Insights.NowOpinions.Now

Datenschutz & Compliance

DSGVO-Compliance: Folgt ein Privacy Shield 2.0?

Es könnte eine Zeitenwende sein: US-Präsident Biden erklärte Ende März zusammen mit der EU-Kommissionspräsidentin von der Leyen, dass eine Einigung auf politischer Ebene zum transatlantischen Datentransfer erzielt wurde und ein Privacy Shield 2.0 folgen könnte, um den Datenaustausch zwischen den USA und Europa zu vereinfachen und neu zu regeln. Denn seit dem Schrems-II-Urteil bewegen sich Unternehmen auf einem rechtlich schwierigen Gebiet, wenn sie personenbezogene Daten mit US-amerikanischen Unternehmen teilen. Wie geht es nun weiter und ist ein Ende der Datenunsicherheit und damit der echte Start von datenbasierten Geschäftsmodellen tatsächlich in Sicht? Oder ist das angekündigte Neuabkommen erneut zum Scheitern verurteilt?

14. Juni 2022

Tobias Ganowski

Datenübermittlung an Drittländer wird durch DSGVO erschwert

Richten wir zunächst einen Blick in die Datenschutzvergangenheit: Nachdem das Safe-Harbour-Abkommen der Europäischen Kommission aus dem Jahr 2010 zur Teilung personenbezogener Daten aus einem EU-Land mit den USA durch das Schrems-I-Urteil 2016 gekippt wurde, wurde mit dem EU-US Privacy Shield ein zweiter Versuch gewagt. Nach Klage des österreichischen Datenschutzaktivisten Max Schrems beim Europäischen Gerichtshof (EuGH) wurde doch auch dieses transatlantische Abkommen 2020 als rechtsungültig erklärt (Schrems-II-Urteil), da aus Sicht des EuGH und von Schrems personenbezogene Daten nicht ausreichend und nach den Vorgaben der Datenschutz-Grundverordnung (DSGVO) geschützt seien. Denn mit der Einführung der DSGVO 2018 sind europäische Unternehmen verpflichtet, personenbezogene Daten besonders stark zu schützen. Das Problem: US-Überwachungsbehörden wie die NSA (National Security Agency) oder das FBI (Federal Bureau of Investigation) dürfen nach amerikanischem Recht – insbesondere dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act) – Daten von US-Unternehmen nutzen, etwa für Überwachungsmaßnahmen wie das Überwachungsprogramm der NSA „PRISM“. Wann dies erlaubt und wann es rechtswidrig ist, wird dabei nur vage formuliert. Das Privacy Shield sollte diese Problematik lösen. Im Schrems-II-Urteil wurde jedoch geurteilt, dass das Privacy Shield keinen ausreichenden Datenschutz sichert.

Datenschutz im Cloud-Zeitalter

In Zeiten der Cloud ist der transatlantische Datenaustausch ein großes Thema, denn die großen Hyperscaler Amazon Web Services (AWS), Microsoft Azure und die Google Cloud Platform (GCP) kommen allesamt aus den USA. Das heißt, dass jeden Tag Unmengen an Daten in den Rechenzentren der Cloud-Giganten erzeugt und verarbeitet werden. Natürlich haben die Hyperscaler nicht nur in den USA, sondern auch in Europa Datenzentren, jedoch ist die reine Standortbestimmung irrelevant, da US-Behörden im Zweifel durch den CLOUD Act und den Foreign Intelligence Surveillance Act (FISA) dennoch darauf zugreifen können.

