Datenschutz ohne Privacy Shield: Was nun?
Nachdem der Europäische Gerichtshof das Privacy Shield-Abkommen zwischen der EU und den USA kassiert hat, sind Unternehmen verunsichert: Kommen Amazon, Microsoft, Google & Co. als Geschäftspartner damit überhaupt noch in Frage? Ja – vorausgesetzt, die Anwenderunternehmen berücksichtigen einige wichtige Punkte. Was gilt es zu beachten?
Ende nach vier Jahren: Das Privacy Shield-Abkommen ist Geschichte, der Europäische Gerichtshof (EuGH) hat die Datenschutzvereinbarung zwischen den USA und der EU im Juli 2020 für ungültig erklärt. Sie hatte seit Juli 2016 den Schutz personenbezogener Daten geregelt, die aus einem EU-Mitgliedsstaat in die USA übertragen werden. Das Privacy Shield-Abkommen war seinerseits notwendig geworden, weil der EuGH im Oktober 2015 die bis dahin angewendete Safe Harbor-Entscheidung der EU-Kommission für ungültig erklärt hatte.
Dieses juristische Scharmützel auf höchster Ebene hat für Unternehmen erhebliche Auswirkungen: Einerseits müssen sie die europäischen Datenschutzgesetze befolgen, in Deutschland vor allem die DSGVO (Datenschutz-Grundverordnung). Andererseits steht plötzlich für den Datenaustausch mit den USA als wichtigstem Drittland kein eindeutiger Rechtsrahmen mehr zur Verfügung. Unternehmen, die sich bislang darauf verlassen haben, mit Privacy Shield-konformen Dienstleistern auf der sicheren Seite zu sein, fragen sich nun: Was tun?
Wettbewerbsfaktor Datenschutz
In den Mittelpunkt gerückt sind nun vor allem die sogenannten EU-Standardvertragsklauseln. Diese hat die EU für Vertragsbeziehungen mit Dienstleistern „ohne angemessenes Schutzniveau“ formuliert. Sie stellen das Mindestmaß dar, das Provider aus Drittländern erfüllen müssen. Dementsprechend sind sie zum Beispiel bei Microsoft Teil des „Datenschutznachtrag“ (DSN) für Professional Services. Mit diesem DSN sichert das Unternehmen zu, dass es die EU-Standards nicht nur in Europa, sondern weltweit einhält – also vor allem die EU-Standardvertragsklauseln und den Auftragsverarbeitungsvertrag.
Microsoft hat hier bewusst eine Vorreiterrolle übernommen, um sich durch ein garantiert hohes Datenschutzniveau gegenüber Mitbewerbern Wettbewerbsvorteile zu verschaffen. Das Motto lautet sinngemäß: Wir schaffen bereits Standards, während andere in Sachen Datenschutz noch einen langen Weg zurücklegen müssen. Teil dieser Strategie ist es auch, dass das Unternehmen mittlerweile die Daten eines Großteils der Microsoft 365-Dienste ausschließlich in Deutschland oder zumindest in der EU (Irland und Niederlande) verarbeitet. Beim Anlegen von Nutzerkonten lässt sich über die Geolocation-Funktion die jeweilige Datenverarbeitungsregion sogar eigenhändig einstellen. Allerdings müssen Anwender dabei jeden Microsoft-Dienst einzeln betrachten, denn einzelne Funktionen und Dienste kommen ohne den Datenumweg über die USA auch heute noch nicht aus.
Manuell zu mehr Datenschutz
Wer auf Nummer sicher gehen will, kann seine Daten auch komplett verschlüsseln. Die dafür nötigen Technologien und Funktionen stellen die großen Dienstleister zumeist standardmäßig zur Verfügung. Doch lassen sie sich diesen Service auch teuer bezahlen, sodass die meisten Kunden diesen Weg gar nicht oder nur für besonders sensible Daten gehen.
