Gekommen, um zu bleiben : Unternehmen sollten sich mit dem Konzept der souveränen Cloud auseinandersetzen
Obwohl die Anforderungen an die digitale Souveränität bereits vielfältig sind, fehlt es bisher an einer verbindlichen Definition. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (kurz: Datenschutzkonferenz, DSK) hat nun Kriterien für die souveräne Cloud definiert. Der Beitrag gibt darüber einen Überblick und untersucht die Auswirkungen des neuen Angemessenheitsbeschlusses der EU-Kommission für die USA auf die digitale Souveränität von US-Cloud-Diensten.
Mit den Schlagworten „digitale Souveränität“ und „souveräne Cloud“ hat der Begriff der Souveränität in jüngster Zeit verstärkt Einzug in die digitale Welt gehalten und sich innerhalb kürzester Zeit zu einem Trendthema entwickelt. Wie im Staats- und Völkerrecht, dem der Begriff entstammt, soll Souveränität in Bezug auf Cloud-Dienste Unabhängigkeit und Selbstbestimmung beschreiben – vor allem in Abgrenzung zu den Angeboten zahlreicher US-amerikanischer Anbieter. Obwohl es bereits verschiedene Definitionsansätze gibt, bleibt der Begriff der souveränen Cloud bislang vage: Er soll Anforderungen an Datenschutz und Cybersicherheit von Cloud-Diensten umfassen. Jedoch setzen sich äußernde Akteure je nach Interessenlage unterschiedliche Schwerpunkte. In diesen Reigen hat sich jüngst auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, die Datenschutzkonferenz (DSK), mit einem Positionspapier [1] eingereiht.
Ausschlaggebend für die Positionierung der DSK ist die derzeitige Unschärfe des Begriffs der souveränen Cloud: Verschiedene Anbieter nutzen das entstandene Vakuum bereits, um ihre Cloud-Angebote als souverän zu bezeichnen, so die DSK. Mit ihrer Stellungnahme will die Datenschutzkonferenz einer möglichen Irreführung von Anwendern und Kunden vorbeugen und „ihre Expertise und Erfahrung in die Diskussion einbringen“. Sie betont jedoch, dass das Positionspapier „nicht auf eine abschließende datenschutzrechtliche Bewertung eines Cloud-Angebots und einer Cloud-Nutzung im Einzelfall“ abzielt. Vielmehr enthält es Kriterien, die aus Sicht der DSK erfüllt sein sollten oder müssen, um von einer souveränen Cloud sprechen zu können.
Datenschutz als Fundament
Das Fundament der digitalen Souveränität von Cloud-Diensten ist nach Auffassung der DSK – wenig überraschend – die Einhaltung der Bestimmungen des geltenden Datenschutzrechts: „Eine ‚Souveräne Cloud‘ verdient diesen Namen […] nur, wenn sie es dem Verantwortlichen ermöglicht, seinen datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft nachzukommen.“ Eine souveräne Cloud müsse in der Lage sein, alle datenschutzrechtlichen Vorgaben einzuhalten, besonders die der Datenschutz-Grundverordnung (DSGVO), aber auch die einschlägigen bundes- und landesrechtlichen Regelungen. Maßgeblich seien hier die in Art. 5 DSGVO normierten Grundsätze für die Verarbeitung personenbezogener Daten wie der Grundsatz der Rechtmäßigkeit, der Grundsatz der Zweckbindung, der Grundsatz der Speicherbegrenzung oder die Rechenschaftspflicht.
Maßgebliche Kriterien
Die aus Sicht der DSK maßgeblichen – insgesamt jedoch unverbindlichen – Kriterien für die digitale Souveränität von Cloud-Diensten lassen sich den folgenden Themen zuordnen:
- Nachvollziehbarkeit durch Transparenz
- Datenhoheit und Kontrollierbarkeit
- Offenheit
- Vorhersehbarkeit und Verlässlichkeit
- Regelmäßige Prüfung der aufgestellten Kriterien
Die DSK unterteilt die jeweils erfassten Kriterien in die Kategorien „Muss“ und „Soll“: Während es sich bei den Kriterien der Kategorie „Muss“ nach Auffassung der DSK um Mindestkriterien handelt, die in jedem Fall erfüllt sein müssen, damit ein Cloud-Angebot als souverän eingestuft werden kann, stellen die „Soll“-Kriterien zusätzliche Empfehlungen dar.
