Nach Schrems II und der Aufhebung des EU-US-Privacy-Shield-Abkommens möchten immer mehr Unternehmen auf Nummer sicher gehen: Sie setzen auf Cloud-Anbieter mit Rechenzentren in Deutschland oder gleich eine interne Private Cloud. Was sind die Hintergründe? Und welche Lösung ist empfehlenswert?

Wenn es um die Umsetzung verschiedenster IT-Anforderungen geht, ist das Cloud Computing heute ein unverzichtbarer Bestandteil. Dabei gehört(e) es für viele Unternehmen längst zum digitalen Alltag, Daten länderübergreifend zu verarbeiten – z. B. bei den großen Hyperscalern Amazon Web Services (AWS) oder Microsoft Azure, die Ihre Hauptsitze in den USA haben.

Für die DSGVO-konforme Übermittlung der personenbezogenen Daten von europäischen Bürgern diente dabei das EU-US Privacy Shield: US-Unternehmen mussten sich selbst dazu verpflichten, bestimmte Datenschutz-Prinzipien zu befolgen und den Betroffenen Rechte zu gewähren.

Was die Aufhebung des Privacy Shields bewirkt hat

So weit, so gut: Obwohl wegen der mangelnden Verbindlichkeit und dem unzureichenden Schutz vor staatlichem Zugriff immer wieder Kritik am Privacy Shield aufkam, gab es damit eine internationale Rechtsgrundlage. Unternehmen konnten sich bei der Übermittlung von personenbezogenen Daten in die USA auf das Abkommen stützen.

Im Juli 2020 jedoch führte das durch den Europäischen Gerichtshof (EuGH) beschlossene Schrems II-Urteil und die damit verbundene Aufhebung des Privacy Shields für viele Unternehmen zu einer unklaren Rechtslage.

Was sind die Kernaussagen Urteils:

Im Kern geht es bei Schrems II darum, dass die Datenschutz-Grundverordnung (DSGVO) nicht im angemessenen Maße die Sicherung personenbezogener Daten von EU-Bürgern gewährleistet, wenn diese in anderen Ländern außerhalb der EU verarbeitet werden.

  • Datenschutzrechte der EU müssen durchsetzbar sein
  • EU-Recht ist in den USA nicht durchsetzbar
  • Es müssen zusätzliche Schutzmaßnahmen geschaffen werden
  • Das Urteil gilt für Daten mit US-Zugriff (US Cloud Act)

Diesbezüglich hat das Schrems-II-Urteil eine klaffende Lücke in der DSGVO aufgezeigt. Auch das Privacy Shield konnte laut EuGH keinen angemessenen Schutz gewährleisten und wurde daher gekippt.

EU-Standardvertragsklauseln 2021 als Alternative?

Das Urteil bedeutet für Unternehmen, die ihre Daten nach Übersee austauschen, eine große Hürde. Vor allem bei der Frage, ob, wie und mit welchen zusätzlichen Maßnahmen außereuropäische Cloud-Dienste wie AWS, Microsoft Azure oder die Google Cloud Platform bei der Verarbeitung personenbezogener Daten überhaupt noch genutzt werden dürfen, herrscht seitdem große Unsicherheit.

Deshalb hat die EU hat reagiert und mit den im Jahr 2021 neu veröffentlichten Standardvertragsklauseln eine Alternative geschaffen: Datenexporteure im Europäischen Wirtschaftsraum und Datenimporteure in Drittstaaten können sich mit ihnen auf ein vertraglich abgesichertes Datenschutzniveau einigen. So bieten die Standard Contractual Clauses (SCC) hinsichtlich des Schrems II Urteils mehr Rechtssicherheit und DSGVO-Konformität. Doch sie bedeuten auch automatisch Handlungsbedarf für Unternehmen.

  • Es ist stets eine Einzelfallprüfung nötig
  • Vor dem Abschluss sollte eine Risikoanalyse durchgeführt werden
  • Es besteht eine umfassende Dokumentationspflicht
  • bedarf es noch weiterer Maßnahmen
  • Und es gilt eine Frist: Bis zum 27.12.2022 müssen alte Standardvertragsklauseln an die neuen Vorlagen aus dem Jahr 2021 angepasst sein

Wird dieses Datum überschritten, können Bußgelder folgen. Damit ergeben sich untragbare Rechtsrisiken und Angst vor hohen Strafen auf der einen Seite, während aufwändige und unwirtschaftliche Prozesse auf der anderen Seite stehen.

Aus der Cloud in die Cloud – aber worauf kommt es an?

Klar ist zwar, dass Nutzer von AWS und Microsoft Azure durch die neuen Standardvertragsklauseln geschützter sind. Eine 100-prozentige Sicherheit gibt es jedoch auch mit ihnen nicht. Gewissheit bieten hingegen Cloud-Anbieter, die ihre Rechenzentren auf deutschem Boden haben. Denn ohne einen Datentransfer an Drittländer braucht man auch keinerlei Zusatzbestimmungen.

So verwundert es nicht, dass immer mehr Unternehmen auf deutsche Cloud-Anbieter setzen, um den Anforderungen der EU-DSGVO weiterhin gerecht zu werden. Andere widerum verlagern ihre zuvor in der Public oder Hybrid Cloud gehosteten Workloads lieber gleich in die interne Private Cloud, die augfrund ihrer On-Premises-Infrastruktur ein größeres Maß an Kontrolle und Datenschutz bietet, wegen der selbstverantwortlichen Verwaltung aber auch Nachteile mit sich bringt.