Dies spiegelt sich auch in der Bereitschaft zur Datenteilung wieder: Im Rahmen der Lünendonk-Studie® 2021 „Cloud-native Software Development“ wurde ermittelt, dass nur 48 Prozent der Unternehmen die Bereitschaft des eigenen Unternehmens zur Teilung von Daten in der Public Cloud als hoch erachten. Zukünftig können sich dies aber 86 Prozent vorstellen. Dies dürfte zum einen daran liegen, dass die Akzeptanz der Cloud im Allgemeinen steigt – zum Beispiel weil ohne die Eigenschaften einer Cloud (Skalierbarkeit, geringe Latenzzeiten, geringere Betriebskosten etc.) Digitalstrategien nicht umgesetzt werden können. Zum anderen hat die Cloud mittlerweile den Ruf, sicherer zu sein als On-Premise-Umgebungen beziehungsweise der Eigenbetrieb. So können sich 81 Prozent der Unternehmen vorstellen, den ihre IT-Landschaft zu einer Cloud-Landschaft umzubauen und Cloud-native-Technologien verstärkt einzusetzen.

Grafik aus der Lünendonk®-Studie 2021 „Cloud-native Software Development“

Ausweg aus der Datenschutzungewissheit: Standardvertragsklauseln

Eine Möglichkeit, um dennoch personenbezogene Daten mit US-Unternehmen zu teilen, stellen Standardvertragsklauseln – im englischen Standard Contractual Clauses (SCCs) – dar. Diese sollten jedoch auf ihre Gültigkeit geprüft werden, da Datenschutzbehörden die Einhaltung der Rechtsbestimmungen genau beobachten.

Unternehmen als Verantwortliche der Datenverarbeitungen gemäß DSGVO müssen demnach im Einzelfall prüfen, ob die Klauseln aufgrund der nationalen Gesetzgebung im Drittland eingehalten werden können und ein angemessenes Schutzniveau für Daten gewährleistet ist. Andernfalls muss der Datentransfer gestoppt werden. Für Unternehmen kann diese Prüfung ein erheblicher Aufwand sein. Bestandteil der Standardvertragsklauseln sind etwa umfangreiche Dokumentationspflichten sowie weitere technische und organisatorische Maßnahmen (TOM) oder Anonymisierungsverfahren.

Die Europäische Kommission legt Vorgaben und Empfehlungen für Standardvertragsklauseln fest und aktualisiert diese fortlaufend. So wurden im Juni 2021 neuen SCCs veröffentlicht, Altverträge können bis zum 27.12.2022 auf die neuen SCCs migriert werden. Ab diesem Datum verlieren die alten ihre Wirksamkeit.

Gaia-X als Alternative zu den Hyperscalern?

Was wäre, wenn es gar nicht erst notwendig wäre, die Dienste der Hyperscaler zu nutzen, da eine eigene europäische Cloud-Lösung vorhanden ist? Diesen Gedanken verfolgt das Projekt Gaia-X, das die europäische Datensouveränität stärken soll. So gibt es selbstverständlich bereits lokale Cloud-Lösungen, jedoch nicht mit einer derartigen Innovationskraft, Skalierbarkeit und derartigen Services und Mehrwerten, wie es die amerikanischen Cloud-Provider bieten. Gaia-X soll daher eine leistungsstarke und sichere Dateninfrastruktur für Europa sein. Dabei soll sie kein direktes Konkurrenzprodukt zu den bestehenden Angeboten der Hyperscaler sein, sondern die Services sollen sich gegenseitig ergänzen. Die Datenhoheit soll aber in Europa liegen und die Hyperscaler-Lösungen sollen durch Schnittstellen angebunden werden, um eine Innovationsplattform mit offenen Standards und Richtlinien zu schaffen. Vor allem für kritische Infrastrukturen (Energiesektor, Medizintechnik, Finanzdienstleistungen), aber auch für die Industrie sind solche Überlegungen der europäischen Datenhoheit von hoher Relevanz.