Muss-Kriterien
Zu den Muss-Kriterien zählt die DSK neben einer vertraglichen Dokumentation der eingesetzten Komponenten und Dienste auch eine Dokumentation der Schnittstellen und Datenformate, um die Interoperabilität und letztlich die Austauschbarkeit mit anderen Cloud-Systemen zu gewährleisten. Darüber hinaus ist Transparenz hinsichtlich der Zukunftsfähigkeit zwingend erforderlich: Anbieter souveräner Clouds sollen ihren Kunden darlegen, wie sie einen dauerhaften und unabhängigen Betrieb ihres Angebots gewährleisten wollen. Das schließt mögliche Abhängigkeiten von Herstellern, Dienstleistern und anderen Stellen mit ein.
Wesentlich ist nach Auffassung der DSK zudem, dass kein „Drittlandszugriffsrisiko“ auf die Anbieter der Cloud-Dienste bestehen darf, etwa weil diese ihren Sitz in einem Drittland haben oder Tochterunternehmen eines Konzerns sind, für den Herausgabepflichten bestehen können. Entsprechende Anbieter müssten dann zusätzliche Voraussetzungen für einen souveränen Betrieb erfüllen – rein vertragliche Maßnahmen reichen laut DSK auch bei einer ausschließlichen Datenverarbeitung im Europäischen Wirtschaftsraum (EWR) nicht aus. Das wiederum sei aber ebenfalls ein Muss-Kriterium: „Eine effektive Kontrollierbarkeit von souveränen Cloud-Diensten durch Anwendende setzt daher voraus, dass die Verarbeitung aller Daten ausschließlich im EWR und durch in dem EWR ansässige Anbietende erfolgt, weil dort die Einhaltung und notfalls gerichtliche Durchsetzbarkeit des Datenschutzniveaus langfristig sichergestellt ist.“
Neben einer Informationspflicht des Auftraggebers bei Gefährdung der digitalen Souveränität soll im Rahmen der regelmäßigen Prüfung der aufgestellten Kriterien unter anderem auch eine Überprüfung der eingesetzten Software und ein entsprechender Support durch den Anbieter verpflichtend sein.
Soll-Kriterien
Hinsichtlich der Soll-Kriterien empfiehlt die DSK zusätzliche Transparenz durch den Einsatz von Open-Source-Software und die Verwendung offener Standards. Dies soll zum einen eine möglichst umfassende und tiefgreifende Überprüfung der Einhaltung datenschutzrechtlicher Vorgaben ermöglichen und zum anderen die Interoperabilität zwischen verschiedenen Cloud-Diensten fördern. Darüber hinaus soll den Kunden Einfluss auf die Einbindung von Auftragsverarbeitern eingeräumt werden, sodass sie einzelne Auftragsverarbeiter gezielt abwählen können. Weitere Soll-Kriterien sind unter anderem ein hoher Grad an Kombinierbarkeit der Lösungen, etwa zur Einbindung externer IT-Systeme und -Dienste, sowie Modularität, um beispielsweise auch nur Teilkomponenten nutzen zu können.
Auswirkungen des neuen Angemessenheitsbeschlusses für die USA
Wie sich aus der Stellungnahme der Datenschutzaufsichtsbehörden ergibt und angesichts der originär staatsrechtlichen Bedeutung der Souveränität folgerichtig ist, wird besonders das Risiko des Zugriffs auf Cloud-Dienste aus Drittstaaten von den Datenschutzaufsichtsbehörden als kritisch angesehen. Digitale Souveränität setzt nach Auffassung der DSK eine „dauerhafte faktische Beherrschbarkeit der Datenverarbeitung durch den Verantwortlichen“ voraus. Besonderes Augenmerk ist dabei auf die gerichtliche Durchsetzbarkeit der vertraglichen Vereinbarungen zu legen. Für das für viele Cloud-Dienste maßgebliche Drittland USA hat die Europäische Kommission nun am 10. Juli 2023 einen Angemessenheitsbeschluss [2] erlassen.