Unternehmen haben zudem Zugriff auf weitere Tools, die es ihnen ermöglichen, die einzelnen Umsetzungsschritte zur Einhaltung der DSGVO-Anforderungen im Blick zu behalten. So gehört etwa zum Administrationsportal von Microsoft 365 ein „DSGVO Compliance Manager“. Dort sind Funktionen hinterlegt, die die Software in ihrem Standard zwar nicht umsetzt, die Kunden aber eigenhändig realisieren können. Die Voraussetzung: Unternehmen können zwischen den verschiedenen Datenkategorien bewusst unterscheiden (siehe Infokasten 1) und dafür individuelle Regeln aufstellen (siehe Infokasten 2).
Begehrte Hilfe für den Mittelstand
Doch welche Regeln und Einstellungen sind für welches Unternehmen überhaupt sinnvoll? Was hat sich in der Praxis bewährt und was nicht? Gerade mittelständische Unternehmen verfügen nicht über die notwendigen Ressourcen, um solche Fragen fundiert und ohne größeren Aufwand zu beantworten. Deshalb steigt die Nachfrage nach anbieterunabhängigen Beratern, die die erfolgskritischen Punkte bereits aus anderen Projekten kennen. Vor allem ist es wichtig, externes Know-how schon frühzeitig einzubeziehen – nicht nur zwischen Hersteller und Kunden, sondern auch unternehmensintern – auch, weil die Berater bei Bedarf als Mediatoren helfen können.
Knirschen könnte es zum Beispiel zwischen IT-Abteilung und Betriebsrat beim Blick auf die Diagnosedaten. Diese möchten Betriebsräte in der Regel gerne blockieren, weil sie zwar größtenteils technische Daten aber durchaus auch sensible Mitarbeiterdaten enthalten können. In diesem Fall können externe Berater darlegen, wie sich Funktionsdaten mithilfe von Werkzeugen einfach untergliedern lassen: in Daten, die für die Funktionalität der Dienste wichtig sind. Und in Daten, die problemlos geblockt werden können. Auch hier gilt: Solche Einstellungen müssen Unternehmen manuell vornehmen, denn sie sind per Standardeinstellung nicht aktiviert.
Der nächste Richterspruch kommt bestimmt
Angesichts all dieser Einzelmaßnahmen sorgen externe Datenschutzspezialisten vor allem auch dafür, dass ein Unternehmen den Überblick auch jenseits technischer Maßnahmen nicht verliert. Dazu gehören Themen, die mit der Geschäftsführung, dem Betriebsrat, mit Juristen oder Datenschutzbeauftragten abgeklärt werden sollten. Auch Gespräche zwischen Kunde und Hersteller können Dritte oft leichter ermöglichen als der Kunde selbst. Als langjähriger Gold-Partner von Microsoft kann etwa q.beyond Türen öffnen, die Kunden oft verschlossen bleiben. Auch beim Aufbau einer Cloud-Policy können Berater von q.beyond Templates liefern und zusammen mit dem Kunden technische, prozessuale und organisatorische Leitlinien definieren. Und bei der konkreten Umsetzung der DSGVO unterstützt q.beyond mit einem mehrstufigen Leistungsportfolio – inklusive Workshops, Readiness Check, Implementierung und Postimplementation Check. Danach beginnt der Zyklus in Teilen wieder von vorne. Denn die nächste höchstrichterliche Entscheidung, neue Handelsgesetze oder einfach auch nur eine neue Microsoft 365-Version kommen bestimmt.
Weitere Beiträge rund um die Cloud:
- Podcast zum Thema Privacy Shield: Auch bei unserer Tochter INCLOUD wird das Thema genau beobachtet. INCLOUD CTO Manuel Reinfurt gibt seine Einsichten dazu in einem Podcast verarbeitet.
- So gelingt der Spagat zwischen traditioneller IT und Cloud
- Niemandem Vertrauen? Zero Trust verbessert die IT-Sicherheit
- Umzug in die Cloud – aber wann und wie?