Europäischer Datenschutz und digitale Souveränität müssen jetzt Hand in Hand gehen

Der EU Cloud Code of Conduct (CoC) definiert klare Anforderungen an Cloud Service Provider (CSP) für die Verarbeitung von Kundendaten im Einklang mit der Datenschutz-Grundverordnung (DSGVO). Er ist der bis heute einzige umfassende, von der EU-Kommission selbst initiierte, Verhaltenskodex für die technische und organisatorische Umsetzung höchster Datenschutzstandards in Europa. Die aktuelle Version des Codes wird gerade vom European Data Protection Board (EDPB), dem Zusammenschluss der nationalen Datenschutzbehörden, auf europaweite Anerkennung geprüft.

Parallel ist der Code aber de facto binnen nur weniger Jahre zu einer echten „Brand“ geworden, die von der europäischen Cloud-Industrie auf breiter Basis angenommen wurde.

Auch Fabasoft sieht im EU Cloud CoC die derzeit stärkste Selbstverpflichtung für europäische CSP, ihre Cloud-Dienste in voller Übereinstimmung mit den Bestimmungen der DSGVO anzubieten. Die Anwendung des Codes hatte für uns immer relevante Auswirkungen im Hinblick auf den Aufbau von Kundenvertrauen und damit für unsere Marktpräsenz. Der transparente Qualitätsausweis der Anwendung robuster Datenschutz- und Security-Policies auf Basis des EU Cloud CoC und unser jährliches Re-Audit geben unseren Kunden die absolute Sicherheit, dass die Verarbeitung ihrer ausgelagerten Daten DSGVO-konform erfolgt.

Drittstaaten-Datentransfers nicht auf europäischem Schutzniveau

Während in der Europäischen Union die Cloud-Industrie immer stärker zusammenrückte und mit der Code-Anwendung als eine Art Gütesiegel ihr europäisches Verständnis zum Schutz persönlicher Daten und zu weitreichender Cybersecurity zum Ausdruck bringt, ist dieser hohe Schutz von Kundendaten bei Datentransfers in Drittstaaten nicht gewährleistet.

Das Urteil des EuGH vom 16. Juli 2020 in der Causa „Schrems II“, mit der das Datentransferabkommen „Privacy Shield“ zwischen der EU und den USA wegen mangelnder Einhaltung eines dem europäischen Datenschutz äquivalenten Schutzniveaus aufgehoben worden war, bestätigte nur die europäischen Zweifel.

Solange die USA die Ausführungen des US Foreign Intelligence Surveillance Acts (FISA), Section 702, nicht umsetzen, mit denen Internet-Riesen wie Facebook und Google gezwungen werden, dem Security-Komplex Möglichkeiten zur Überwachung ausländischer Dateninhaber einzuräumen, wird ein angemessenes europäisches Datenschutzniveau in den Vereinigten Staaten nicht realisierbar sein. Auch EU-Kommissar Didier Reynders ist skeptisch, ob sich nachhaltige Datentransferregeln kurzfristig, ohne echte Reform der U.S.-Überwachungspraxis aufstellen lassen.

Viele mittelständische europäische Unternehmen, vor allem aus dem Cloud-, Social Media- und Plattformen-Sektor, die bisher bei Datentransfers auf die Bestimmungen des Privacy Shields vertrauten, stehen jetzt vor großen Problemen. Alternativpraktiken wie „Standard Contractual Clauses“ (SCC), „Binding Corporate Rules“ oder die Einholung der Zustimmung des Dateninhabers zur Übertragung personenbezogener Daten sind für KMUs rechtlich komplex und zusätzliche Schutzmaßnahmen (Verschlüsselung, Datenanonymisierung) verlangen ihnen ein hohes Maß an Eigenverantwortung ab.

Die europäischen Datenschutzbehörden hingegen wurden durch das EuGH-Urteil gestärkt und müssen künftig Verletzungen bei SCCs ahnden, bis hin zum Unterbinden des Datentransfers.

Der Vorstoß der EU Cloud CoC, ein Zusatzmodul für Drittstaaten-Datentransfers zu entwickeln, muss im Lichte der kurzfristig schwierigen bis unlösbaren Situation als ein erster Anlauf begrüßt werden. Europa darf sich aber bei der Ausgestaltung zukunftsfähiger Regeln für die Übertragung europäischer Daten in die USA bzw. andere Drittländer nicht durch Fragmentierungen selbst bremsen, sondern muss jetzt auf jede nur verfügbare Expertise wie jene des Councils of Europe (Herausgeber der Convention 108+ „Protection of Individuals with regard to Automatic Processing of Personal Data“ samt Zusatzprotokoll, auf die in der Präambel der DSGVO, 105, referenziert wird) zurückgreifen.

Umsetzung „Digitaler Souveränität“ könnte der große Verbündete werden

Vor dem Hintergrund einer weitreichenden Technologieabhängigkeit Europas bei industriellen IT-Anwendungen ist in den letzten Monaten das Thema der „Digitalen Souveränität“ in den Brennpunkt der öffentlichen Diskussion gerückt. Diese gipfelte vielfach in der Frage, ob man den chinesischen Konzern Huawei für die Bereitstellung von Kernkomponenten beim Ausbau der zukünftigen 5G-Netze heranziehen oder aus Sicherheitsgründen davon Abstand nehmen soll.

In diesem Zusammenhang bekommt die französisch-deutsche Infrastruktur-Initiative „Gaia-X“ mehr Gewicht. Die Ziele einer größeren Daten-Souveränität, besserer IT-Security, von Datenportabilität und Datenschutz auf Basis europäischer Infrastrukturen und damit europäischer Locations für europäische Cloud-Datenhaltung, passen zu den Bestrebungen des EU Cloud CoC, Informationssicherheit und den Schutz persönlicher Daten über transparente Qualitätsbeweise zu garantieren.

Dieses europäische Mindset für Infrastruktur und Dienste muss aber trotzdem immer nach einer feinen Balance von IT-Sicherheit und freiem Fluss von Daten bzw. von Interoperabilität trachten. Das wird wohl nur mit einer demokratischen Aufsicht über Intelligence Services und der Vermeidung von stumpfem Protektionismus von allen Seiten einzulösen sein.