Grundlage der neuen Angemessenheitsentscheidung ist die Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities (EO 14086) [3] des US-Präsidenten vom 7. Oktober 2022, die im Rahmen des zwischen der EU-Kommission und den USA geschlossenen Abkommens, dem sogenannten „Trans-Atlantic Data Privacy Framework“ (DPF), erlassen wurde.
Ziel der EO 14086 ist es, die Vorbehalte des Europäischen Gerichtshofs (EuGH) gegen Datenübermittlungen in die USA auszuräumen, die dieser in seinen Entscheidungen sowohl zum ersten EU-US-Datenschutzabkommen namens „Safe Harbor“ (Urteil vom 6. Oktober 2015, Rs. C-362/14 – „Schrems“) als auch zum unmittelbaren Vorgänger des DFP, dem „EU-US Privacy Shield“ (Urteil vom 16. Juli 2020, Rs. C 311/18 – „Schrems II“) geäußert hatte. Vor diesem Hintergrund enthält die EO 14086 nicht nur Regelungen, die den Datenzugriff durch USNachrichtendienste auf ein angemessenes und verhältnismäßiges Maß beschränken sollen, sondern auch neue Rechtsbehelfe für Betroffene. Gegen Datenzugriffe durch US-Nachrichtendienste können sich Betroffene in der EU künftig über einen zweistufigen Rechtsbehelfsmechanismus wehren.
Auswirkungen auf die digitale Souveränität von US-Cloud-Diensten
Mit einem Angemessenheitsbeschluss bestätigt die EU-Kommission formell, dass in einem bestimmten Drittland ein angemessenes Datenschutzniveau besteht. Eine Datenübermittlung in das betreffende Drittland bedarf dann gemäß Art. 45 Abs. 1 DSGVO keiner besonderen Genehmigung mehr. Der neue Angemessenheitsbeschluss für die USA gilt allerdings unmittelbar nur für US-Unternehmen, die nach dem DPF zertifiziert sind: US-Unternehmen müssen hierfür ein Selbstzertifizierungsverfahren durchlaufen und werden anschließend in einer öffentlichen Datenbank auf der Website www. dataprivacyframework.gov/s/participant-search gelistet. Mit Blick auf die Vorgaben der DSK können zertifizierte Anbieter aus den USA durchaus argumentieren, dass das Risiko eines Drittlandszugriffs aufgrund des von der EU-Kommission bestätigten angemessenen Datenschutzniveaus nicht mehr besteht und im Zweifelsfall über den zweistufigen Rechtsbehelfsmechanismus auch eine gerichtliche Durchsetzbarkeit der Datenschutzbestimmungen möglich ist. Fraglich ist, ob vor diesem Hintergrund und der datenschutzrechtlichen Bedeutung eines Angemessenheitsbeschlusses das pauschale Erfordernis des Sitzes des Anbieters beziehungsweise der Verarbeitung im Europäischen Wirtschaftsraum aufrechterhalten werden kann. Der Angemessenheitsbeschluss eröffnet jedenfalls für nach dem DPF zertifizierte US-Anbieter – unter Einhaltung weiterer Voraussetzungen – einen gewissen Spielraum für die Erfüllung der Anforderungen an die digitale Souveränität.
Rechtssicherheit oder Verschnaufpause?
