Die Schonfrist ist vorbei. Die Datenschutzbehörden nehmen jetzt bundesweit Unternehmen wegen der Nutzung von US-Cloud-Diensten ins Visier. Organisationen, die weiterhin solche Dienste nutzen, müssen ihre Strategien überdenken. Die Handlungsempfehlungen von ownCloud helfen ihnen dabei.
Seit der Europäische Gerichtshof das „Privacy Shield“-Abkommen kassiert hat, ist es amtlich: Die Nutzung von US-Cloud-Diensten ist wegen des US Cloud Act nicht mit europäischem Datenschutzrecht vereinbar. Das ist selbst dann der Fall, wenn die Rechenzentren der Anbieter auf europäischem Boden stehen.
Unternehmen und Behörden sollten allerspätestens jetzt auf dieses Urteil reagieren, denn die Schonfrist scheint abgelaufen. Eine Taskforce der Datenschutzkonferenz (DSK) der Länder und des Bundes erarbeitet derzeit mehrere Fragenkataloge, mit denen ermittelt werden soll, ob Organisationen durch die Nutzung von US-Cloud-Diensten gegen EU-Recht verstoßen. Es drohen empfindliche Bußgelder.
Den Marketingaussagen der US-Cloud-Betreiber, durch Vertragsanpassungen seien ihre Angebote nun datenschutzkonform, können und dürfen Organisationen nicht vertrauen. Stattdessen sollten sie ihre Cloud-Strategien überdenken. ownCloud gibt dazu einige Handlungsempfehlungen.
Unternehmen und Behörden sollten:
- sich Transparenz über alle Datenströme und Standorte der Datenverarbeitung und -speicherung verschaffen – das gilt auch für Subunternehmen der Anbieter
- sich von den Anbietern der Cloud-Dienste Garantien geben lassen, dass ein mit der EU gleichwertiges Datenschutzniveau gewährleistet ist
- prüfen, ob die dadurch gebotenen Garantien in der Praxis eingehalten werden können
- wenn dies nicht möglich ist (wie es aufgrund des Cloud Act bei US-amerikanischen Cloud-Diensten die Regel sein wird), prüfen, welche zusätzlichen Schutzmaßnahmen wie Anonymisierung und Pseudonymisierung oder Verschlüsselung von personenbezogenen Daten getroffen werden können
- wenn keine datenschutzkonforme Nutzung eines US-Cloud-Dienstes möglich oder der Aufwand dafür unverhältnismäßig hoch ist, prüfen, ob es eine Alternative in Europa oder einem Drittland mit ausreichendem Schutzniveau gibt
- prüfen, inwieweit schutzbedürftige Daten ohne Beeinträchtigung der Nutzerfreundlichkeit und Funktionalität in einer Private Cloud gespeichert werden können
„Ein ‘Weiter so’ kann es jetzt nicht mehr geben. Organisationen müssen sich zumindest bei der Speicherung und Verarbeitung personenbezogener Daten Gedanken über Alternativen zu den US-Public-Clouds machen“, sagt Tobias Gerlinger, CEO von ownCloud.
„So können sie beispielsweise Microsoft OneDrive mit einem rechtskonformen Private-Cloud-Datenspeicher im Rechenzentrum ihrer Wahl ergänzen oder komplett ersetzen. Das reduziert nebenbei die Herstellerabhängigkeit und erhöht die unternehmerischen Freiheitsgrade, während es längerfristig die Kosten senkt.“