Aber welche Lösung ist besser geeignet? Und worauf kommt es bei der Entscheidung „Private Cloud vs. deutscher Cloud-Anbieter“ an?

Was ist die Private Cloud?

Bei der Private Cloud werden die bereitgestellten Ressourcen nur vom eigenen Unternehmen genutzt. Daher wird sie auch als interne oder Unternehmens-Cloud bezeichnet, in der vor allem sensible Geschäftsdaten mit einem großen Maß an Datenschutz und Kontrolle verarbeitet werden. Dabei befindet sich die Private Cloud entweder physisch im lokalen Datacenter oder es wird ein externer Anbieter herangezogen, der sie hostet.

Es gibt drei Arten der Private Cloud:

  • Internal Private Cloud: Hierbei betreibt das Unternehmen selbst die notwendige IT-Infrastruktur im eigenen Gebäude.
  • Managed Private Cloud: Auch hier verbleibt die Infrastruktur im Unternehmen – allerdings wird sie durch einen externen Anbieter gemanagt, bzw. gewartet.
  • Hosted Private Cloud: Ein Cloud-Anbieter betreibt die Cloud im Auftrag des Unternehmens in seinem eigenen Rechenzentrum.

Welche Vorteile bieten Private-Cloud-Modelle?

Klar ist, dass sowohl eine in Eigenregie als auch die durch einen Provider gehostete Private Cloud entscheidende Vorteile hinsichtlich des Schrems II-Urteils bietet: Wenn Daten, Workloads und Anwendungen „auf eigenem Boden“ verarbeitet und gespeichert werden, sind die Datenschutzrechte der DSGVO vollständig durchsetzbar.

Klar ist aber auch, dass eine Internal Private Cloud noch immer eine große interne Verantwortung mit sich bringt, denn die Betriebs- und Datensicherheit obliegt hier allein dem Unternehmen. Hinzu kommt der Nachteil, dass eigene Investitionen in Hardware, die Einrichtung und den Betrieb der lokalen Datacenter, die Stromversorgung und das verwaltende Personal nötig sind.

Verantwortung abgeben, Risiken reduzieren

Einen gangbaren Mittelweg bietet die Managed Private Cloud, bei der zumindest die Verwaltung und damit auch klar definierter Teil der Sicherheitsverantwortung an einen externen Managed Security Services Provider (MSSP) abgegeben wird.

So kann sich dieser um die Absicherung der Cloud kümmern, Datenbackups anfertigen oder auch den Betrieb via Remote-Monitoring überwachen. Zusätzlich können Unternehmen vom externen Know-how und ggfls. einem 24/7/365 Zugang zu hochkompetenten Fachkräften profitieren.

Wer hingegen seine Risiken noch weiter minimieren möchte, sollte auf das komplette Outsourcing seiner IT in eine Hosted Private Cloud von einem Anbieter setzen, der seinen Rechenzentrums-Standort in Deutschland hat. Neben den bereits erwähnten Vorteilen, die ein Managed Service Provider mit sich bringt, kommen weitere hinzu:

  • Keine Bindung von eigenen Betriebsmitteln
  • Zertifizierte Rechenzentren mit physischen Zugangskontrollen
  • Unterbrechungsfreie Stromversorgung (USV)
  • Garantierte Verfügbarkeiten und redundante Systeme
  • Mehr eigene Zeit und Ressourcen für wichtigere Aufgaben

Hauptsache Cloud „Made in Germany“

Datensouveränität auf Basis europäischer Lösungen ist das effektivste Mittel für langfristige Sicherheit bei allen Cloud-Anwendungen.

Bezüglich der Cloud-Nutzung bedeutet die Aufhebung des Privacy Shields für Unternehmen und Organisationen vor allem eins: Unsicherheit. Und solange keine Klarheit hinsichtlich der Rechtslage besteht, sollte man mögliche Alternativen in Erwägung ziehen. Vor allem die Private Cloud bietet hier ein Höchstmaß an Kontrolle, was die Sicherheit und den Datenschutz angeht.

Wer noch sicherer gehen will, sollten einen erfahrenen Managed Services Provider oder einen Cloud-Anbieter mit einem Rechenzentrumsstandort in Deutschland in Betracht ziehen. So wie Axians ­– dann funktioniert es nicht nur mit dem Datenschutz, sondern auch mit der Cyber Security.

Apropos Cybersicherheit: In eigener Sache möchten wir noch auf den ECSM (European Cyber Security Month) hinweisen, der im Oktober stattfindet und den auch wir mit unserem Experten-Know-how begleiten. Seien Sie gespannt auf den nächsten Beitrag, der im Rahmen des ECSM am 20. Oktober veröffentlich wird.

TOBIAS OLGEMÖLLER | SENIOR IT SECURITY CONSULTANT Tobias Olgemöller ist Master of Science in Wirtschaftsinformatik und seit 2012 bei der Axians IT Security tätig. Als Senior IT Security Consultant liegen seine Schwerpunkte auf Firewalls mit Features (VPN, IPS/IDS, Application Control, Anti-Malware, Anti-Bot, Web Security, Sandboxing) Proxys und Cloud Security.