Kein Urteil über die zulässige Nutzung von US-Cloud-Diensten

Das belgische Gericht habe jedoch keine abschließende Entscheidung darüber getroffen, ob die Nutzung von AWS-Clouds immer oder nie gegen Schrems II verstoße, sagt Alexander Roßnagel, der das deutsche Datenschutzrecht mitentwickelt hat und heute in Hessen der Landesdatenschutzbeauftragte ist. Er erklärt: "Das Urteil könnte in Deutschland ähnlich getroffen werden."

Stellenmarkt
  1. Gruppenleitung Geoinformatik (m/w/d)
    Bundesgesellschaft für Endlagerung mbH (BGE), Peine
  2. SAP-Job - SAP ABAP OO Senior Entwickler oder SAP ABAP OO Architekt Job (m/w/x)
    über duerenhoff GmbH, Freiburg im Breisgau
Detailsuche

Es sei nämlich viel stärker von prozessualen und beweisrechtlichen Fragen geprägt als von dem eigentlichen sachlichen Problem. Die klagende Firma hätte "nachweisen müssen, dass die Behörde den falschen Zuschlag erteilt hat, weil es unter allen Umständen unmöglich ist, dass die Schrems-II-Regeln eingehalten werden können." Weil sie dies nicht habe nachweisen können, habe sie den Prozess verloren.

Güte der Verschlüsselung war nicht auf dem Prüfstand

Nach Ansicht der Datenschutzexpertin Kirsten Bock geht aus dem Urteil nicht klar hervor, wie das Gericht die Güte der Verschlüsselung geprüft hat, um mit Blick auf den EU-US-Datentransfer einen ausreichenden Schutz zu gewährleisten. Es sei "nämlich nicht so, wie das Gericht offenbar annimmt, dass schon jede Maßnahme im Sinne des Artikels 32 der DSGVO dafür ausreicht", sagt Bock, die die Aufsichtsbehörden der Länder in Arbeitsgruppen des EDSA im Bereich Internationales vertritt.

Der Europäische Datenschutzausschuss habe deutlich gemacht, "dass es sich um 'zusätzliche' Maßnahmen handeln muss, durch die Zugriffsmöglichkeiten der US-Behörden verhindert und die fehlenden Rechtsschutzmöglichkeiten kompensiert werden." Die Datenschutzexpertin sagt: "Auch eine Ende-zu-Ende-Verschlüsselung reicht nicht, wenn die Behörden des Drittstaats direkt auf den Empfänger zugreifen können und ihn zur Herausgabe zwingen können." Es bleibe unklar, ob das Gericht die Transparenz des Verschlüsselungsverfahrens geprüft habe. Dem Gericht zufolge sind die Anforderungen des Europäischen Datenschutzausschusses erfüllt, wenn die Verantwortlichen den alleinigen Zugriff haben.

Golem Karrierewelt
  1. Certified Network Defender (CND): virtueller Fünf-Tage-Workshop
    17.-21.10.2022, Virtuell
  2. Adobe Premiere Pro Aufbaukurs: virtueller Zwei-Tage-Workshop
    17./18.10.2022, Virtuell
Weitere IT-Trainings

Bock weist jedoch darauf hin: "Eine wesentliche Frage ist neben der Stärke der Verschlüsselung immer die Frage, wo der Schlüssel liegt und wer darauf zugreifen kann und ob dem Verschlüsselungsverfahren vertraut werden kann." Der Cloud-Provider darf demnach keinen Schlüssel haben, der für die Datenverarbeitung Verantwortliche müsse aber die volle Souveränität über den Schlüssel besitzen. "Das hat er nur, wenn er die Hoheit über seinen Rechner hat. Letzteres ist beispielsweise bei Microsoft 365 nicht der Fall, denn dort ist in den allermeisten Fällen alles Cloud und der Schlüssel nicht vor einem Zugriff durch Microsoft geschützt", sagte Bock. Grundsätzlich sollten reine EU-Clouds europäischer Anbieter gewählt werden.

