Kein Urteil über die zulässige Nutzung von US-Cloud-Diensten

Das belgische Gericht habe jedoch keine abschließende Entscheidung darüber getroffen, ob die Nutzung von AWS-Clouds immer oder nie gegen Schrems II verstoße, sagt Alexander Roßnagel, der das deutsche Datenschutzrecht mitentwickelt hat und heute in Hessen der Landesdatenschutzbeauftragte ist. Er erklärt: "Das Urteil könnte in Deutschland ähnlich getroffen werden."

Stellenmarkt
  1. Teamleiter Webshop Backend (gn)
    HORNBACH Baumarkt AG, Bornheim bei Landau / Pfalz
  2. Storage Engineer (m/w/d)
    operational services GmbH & Co. KG, Wolfsburg
Detailsuche

Es sei nämlich viel stärker von prozessualen und beweisrechtlichen Fragen geprägt als von dem eigentlichen sachlichen Problem. Die klagende Firma hätte "nachweisen müssen, dass die Behörde den falschen Zuschlag erteilt hat, weil es unter allen Umständen unmöglich ist, dass die Schrems-II-Regeln eingehalten werden können." Weil sie dies nicht habe nachweisen können, habe sie den Prozess verloren.

Güte der Verschlüsselung war nicht auf dem Prüfstand

Nach Ansicht der Datenschutzexpertin Kirsten Bock geht aus dem Urteil nicht klar hervor, wie das Gericht die Güte der Verschlüsselung geprüft hat, um mit Blick auf den EU-US-Datentransfer einen ausreichenden Schutz zu gewährleisten. Es sei "nämlich nicht so, wie das Gericht offenbar annimmt, dass schon jede Maßnahme im Sinne des Artikels 32 der DSGVO dafür ausreicht", sagt Bock, die die Aufsichtsbehörden der Länder in Arbeitsgruppen des EDSA im Bereich Internationales vertritt.

Der Europäische Datenschutzausschuss habe deutlich gemacht, "dass es sich um 'zusätzliche' Maßnahmen handeln muss, durch die Zugriffsmöglichkeiten der US-Behörden verhindert und die fehlenden Rechtsschutzmöglichkeiten kompensiert werden." Die Datenschutzexpertin sagt: "Auch eine Ende-zu-Ende-Verschlüsselung reicht nicht, wenn die Behörden des Drittstaats direkt auf den Empfänger zugreifen können und ihn zur Herausgabe zwingen können." Es bleibe unklar, ob das Gericht die Transparenz des Verschlüsselungsverfahrens geprüft habe. Dem Gericht zufolge sind die Anforderungen des Europäischen Datenschutzausschusses erfüllt, wenn die Verantwortlichen den alleinigen Zugriff haben.

Golem Akademie
  1. PowerShell Praxisworkshop
    20.-23. Dezember 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  3. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
Weitere IT-Trainings

Bock weist jedoch darauf hin: "Eine wesentliche Frage ist neben der Stärke der Verschlüsselung immer die Frage, wo der Schlüssel liegt und wer darauf zugreifen kann und ob dem Verschlüsselungsverfahren vertraut werden kann." Der Cloud-Provider darf demnach keinen Schlüssel haben, der für die Datenverarbeitung Verantwortliche müsse aber die volle Souveränität über den Schlüssel besitzen. "Das hat er nur, wenn er die Hoheit über seinen Rechner hat. Letzteres ist beispielsweise bei Microsoft 365 nicht der Fall, denn dort ist in den allermeisten Fällen alles Cloud und der Schlüssel nicht vor einem Zugriff durch Microsoft geschützt", sagte Bock. Grundsätzlich sollten reine EU-Clouds europäischer Anbieter gewählt werden.

Cloud-Anbieter werden ihr Angebot umgestalten

Sebastian Kraska, der als externer Datenschutzbeauftragte zahlreiche Unternehmen berät, sagt mit Blick auf die geforderte zusätzliche Verschlüsselung: "In der Praxis ist der Einsatz solcher technischen Zusatzmaßnahmen häufig nicht möglich." Viele Unternehmen würden daher im Rahmen einer Risikoabwägung untersuchen, ob ein Zugriff auf die konkret übermittelten Daten tatsächlich wahrscheinlich erscheint oder nicht. Doch diese Strategie dürfte nicht die Zustimmung der Datenschutz-Aufsichtsbehörden erhalten.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Als vorläufige Zwischenlösung bis zum Abschluss eines politischen Kompromisses zeichnet sich nach Ansicht von Kraska ab, dass die US-amerikanischen Cloud-Anbieter ihr Angebot umgestalten: So würden sie eine Datenschutz-Vereinbarung mit der europäischen Tochtergesellschaft des Cloud-Anbieters abschließen und ein lokales Hosting der Daten anbieten. Der Datenschutzexperte sagt: "Ich denke, dass man sich mittelfristig hier auf ein vermittelndes Modell mit lokaler Datenhaltung und technischen Zusatzmaßnahmen einigen wird, die einen Zugriff der US-Behörden in letzter Instanz nur erschweren, nicht aber verhindern." Schrems II sei ein politisches Urteil gewesen, das eine politische Lösung brauche.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Urteil zu Schrems II: US-Datentransfer kann mit Verschlüsselung abgesichert werden
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Google
Neues Pixel 6 kostet 650 Euro

Das Pixel 6 Pro mit Telekamera und schnellerem Display kostet ab 900 Euro. Google verbaut erstmals einen eigenen Prozessor.

Google: Neues Pixel 6 kostet 650 Euro
Artikel
  1. M1 Pro/Max: Dieses Apple Silicon ist gigantisch
    M1 Pro/Max
    Dieses Apple Silicon ist gigantisch

    Egal ob AMD-, Intel- oder Nvidia-Hardware: Mit dem M1 Pro und dem M1 Max schickt sich Apple an, die versammelte Konkurrenz zu düpieren.
    Eine Analyse von Marc Sauter

  2. Klimaforscher: Das Konzept der Klimaneutralität ist eine gefährliche Falle
    Klimaforscher
    Das Konzept der Klimaneutralität ist eine gefährliche Falle

    Mit der Entnahme von CO2 in den nächsten Jahrzehnten netto auf null Emissionen zu kommen, klingt nach einer guten Idee. Ist es aber nicht, sagen Klimaforscher.
    Von James Dyke, Robert Watson und Wolfgang Knorr

  3. Kalter Krieg 2.0?: Die Aufregung um Chinas angebliche Hyperschallwaffe
    Kalter Krieg 2.0?
    Die Aufregung um Chinas angebliche Hyperschallwaffe

    Die Volksrepublik China soll eine Hyperschallwaffe getestet haben. China dementiert die Vorwürfe aber und sagt, es wäre ein Raumschiff gewesen.
    Eine Analyse von Patrick Klapetz

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 16% auf SSDs & RAM von Adata & bis zu 30% auf Alternate • 3 Spiele für 49€: PC, PS5 uvm. • Switch OLED 369,99€ • 6 Blu-rays für 40€ • MSI 27" Curved WQHD 165Hz HDR 479€ • Chromebooks zu Bestpreisen • Alternate (u. a. Team Group PCIe-4.0-SSD 1TB 152,90€) [Werbung]
    •  /