Categories: RechtRegulierung

EU-Datenschutzbeauftragter untersucht AWS- und Azure-Cloud

Der Europäische Datenschutzbeauftragte (EDSB), hat mit einer Untersuchung begonnen, ob die wichtigsten Institutionen und Behörden der EU die persönlichen Daten der Bürger bei der Nutzung der Cloud-Dienste AWS von Amazon und Azure von Microsoft effektiv schützen.

In einer separaten Untersuchung wird der EDSB auch untersuchen, ob die Nutzung von Microsoft Office 365 durch die Europäische Kommission mit den Datenschutzgesetzen konform ist.

Der EDSB kündigte die Einleitung beider Untersuchungen im Zusammenhang mit dem Schrems-II-Urteil an, das im letzten Sommer erging und neue Hindernisse für den Transfer von personenbezogenen Daten zwischen den USA – wo Amazon und Microsoft ihren Sitz haben – und der EU einführte.

In dem Urteil kam der EU-Gerichtshof zu dem Schluss, dass die nationalen Gesetze in den USA nicht mit den strengen Datenschutzanforderungen der EU-Datenschutzverordnung (GDPR/DSGVO) übereinstimmen. Das bedeutet, dass die personenbezogenen Daten von EU-Bürgern ohne zusätzliche Sicherheitsvorkehrungen nicht sicher über den Atlantik verarbeitet werden können.

Nach dem Gesetz Clarifying Lawful Overseas Use of Data Act (CLOUD) dürfen US-Behörden beispielsweise von nationalen Speicheranbietern verlangen, dass sie ihnen Zugang zu den auf ihren Servern gespeicherten Informationen gewähren, auch wenn sich diese Daten im Ausland befinden.

Ein in der EU ansässiges Unternehmen, das einen in den USA ansässigen Cloud-Anbieter wie AWS oder Azure nutzt, könnte daher feststellen, dass einige seiner Daten – beispielsweise personenbezogene Daten über Kunden oder Mitarbeiter – potenziell für US-Behörden zum Ausspähen zur Verfügung gestellt werden können.

Aus diesem Grund hat der Europäische Gerichtshof das sogenannte Privacy Shield, das den freien Verkehr personenbezogener Daten zwischen der EU und den USA ermöglichen sollte, für ungültig erklärt und entschieden, dass Unternehmen stattdessen für jeden Datentransfer neue datenschutzfreundliche Verträge, sogenannte Standardvertragsklauseln (SCCs), abschließen müssen.

In einigen Fällen, in denen selbst die SCCs unzureichend sind, kann der Datenaustausch ausgesetzt werden. Der EDSB hat die Auswirkungen von Schrems II auf einige der Verträge, die europäische Ämter und Agenturen mit Technologieunternehmen in den USA verbinden, genau beobachtet.

„Wir haben bestimmte Arten von Verträgen identifiziert, die besondere Aufmerksamkeit erfordern, und deshalb haben wir beschlossen, diese beiden Untersuchungen einzuleiten“, sagte Wojciech Wiewiórowski, der Europäische Datenschutzbeauftragte.

„Wir erkennen an, dass EUIs (Institutionen der Europäischen Union) – wie andere Einrichtungen in der EU/EWR – von einer begrenzten Anzahl großer Anbieter abhängig sind. Mit diesen Untersuchungen möchte der EDSB den EUIs helfen, ihre Datenschutz-Compliance zu verbessern, wenn sie Verträge mit ihren Dienstleistern aushandeln.“

Insbesondere wird der Datenschutzbeauftragte die sogenannten „Cloud II“-Verträge untersuchen, die zwischen der EU und Microsoft oder Amazon für die Nutzung ihrer Cloud-Dienste vereinbart wurden.

Wenn EU-Institutionen Azure und AWS nutzen, können personenbezogene Daten von Personen außerhalb der EU und in die USA gesendet werden, und wenn keine angemessenen GDPR-konformen Maßnahmen zum Schutz des Datentransfers getroffen werden, besteht das Risiko einer Überwachung durch die Behörden.

Auf die Gefahren für die Privatsphäre, die durch die Abhängigkeit von Cloud-Diensten ausländischer IKT-Anbieter entstehen, weist der EDSB schon lange hin: Bereits 2018 veröffentlichte der Datenschutzbeauftragte Leitlinien für EU-Institutionen, die die Verantwortung der EU-Institutionen bei der Gewährleistung des Schutzes personenbezogener Daten in Cloud-Infrastrukturen hervorheben.

Die Botschaft ist nicht ungehört geblieben. Kürzlich bestätigte der Europäische Datenschutzausschuss die Verwendung eines neuen „EU Cloud Code of Conduct“, der als Standard fungiert, dass ein bestimmter Cloud-Dienstanbieter GDPR-konform ist. Unter anderem haben Microsoft Azure und Google Cloud bereits erklärt, sich an den Verhaltenskodex zu halten.

Jakob Jung

Recent Posts

Social-Engineering im Finanzsektor: Der menschliche Faktor als schwächstes Glied

Social-Engineering-Vorfälle werden in der Regel zu spät aufgedeckt. Abhilfe schaffen Lösungen, die die Betrugsversuche mithilfe…

2 Tagen ago

Deepfakes: Täuschungsechte Bedrohung für Privatpersonen und Unternehmen

Wie es Betrügern gelingt, mit Deepfakes und Vishing Unternehmen hereinzulegen, schildert Jelle Wieringa, Security Awareness…

2 Tagen ago

Ein Kabel das Daten klaut?

Wenn das USB-Kabel mal wieder nicht aufzufinden ist, ist das Problem meist schnell gelöst. So…

4 Tagen ago

Mix an Software-Geschäftsmodellen wächst

Software-Anbieter setzen zunehmend auf Abos. Die Akzeptanz der Kunden für die neuen Geschäftsmodelle ist aber…

4 Tagen ago

Nutanix kooperiert mit Citrix

Nutanix und Citrix Systems, Inc. kündigen eine strategische Partnerschaft an für die hyperkonvergente Infrastruktur (HCI)…

4 Tagen ago

So richten Sie Richtlinien für Active Directory Passwörter ein

Administratoren wissen, dass schwache Passwörter ein Risiko darstellen. Mit der richtigen Policy für Active Directory…

4 Tagen ago