Fraglich ist allerdings, ob der Angemessenheitsbeschluss von Dauer sein wird, da das DPF bereits der dritte Anlauf für ein EU-US-Abkommen zum transatlantischen Austausch personenbezogener Daten ist. Ob der neue Angemessenheitsbeschluss einer Überprüfung durch den EuGH standhalten und dauerhafte Rechtssicherheit schaffen wird, wird unterschiedlich beurteilt: Während Befürworter auf die zahlreichen Änderungen im US-Recht im Vergleich zu früheren Abkommen verweisen, bemängeln Kritiker, dass die Änderungen keine grundlegenden Veränderungen im viel kritisierten US-Überwachungsrecht mit sich bringen. Dass die Datenschutzinitiative NOYB und ihr Vorsitzender Maximilian Schrems, der schon die EuGH-Entscheidung zu den Vorgängerbeschlüssen initiiert hatte, bereits eine gerichtliche Überprüfung des neuen Angemessenheitsbeschlusses angekündigt haben, deutet derzeit eher auf eine Atempause als auf dauerhafte Rechtssicherheit hin.
Mit der Angemessenheitsentscheidung würden zugleich die Argumente für eine digitale Souveränität der US-Cloud-Dienste entfallen. Für mehr Rechtssicherheit hinsichtlich der digitalen Souveränität sollte man daher auf europäische Lösungen oder auf Angebote von US-Unternehmen mit vertraglich zugesicherten rein europäischen Datenverarbeitungslösungen zurückgreifen, die bestenfalls mit einer europäischen Tochtergesellschaft des jeweiligen Unternehmens vertraglich vereinbart werden. Sind diese Voraussetzungen erfüllt, lassen sich die vielfältigen Kriterien und Anforderungen an die digitale Souveränität von Cloud-Diensten auch als Chance für den Einsatz von Cloud-Diensten in Unternehmen und besonders in öffentlichen Einrichtungen wie Schulen oder Universitäten sehen, um nicht von der globalen Entwicklung und Vernetzung abgekoppelt zu werden.
Fazit und Handlungsempfehlungen
Der Begriff der „Souveränen Cloud“ ist (noch) unscharf, aber die Anforderungen und Erwartungen, die von vielen Seiten an die digitale Souveränität gestellt werden, sind bereits sehr hoch. Die von der DSK genannten Kriterien können einen wichtigen Beitrag zur Definition des Begriffs leisten und zur Bewertung und Gestaltung von Cloud-Diensten herangezogen werden. Es bleibt abzuwarten, ob nach dem Angemessenheitsbeschluss der EU-Kommission für die USA auch eine digitale Souveränität der Angebote von US-Anbietern in Betracht kommt. Bei aller Ungewissheit zeigt sich jedoch, dass das Thema gekommen ist, um zu bleiben. Unternehmen sollten sich daher sowohl bei eigenen als auch bei externen Produkten mit dem Konzept der digitalen Souveränität auseinandersetzen. Um Rechtsunsicherheiten im Fall eines erneuten Scheiterns des transatlantischen Datenschutzabkommens zu vermeiden, sollten sie auf europäische Angebote oder Dienstleister mit vertraglich zugesicherter Verarbeitung im EWR zurückgreifen.
Rechtsanwalt Stefan Hessel, LL.M. ist Salary Partner und Head of Digital Business bei reuschlaw in Saarbrücken (www. reuschlaw.de).
Prof. Dr. iur. Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht an der Fakultät für Elektrotechnik und Informatik der Hochschule Bremen (HSB), Legal Advisor im Competence Center Information Security und CERT des VDE, Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) sowie Mitglied im Advisory-Board von Nord VPN (https://denniskenjikipker.de/).
Rechtsanwalt Christoph Callewaert ist Associate bei reuschlaw in Saarbrücken (www.reuschlaw.de)
Literatur
[1] Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Kriterien für Souveräne Clouds, Stellungnahme, Mai 2023, www.datenschutzzentrum.de/uploads/dsk/2023-05-11_DSK-Positionspapier_Kritierien-Souv-Clouds.pdf
[2] Europäische Kommission, Adequacy decision for the EU-US Data Privacy Framework, Juli 2023, https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en
[3] Joseph R. Biden Jr., The White House, Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities, Oktober 2022, www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-unitedstates-signals-intelligence-activities/