Blog

Zurück zur Übersicht

US-Clouds ein NoGo?

   12.05.2021   Cloud, Datenschutz, Daten, DSGVO


Der Bayrische Datenschützer verbietet die Nutzung von Mailchimp. Der Europäische Gerichtshof urteilt, dass die USA kein angemessenes Schutzniveau bieten. Der eidgenössische Datenschützer bezeichnet die USA als «unsicheres Drittland». Microsoft will eine europäische «Datengrenze» einführen. US-Clouds bieten Services aus der Schweiz an. Darf man denn jetzt als Schweizer Unternehmen Personendaten in US-Clouds speichern oder darf man nicht?


Schweizer Recht vs. EU-Recht

Erste Frage: Nach welchem Recht müssen sich Schweizer Unternehmen richten? In der Schweiz leben zur Zeit ca. 1.4 Mio. EU-Bürger. Dazu kommen ca. 350'000 Grenzgänger aus der EU. Wir können also davon ausgehen, dass ca. 20% der Personendaten, die Schweizer Unternehmen bearbeiten, von EU-Bürgern stammen. Schweizer Unternehmen sind somit direkt vom Europäischen Datenschutzgesetz und insbesondere von der DSGVO betroffen und müssen nicht nur die Schweizer Gesetzgebung beachten.

Daten in den USA

Zweite Frage: Dürfen Personendaten in die USA exportiert werden? Rechtssicherheit besteht in der EU: Der Europäische Gerichtshof hat das mit dem Schrems-II-Urteil verneint. Deutsche Datenschützer verbieten entsprechend bereits die Nutzung von US SaaS-Angeboten wie Mailchimp, die Personendaten in den USA bearbeiten. In der Schweiz dagegen gibt es noch keine Rechtssicherheit, aber der Eidgenössische Datenschutzbeauftragte (EDÖB) empfiehlt eine «sorgfältige Risikoanalyse» und macht klar, dass der Datenexporteur für «eventuelle Konsequenzen» verantwortlich bleibt.

Daten in US-Clouds

Dritte Frage: Dürfen Personendaten in US-Clouds in der EU oder in der Schweiz gespeichert werden? Dazu gibt es erst recht noch keine Rechtssicherheit. Dank dem CLOUD Act macht es allerdings für US-Behörden keinen Unterschied, ob die Daten in den USA liegen oder in der EU oder in der Schweiz: wenn sie darauf zugreifen wollen, dann haben sie das (US-) Recht dazu und zwar ohne dass die Betroffenen Unternehmen und Personen informiert werden dürfen. Dies ist gemäss DSGVO Artikel 6 und 49 verboten.

Verschlüsselung

Vierte Frage: Ist Verschlüsselung die Lösung? Nicht wirklich, denn wenn die Daten in einer Cloud bearbeitet werden (data in use), müssen sie entschlüsselt sein. Das erlaubt dem Betreiber den Zugriff. Eine sichere Verschlüsselung ist nur möglich, wenn die Daten vor der Übermittlung in die Cloud verschlüsselt werden. Damit können die Daten aber in der Cloud nur gespeichert (data at rest) und nicht verarbeitet werden.

Fazit

Wer auf der sicheren Seite sein will, bearbeitet keine Personendaten in US-Clouds unabhängig davon, ob diese in den USA, in der EU oder in der Schweiz stehen. Allenfalls wäre ein hybrider Ansatz denkbar: Personendaten werden in der Schweiz gespeichert und für die Verarbeitung in der Cloud wird eine anonyme ID verwendet. Wer sich diesen Aufwand sparen will, der nutzt ausschliesslich Schweizer Anbieter.




0
5



Oliver Locher 12.05.2021 20:03 Uhr

Es ist korrekt, wenn man Daten verschlüsselt und dann Cloud Funktionen wie BI oder Enterprise Search nutzen möchte, dass man sie entschlüsseln muss, aber es gibt auch Alternativen zu Verschlüsselung wie Anonymisierung oder besser Tokenisierung, welche die gleichen Wort- oder Zahlenkombinationen mit Unique Tokens ersetzt und so in der Cloud speichert. Die Übersetzungtabellen werden auf einem Onprem System zB CASB gespeichert und für den User transparent entweder mit dem Token für die Cloud ersetzt oder wenn man auf die Daten in der Cloud zugreifft, werden die Tokens durch das Original ersetzt. Ist allerdings nur für strukturierte Daten ohne Blob Storage sinnvoll und nicht für Binaries..

Hinterlassen Sie einen Kommentar: