wochen dazu Stellung beziehen (vielleicht einstimmig, vielleicht auch nicht) und dann haben wir quasi eine neue Rechtslage. Es bleibt spannend!

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Zurück