Prof. Dr. Heckmann von der TU München hat die Auswirkungen des sogenannten Schrems-II-Urteils des europäischen Gerichtshofs auf die Nutzung von Public-Cloud-Diensten analysiert. In seinem Gutachten zeigt er, inwiefern die Cloud-Sicherheitslösung R&S®Trusted Gate des IT-Sicherheitsexperten Rohde & Schwarz Cybersecurity einen Ausweg aus dem Cloud-Dilemma darstellt. Deutsche Unternehmen und Behörden nutzen für das Cloud Computing überwiegend Anwendungen, Dienste und Services von US-amerikanischen Anbietern wie Microsoft, Google oder Amazon. Denn diese verfügen über eine hohe Funktionalität und Skalierbarkeit. Seit dem 16. Juli 2020 herrscht jedoch große Unsicherheit, inwiefern der Einsatz solcher Cloud-Dienste datenschutzrechtlich überhaupt noch möglich ist. Denn an diesem Tag hat der Europäische Gerichtshof das Datenschutzabkommen „Privacy Shield“ zwischen den USA und der EU für ungültig erklärt. Seit diesem sogenannten Schrems-II-Urteil lässt eine neue Regelung, die für Rechtssicherheit sorgt, auf sich warten.
Enormes Risiko durch Cloud-Nutzung
Nach Auffassung des Europäischen Datenschutzausschusses (EDSA) besteht im Cloud Computing derzeit kein zulässiger Weg für die Übermittlung von EU-DSGVO-relevanten Daten in die USA. Europäische Unternehmen und Behörden gehen bei der Nutzung US-amerikanischer Cloud-Dienste daher ein enormes Risiko ein. Deutschen Firmen, die die Dienste dennoch einsetzen, drohen Bußgelder von bis zu 20 Millionen Euro. Für Unternehmen und Behörden besteht nun die Herausforderung, die gesetzlichen Vorgaben einzuhalten und trotzdem arbeitsfähig zu bleiben. Denn die Nutzung von Cloud-Diensten ist heute nicht mehr nur eine hilfreiche Ergänzung, sondern dringend erforderlich. Sie ermöglichen den flexiblen und weltweiten Datenzugriff innerhalb der Unternehmen. Vor allem auch in Zeiten von Homeoffice und Remote Work ist die Bedeutung von Cloud-Diensten immens gestiegen.
R&S®Trusted Gate: Der Ausweg aus dem Cloud-Dilemma
In einem aktuellen Rechtsgutachten analysiert Prof. Dr. Heckmann von der TU München, wie die Cloud-Sicherheitslösung R&S®Trusted Gate einen Ausweg aus dem Cloud-Dilemma darstellt. Laut dieses Gutachtens bietet R&S®Trusted Gate Unternehmen und Behörden die Möglichkeit, die Herrschaft über ihre Daten zu behalten, arbeitsfähig zu bleiben und gleichzeitig die Anforderungen der EU-DSGVO zu erfüllen. Dass diese Trennung auf technisch sichere Weise gelingt, garantiere der Hersteller Rohde & Schwarz Cybersecurity glaubhaft gegenüber seinen Kunden, so Heckmann. Rohde & Schwarz ist ein geheimschutzbetreutes Unternehmen und darf damit auch Informationen mit der Einstufung „Verschlusssachen“ bearbeiten. Die Besonderheit der Lösung liege laut Heckmann in der sicheren Gestaltung eines Mehrebenensystems: Danach werden die EU-DSGVO-relevanten oder anderweitig sensitiven Inhalte der Verschlüsselungsebene von den Cloud-Diensten auf der Geschäftsebene getrennt. Auf diese Weise können die Vorteile der externen Cloud-Dienste genutzt werden, ohne dass personenbezogene Daten in ein „unsicheres Drittland“ übermittelt werden. Die Unternehmen und Behörden behalten die Datenherrschaft und erfüllen die Anforderungen der EU-DSGVO.
Daten entkoppeln
Das Gutachten beurteilt zwar den Einsatz der Lösung vor dem Hintergrund der EU-DSGVO. Das Konzept der Entkopplung von Daten aus der Cloud ermöglicht jedoch auch das Einhalten von Datenschutzverordnungen anderer Länder oder den Schutz von Geschäftsgeheimnissen. Eine solche Cloud-Lösung kann daher weltweit eingesetzt werden, um die eigenen Daten zu entkoppeln und sicher zu speichern. Damit bietet die Lösung international agierenden Unternehmen auch einen Ausweg aus dem Dilemma, die weltweit immer größere Zahl an Datenschutzbestimmungen umzusetzen. International tätige Unternehmen müssen heute eine Vielzahl von regulatorischen Anforderungen erfüllen, die sich zum Teil unterscheiden oder sogar widersprechen. Das ist nicht nur eine Herausforderung für die Corporate Governance, sondern stellt auch erhebliche technologische Anforderung an die Nutzung und den Einsatz von Daten im Unternehmen.
Die Cloud weltweit rechtskonform nutzen
Beispiel Volksrepublik China (VR): Bereits seit 2017 gilt in der VR China das Cyber Security Law (CSL). Neben weitreichenden Vorschriften für die Einhaltung von Datensicherheit und für das Melden von IT-Sicherheitsvorkommnissen, enthält das Gesetz auch das Prinzip der Datenlokalisierung. Dieses schreibt vor, dass personenbezogene Daten weitestgehend in China abzuspeichern sind. Zwei weitere Gesetze schränken die Arbeit mit Cloud-Diensten ein: Der California Consumer Privacy Act (CCPA) trat am 1. Januar 2020 in Kraft. Er legt die Messlatte für die Verarbeitung und den Verkauf personenbezogener Daten für diejenigen Unternehmen höher, die in Kalifornien geschäftlich tätig sind. Und bereits 2013 verabschiedete Singapur den Personal Data Protection Act (PDPA), der Bestimmungen darüber enthält, wie Unternehmen in Singapur personenbezogene Daten von Personen speichern und verarbeiten können.
Nahtlose Einbindung
Mit der Lösung R&S®Trusted Gate können Unternehmen Cloud-Lösungen weltweit einheitlich nutzen – die eigenen Daten jedoch für konfigurierbare Regionen lokalisieren. R&S®Trusted Gate lässt sich nahtlos in Storage-Systeme gängiger Public Clouds wie Microsoft Azure, Google, AWS und Collaboration-Tools wie Microsoft 365, Teams oder SharePoint einbinden und gesetzliche Vorgaben sowie Compliance-Regeln können auch in globalen Cloud-Umgebungen problemlos umgesetzt werden. Dabei läuft die Lösung transparent in bestehenden Anwendungen, sodass Arbeitsabläufe unverändert bleiben. Eine spezielle Suchfunktion ermöglicht eine sichere Volltextsuche selbst in verschlüsselten Dokumenten. Zudem funktionieren wichtige Funktionen wie die Versionierung von Dokumenten weiterhin ohne Einschränkungen.