Public Cloud: Neues Rechtsgutachten zeigt Ausweg aus Cloud-Dilemma

Am 16. Juli 2020 hat der Europäische Gerichtshof das Datenschutzabkommen Privacy Shield für ungültig erklärt. Die Entscheidung verdeutlicht, dass Daten bei US-Providern weder in den USA noch in Europa vor Zugriffen von US-Behörden sicher sind. In einem neuen Rechtsgutachten erläutert Prof. Dr. Heckmann, Inhaber des Lehrstuhls für Recht und Sicherheit der Digitalisierung an der Technischen Universität München, woraus die allgemeinen Grundsätze der Datenübermittlung in Drittländer bestehen und was die bisherigen Rechtsgrundlagen für den Datentransfer in die USA bis zum Schrems-II-Urteil waren. Außerdem wurde untersucht, ob die Lösung R&S Trusted Gate einen datenschutzkonformen Ausweg aus dem Dilemma der Public Cloud für Unternehmen und Behörden bietet.

Public Cloud: Verunsicherung durch Schrems-II-Urteil

In zunehmend digitalisierten, vernetzten und automatisierten Arbeitsumgebungen spielt Cloud Computing eine zentrale Rolle. Unternehmen und Behörden nutzen für ihren Bedarf an Cloud Computing überwiegend Anwendungen, Dienste und Services von US-amerikanischen Anbietern wie Microsoft, Google oder Amazon, da diese mit hoher Funktionalität und Skalierbarkeit überzeugen. Das Schrems-II-Urteil verunsichert viele Nutzer, inwiefern der Einsatz solcher Cloud-Dienste datenschutzrechtlich überhaupt noch möglich ist.

Nach Auffassung des Europäischen Datenschutzausschusses (EDSA) besteht im Cloud Computing derzeit kein zulässiger Weg für die Datenübermittlung in die USA. Der EDSA schließt aber nicht aus, „dass durch künftige technische Entwicklungen Maßnahmen möglich werden könnten, welche die beabsichtigten Geschäftszwecke erfüllen, ohne dass Zugang zu den unverschlüsselten Daten benötigt würde“.

Sicherer Datenaustausch durch Mehrebenensystem

Gemäß dem Rechtsgutachten bietet die Cloud-Sicherheitslösung R&S Trusted Gate eine solche technische Innovation. Die Besonderheit dieser Lösung liegt in der sicheren Gestaltung eines Mehrebenensystems. Danach werden die (personenbezogenen) Inhalte der Verschlüsselungsebene von den Diensten in der Public Cloud auf der Geschäftsebene getrennt. Auf diese Weise können Anwender die Vorteile der externen Cloud-Dienste nutzen, ohne dass der Provider personenbezogene Daten in ein „unsicheres Drittland“ übermittelt. Die Unternehmen und Behörden behalten die Datenherrschaft und erfüllen die Anforderungen der EU-DSGVO.

R&S Trusted Gate lässt sich nahtlos in Storage-Systeme gängiger Public Clouds wie Microsoft Azure, Google, AWS und Collaboration-Tools wie Microsoft 365 oder SharePoint einbinden und gesetzliche Vorgaben sowie Compliance-Regeln können auch in globalen Cloud-Umgebungen problemlos umgesetzt werden. Dabei läuft die Lösung transparent in bestehenden Anwendungen, sodass Arbeitsabläufe unverändert bleiben. Eine spezielle Suchfunktion ermöglicht eine sichere Volltextsuche selbst in verschlüsselten Dokumenten. Zudem laufen wichtige Funktionen wie die Versionierung von Dokumenten weiterhin ohne Einschränkungen.

Über den Autor: Prof. Dr. Dirk Heckmann ist Inhaber des Lehrstuhls für Recht und Sicherheit der Digitalisierung an der Technischen Universität München. Mit seinem Rechtsgutachten „Datenschutzkonforme Nutzung von Cloud-Lösungen aus unsicheren Drittländern durch Trennung von Service und Inhalten“ werden wichtige Fragen zur datenschutzkonformen Nutzung von Cloud-Lösungen wie Microsoft 365 oder Microsoft Teams geklärt und zudem ein Ausweg aus dem „Cloud-Dilemma“ aufgezeigt, dass sich nach dem Schrems-II-Urteil des Europäischen Gerichtshofes beim Thema Datenschutz ergeben hat. (sg)

Lesen Sie auch: Privacy Shield: Trotz Scheitern datenschutzkonform in der Cloud arbeiten