Cloud-Anbieter werden ihr Angebot umgestalten

Sebastian Kraska, der als externer Datenschutzbeauftragte zahlreiche Unternehmen berät, sagt mit Blick auf die geforderte zusätzliche Verschlüsselung: "In der Praxis ist der Einsatz solcher technischen Zusatzmaßnahmen häufig nicht möglich." Viele Unternehmen würden daher im Rahmen einer Risikoabwägung untersuchen, ob ein Zugriff auf die konkret übermittelten Daten tatsächlich wahrscheinlich erscheint oder nicht. Doch diese Strategie dürfte nicht die Zustimmung der Datenschutz-Aufsichtsbehörden erhalten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Als vorläufige Zwischenlösung bis zum Abschluss eines politischen Kompromisses zeichnet sich nach Ansicht von Kraska ab, dass die US-amerikanischen Cloud-Anbieter ihr Angebot umgestalten: So würden sie eine Datenschutz-Vereinbarung mit der europäischen Tochtergesellschaft des Cloud-Anbieters abschließen und ein lokales Hosting der Daten anbieten. Der Datenschutzexperte sagt: "Ich denke, dass man sich mittelfristig hier auf ein vermittelndes Modell mit lokaler Datenhaltung und technischen Zusatzmaßnahmen einigen wird, die einen Zugriff der US-Behörden in letzter Instanz nur erschweren, nicht aber verhindern." Schrems II sei ein politisches Urteil gewesen, das eine politische Lösung brauche.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Urteil zu Schrems II: US-Datentransfer kann mit Verschlüsselung abgesichert werden
  1.  
  2. 1
  3. 2


narfomat 22. Sep 2021

das kann und will die schon verstehen, aber NATÜRLICH stellt die sich dumm, die ist MS...

matbhm 18. Sep 2021

... es nicht gelingt, eine vernünftige deutsche und europäische Cloudwelt bereit zu...

Mandri 18. Sep 2021

So ganz erschließt sich mir auch nicht, wie da mehr, als Ablage von Backups gehen soll...



Aktuell auf der Startseite von Golem.de
Verwirrendes USB
Trennt die Klassengesellschaft!

USB ist ziemlich verwirrend geworden, daran werden auch neue Logos nichts ändern. Das Problem ist konzeptuell.
Ein IMHO von Johannes Hiltscher

Verwirrendes USB: Trennt die Klassengesellschaft!
Artikel
  1. Bundesgerichtshof: Ebay-Bewertungen dürfen auch ungerecht sein
    Bundesgerichtshof
    Ebay-Bewertungen dürfen auch ungerecht sein

    Ein Käufer, der sich über gängige Portokosten beschwert hat, kann weiter "Ware gut, Versandkosten Wucher" erklären. Der Bundesgerichtshof sieht dies nicht als Schmähkritik, sondern durch die Meinungsfreiheit geschützt.

  2. Berufsschule für die IT-Branche: Leider nicht mal ausreichend
    Berufsschule für die IT-Branche
    Leider nicht mal "ausreichend"

    Lehrmaterial wie aus einem Schüleralbtraum, ein veralteter Rahmenlehrplan und nette Lehrer, denen aber die Praxis fehlt - mein Fazit aus drei Jahren als Berufsschullehrer.
    Ein Erfahrungsbericht von Rene Koch

  3. Next Generation wird 35: Der Goldstandard für Star Trek
    Next Generation wird 35
    Der Goldstandard für Star Trek

    Mit Next Generation wollte Paramount den Erfolg der ursprünglichen Star-Trek-Serie nutzen - und schuf dabei eine, die das Original am Ende überstrahlte.
    Von Tobias Költzsch

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Controller GoW Ragnarök Edition vorbestellbar • Saturn Technik-Booster • Viewsonic Curved 27" FHD 240 Hz günstig wie nie: 179,90€ • MindStar (Gigabyte RTX 3060 Ti 499€, ASRock RX 6800 579€) • AMD Ryzen 7000 jetzt bestellbar • Alternate (KF DDR5-5600 16GB 96,90€) [Werbung]
    •  /