Mit dem Cloud Act von 2018 haben sich US-Behörden den Zugriff auf Unternehmensdaten gesichert, auch wenn diese auf Servern im Ausland gespeichert sind. Dies betrifft weltweit alle Unternehmen, die zumindest eine Niederlassung in den USA haben. Mit der Datenschutzgrundverordnung (DSGVO), die ebenfalls seit 2018 in Kraft ist, steht dem auf EU-Ebene eine andere Rechtsauffassung von Datenschutz und Datensicherheit entgegen. Für europäische Unternehmen, die nach einer passenden Lösung für digitale Signaturen suchen, hat das weitreichende Konsequenzen. Führt ein Cloud-Anbieter eine Niederlassung in den USA, kann gemäß des Cloud Acts sowohl auf Verkehrsdaten als auch auf personenbezogene Daten seiner Kunden zugegriffen werden. Die Lösung: Ein rein europäischer Anbieter.
Der 17. Juli 2020 dürfte in die Datenschutzgeschichte eingehen. An diesem Tag entschied der Europäische Gerichtshof (EuGH), dass der EU-US Privacy Shield kein angemessenes Datenschutzniveau in Hinsicht auf die DSGVO darstellt. In dem Abkommen waren Datenschutz und Datensicherheit bei der Übermittlung von personenbezogenen Daten geregelt. Das Gericht widersprach in seinem Urteil den gesetzgebenden Organen der EU, die dafür noch 2016 grünes Licht gegeben hatten: Man war damals der Auffassung, dass die USA auch nach EU-Maßstäben ein durchaus gleichwertiges Datenschutzniveau besäßen. Mit dem Urteil des EuGH war dieser Angemessenheitsbeschluss nun auch Geschichte.
Schuld war unter anderem der etwas strengere richterliche Blick auf den Clarifying Lawful Overseas Use of Data Act (Cloud Act). Geschaffen worden war der Cloud Act, um zum Zweck der Kriminalitätsbekämpfung auf Daten von US-Firmen in der ganzen Welt zugreifen zu können, statt nur auf die in den USA gespeicherten Daten. Der Cloud Act umfasst somit, so die Auffassung des europäischen Höchstgerichts, auch die Abfrage von personenbezogenen Daten und Unternehmensdaten. Eine Niederlassung in den USA reichen dafür schon aus.
Schuld war unter anderem der etwas strengere richterliche Blick auf den Clarifying Lawful Overseas Use of Data Act (Cloud Act). Geschaffen worden war der Cloud Act, um zum Zweck der Kriminalitätsbekämpfung auf Daten von US-Firmen in der ganzen Welt zugreifen zu können, statt nur auf die in den USA gespeicherten Daten. Der Cloud Act umfasst somit, so die Auffassung des europäischen Höchstgerichts, auch die Abfrage von personenbezogenen Daten und Unternehmensdaten. Eine Niederlassung in den USA reichen dafür schon aus.
Keine personenbezogenen Daten in die USA
Das Urteil „Schrems II“, benannt nach dem österreichischen Datenschutzaktivisten Max Schrems, sieht darin einen ernsthaften Verstoß gegen die DSGVO. In der Folge von Schrems‘ Dauerfehde mit Facebook, wird der Übermittlung von personenbezogenen Daten in die USA damit nun ein ziemlicher Klotz in den Weg gelegt. Ein gültiger Angemessenheitsbeschluss nach Art. 45 DSGVO wird für die Übermittlung personenbezogener Daten in Richtung USA durch Schrems II nun ausgeschlossen. Im Unterschied dazu gilt die Übermittlung dieser Daten innerhalb des Europäischen Wirtschaftsraums als DSGVO-konform.