2019 wurde das Projekt erstmals öffentlich vorgestellt und wird seitdem kontinuierlich weiterentwickelt. Konkrete Services bietet Gaia-X nur sehr eingeschränkt an. Zwei fortgeschrittene Unterprojekte sind Catena-X für die Automobilindustrie und der Sovereign Cloud Stack als Open-Source-Cloud und Container-Plattform. Nun gilt es, Fahrt aufzunehmen und konkrete Fortschritte aufzuweisen. Infolge des russischen Angriffskriegs in der Ukraine hat die deutsche Bundesregierung die Fördermittel jedoch neu allokiert, sodass die Fördergelder von 117,4 Millionen Euro für fünf Projekte im Zuge von Gaia-X nicht mehr zur Verfügung stehen beziehungsweise im Bundeshaushalt 2022 keine Mittel dafür vorgesehen sind. Ob 2022 das Entscheidungsjahr für Gaia-X wird, lässt sich noch nicht abschätzen. Der Vergleich zu den Hyperscalern zeigt jedoch deutlich, dass diese in anderen Größendimensionen agieren: Laut Synergy Research Group belief sich die Investitionssumme der drei Hyperscaler für den Ausbau ihrer Infrastruktur auf rund 180 Milliarden Dollar – allein im Jahr 2021. AWS hatte 2019 bereits angekündigt, bis Ende des Jahres 2019 rund 2.800 neue Arbeitsplätze in Deutschland zu schaffen. Auch die Investitionen der Cloud-Provider in die eigene Cyber Security sind massiv, wodurch bereits jetzt viele CIOs davon ausgehen, dass durch die Cloud das Security-Niveau erhöht werden kann.

Ein weiteres Problem neben den schleppenden Fortschritten stellt die Bekanntheit des Projekts dar: Vielen IT-Verantwortlichen ist Gaia-X noch nicht geläufig. Lediglich 35 Prozent der IT-Verantwortlichen aus dem gehobenen Mittelstand und aus Konzernen geben an, Gaia-X zu kennen. Von diesen 35 Prozent ist immerhin die Mehrheit der Meinung, dass Gaia-X die Akzeptanz für die Cloud-Nutzung und die Entwicklung datenbasierter Geschäftsmodelle fördern wird.

Grafik aus der Lünendonk®-Studie 2021 „Cloud-native Software Development“

Kommt nach Safe Harbour und dem Privacy Shield das Privacy Shield 2.0?
Abschließend bleibt die Frage, wie es nun weitergehen wird. Da die Verhandlungen zu einem neuen transatlantischen Datenverkehr erst am Anfang stehen, lässt sich noch nicht absehen, ob die Ankündigung auch zum gewünschten Erfolg führt und mit EU-Recht in Einklang zu bringen ist oder ob die Ausgestaltung (erneut) rechtlich unzureichend sein und das Ganze in einem Schrems-III-Urteil enden wird. Ein rechtskonformes Neuabkommen würde für Unternehmen auf jeden Fall mehr Sicherheit schaffen. Schließlich werden datenbasierte Geschäftsmodelle und die Weiterentwicklung der gesamten Organisation hin zu einer Data Driven Company immer wichtiger: So geben 76 Prozent der IT-, Sales- und Marketing-Verantwortlichen an, stark in die Neuausrichtung der Organisation, Prozesse, Kultur und Steuerungsmetriken an einem datenbasierten Realtime-Monitoring zu investieren. Personalisierte Daten stellen dabei nur ein Puzzleteil dar. Die Diskussion um den „richtigen“ Umgang mit Daten wird durch die starke Zunahme der verfügbaren Datenmengen aber sicherlich wichtiger und zu einer Grundsatzfrage.

Verfasst von

Porträt von Tobias Ganowski, IT-Analyst und Junior Consultant beim Marktforschungs- und Analystenhaus Lünendonk & Hossenfelder

Tobias Ganowski

IT-Analyst und Junior Consultant bei Lünendonk & Hossenfelder

Tobias Ganowski ist IT-Analyst und Junior Consultant beim Marktforschungs- und Analystenhaus Lünendonk & Hossenfelder. Er untersucht die Märkte für IT-Beratung, IT-Services, IT-Sourcing-Beratung, Customer Experience Services und Engineering Services. Thematisch beschäftigt er sich unter anderem mit den Themen Customer Experience Management, Cloud Sourcing, Künstliche Intelligenz, IIoT, Softwareentwicklung, Agilität und digitale Transformation.