„Grundsätzlich müssen Unternehmen bei jeder Übermittlung von personenbezogenen Daten ihren rechtlichen Verpflichtungen zum Schutz dieser Daten nachkommen. Kompliziert wird es nach Schrems II immer dann, wenn sich Unternehmen für einen US-basierten Anbieter von Cloud-Anwendungen entscheiden“, sagt Hannes Harlander, Datenschutzmanager von XiTrust. „Hier besteht das reale Risiko, dass Daten auf Anfrage von US-Behörden aus Cloud-Anwendungen herausgegeben werden sogar ohne, dass die Endnutzer verpflichtend darüber informiert werden.“ Im Worst-Case-Szenario kann dies bedeuten, dass die Datenschutzbehörde (DSB) die Verpflichtungen des Verantwortlichen nach der DSGVO verletzt sieht, und dann wird es ungemütlich. Denn es drohen drakonische Strafen. Haftungssummen von 20 Millionen Euro oder sogar bis zu 4 % des weltweiten Jahresumsatzes stehen im Raum.
„Grundsätzlich müssen Unternehmen bei jeder Übermittlung von personenbezogenen Daten ihren rechtlichen Verpflichtungen zum Schutz dieser Daten nachkommen. Kompliziert wird es nach Schrems II immer dann, wenn sich Unternehmen für einen US-basierten Anbieter von Cloud-Anwendungen entscheiden“, sagt Hannes Harlander, Datenschutzmanager von XiTrust. „Hier besteht das reale Risiko, dass Daten auf Anfrage von US-Behörden aus Cloud-Anwendungen herausgegeben werden sogar ohne, dass die Endnutzer verpflichtend darüber informiert werden.“ Im Worst-Case-Szenario kann dies bedeuten, dass die Datenschutzbehörde (DSB) die Verpflichtungen des Verantwortlichen nach der DSGVO verletzt sieht, und dann wird es ungemütlich. Denn es drohen drakonische Strafen. Haftungssummen von 20 Millionen Euro oder sogar bis zu 4 % des weltweiten Jahresumsatzes stehen im Raum.
Entdecken Sie MOXIS für Ihr Unternehmen.
Lernen Sie die führende E-Signatur-Plattform kennen – nutzen Sie die Vorteile der rechtssicheren digitalen Unterschrift, sparen Sie Zeit und Kosten ein.
Nachweispflicht für Unternehmen
Um Missverständnissen über die Ernsthaftigkeit von Datenschutz und Datensicherheit gemäß der DSGVO vorzubeugen, hat die britische Datenschutzaufsicht Information Commissioner’s Office (ICO) schon 2019 die Hotelkette Marriott wegen Verstoßes gegen die DSGVO ein Bußgeld von unglaublichen 110 Millionen Euro angedroht: Das Unternehmen wurde für ein Leck verantwortlich gemacht, dass die Daten von Millionen Kunden desavouierte.
„Wenn europäische Unternehmen personenbezogene Daten in der Cloud verarbeiten, müssen sie als Verantwortliche gegenüber der DSB den Nachweis führen, dass sie das in der Europäischen Union geforderte Datenschutzniveau einhalten“, erklärt Hannes Harlander. „Das inkludiert naturgemäß auch Software für die Erstellung digitaler Unterschriften.“ Die Standardvertragsklauseln zwischen US-Anbieter und verantwortlichem (europäischen) Kunden reichen in der Regel nach dem Schrems-II-Urteil nicht mehr aus: Wie auch die eingesetzte US-Software gelten diese Vereinbarungen regelmäßig nicht als DSGVO-konform. Harlander: „Nach gegenwärtiger Gesetzeslage ist es die (rechts)sicherste Lösung, sich für Cloud-Anbieter mit zugehörigen Rechenzentren ausschließlich aus der Europäischen Union zu entscheiden – oder alternativ eine DSGVO-konforme europäische On-Premises-Softwarelösung im eigenen Rechenzentrum!“
„Wenn europäische Unternehmen personenbezogene Daten in der Cloud verarbeiten, müssen sie als Verantwortliche gegenüber der DSB den Nachweis führen, dass sie das in der Europäischen Union geforderte Datenschutzniveau einhalten“, erklärt Hannes Harlander. „Das inkludiert naturgemäß auch Software für die Erstellung digitaler Unterschriften.“ Die Standardvertragsklauseln zwischen US-Anbieter und verantwortlichem (europäischen) Kunden reichen in der Regel nach dem Schrems-II-Urteil nicht mehr aus: Wie auch die eingesetzte US-Software gelten diese Vereinbarungen regelmäßig nicht als DSGVO-konform. Harlander: „Nach gegenwärtiger Gesetzeslage ist es die (rechts)sicherste Lösung, sich für Cloud-Anbieter mit zugehörigen Rechenzentren ausschließlich aus der Europäischen Union zu entscheiden – oder alternativ eine DSGVO-konforme europäische On-Premises-Softwarelösung im eigenen Rechenzentrum!“
Geringstmögliche Datenmenge
Die Verarbeitungsvorgänge personenbezogener Daten von MOXIS in der Cloud erfüllen die Anforderungen der DSGVO in mehrfacher Hinsicht: Bei der elektronischen Unterschriftenmappe sind zunächst die Prinzipien Privacy by Design und Privacy bei Default im Sinne der DSGVO im Gegensatz zu vergleichbarer US-Software immer gewahrt (siehe Box). Beide Anforderungen sind keine „Nice-to-haves“, sondern gemäß Art. 25 der DSGVO Grundvoraussetzung für Datenschutz und Datensicherheit im europäischen Wirtschafts- und Rechtsraum.
Konkret bedeutet dies, dass die Menge der in MOXIS verarbeiteten Daten gemäß DSGVO so gering wie möglich ist. Personenbezogene Daten werden verteilt verarbeitet und getrennt gespeichert – gehostet ausschließlich über zertifizierte europäische Rechenzentren. Das bedeutet auch, dass Unternehmen, die mit MOXIS arbeiten, die volle Kontrolle über die Verarbeitung ihrer personenbezogenen Daten besitzen. MOXIS-Nutzer sind jederzeit in der Lage, die Einhaltung ihrer datenschutzrechtlichen Verpflichtungen und aller damit zusammenhängender gesetzlicher Bestimmungen gegenüber der DSB nachzuweisen.
Konkret bedeutet dies, dass die Menge der in MOXIS verarbeiteten Daten gemäß DSGVO so gering wie möglich ist. Personenbezogene Daten werden verteilt verarbeitet und getrennt gespeichert – gehostet ausschließlich über zertifizierte europäische Rechenzentren. Das bedeutet auch, dass Unternehmen, die mit MOXIS arbeiten, die volle Kontrolle über die Verarbeitung ihrer personenbezogenen Daten besitzen. MOXIS-Nutzer sind jederzeit in der Lage, die Einhaltung ihrer datenschutzrechtlichen Verpflichtungen und aller damit zusammenhängender gesetzlicher Bestimmungen gegenüber der DSB nachzuweisen.
Privacy by Design & Privacy by Default: MOXIS ist zu 100 % DSGVO-konform!
Privacy by Design: Datenschutz durch Technikgestaltung
- Die Anforderungen des Datenschutzes und des Schutzes der Privatsphäre bei der Gestaltung von Verarbeitungstätigkeiten und datenverarbeitenden Systemen sind bei MOXIS erfüllt.
- Planung, Architekturgestaltung, Entwurf, Implementierung und den Einsatz von datenverarbeitenden Systemen werden in MOXIS mit möglichst geringem Eingriff in personenbezogene Daten effektiv gestaltet.
- Verantwortliche europäische Unternehmen dürfen nur Produkte beziehen, die den Privacy-by-Design-Voraussetzungen entsprechen: Nur so können Verantwortliche gegenüber den Datenschutzbehörden gewährleisten, dass ihre personenbezogenen Daten DSGVO-konform verarbeitet werden.
Privacy by Default: Datenschutzfreundliche Voreinstellung
- Alle Systeme und Voreinstellungen sind in MOXIS so angelegt, dass nur solche personenbezogenen Daten verarbeitet werden, wie für den jeweiligen Zweck erforderlich sind.