US-Clouds ein NoGo?
Der Bayrische Datenschützer verbietet die Nutzung von Mailchimp. Der Europäische Gerichtshof urteilt, dass die USA kein angemessenes Schutzniveau bieten. Der eidgenössische Datenschützer bezeichnet die USA als «unsicheres Drittland». Microsoft will eine europäische «Datengrenze» einführen. US-Clouds bieten Services aus der Schweiz an. Darf man denn jetzt als Schweizer Unternehmen Personendaten in US-Clouds speichern oder darf man nicht?
Schweizer Recht vs. EU-Recht
Erste Frage: Nach welchem Recht müssen sich Schweizer Unternehmen richten? In der Schweiz leben zur Zeit ca. 1.4 Mio. EU-Bürger. Dazu kommen ca. 350'000 Grenzgänger aus der EU. Wir können also davon ausgehen, dass ca. 20% der Personendaten, die Schweizer Unternehmen bearbeiten, von EU-Bürgern stammen. Schweizer Unternehmen sind somit direkt vom Europäischen Datenschutzgesetz und insbesondere von der DSGVO betroffen und müssen nicht nur die Schweizer Gesetzgebung beachten.
Daten in den USA
Zweite Frage: Dürfen Personendaten in die USA exportiert werden? Rechtssicherheit besteht in der EU: Der Europäische Gerichtshof hat das mit dem Schrems-II-Urteil verneint. Deutsche Datenschützer verbieten entsprechend bereits die Nutzung von US SaaS-Angeboten wie Mailchimp, die Personendaten in den USA bearbeiten. In der Schweiz dagegen gibt es noch keine Rechtssicherheit, aber der Eidgenössische Datenschutzbeauftragte (EDÖB) empfiehlt eine «sorgfältige Risikoanalyse» und macht klar, dass der Datenexporteur für «eventuelle Konsequenzen» verantwortlich bleibt.
Daten in US-Clouds
Dritte Frage: Dürfen Personendaten in US-Clouds in der EU oder in der Schweiz gespeichert werden? Dazu gibt es erst recht noch keine Rechtssicherheit. Dank dem CLOUD Act macht es allerdings für US-Behörden keinen Unterschied, ob die Daten in den USA liegen oder in der EU oder in der Schweiz: wenn sie darauf zugreifen wollen, dann haben sie das (US-) Recht dazu und zwar ohne dass die Betroffenen Unternehmen und Personen informiert werden dürfen. Dies ist gemäss DSGVO Artikel 6 und 49 verboten.
Verschlüsselung
Vierte Frage: Ist Verschlüsselung die Lösung? Nicht wirklich, denn wenn die Daten in einer Cloud bearbeitet werden (data in use), müssen sie entschlüsselt sein. Das erlaubt dem Betreiber den Zugriff. Eine sichere Verschlüsselung ist nur möglich, wenn die Daten vor der Übermittlung in die Cloud verschlüsselt werden. Damit können die Daten aber in der Cloud nur gespeichert (data at rest) und nicht verarbeitet werden.
Fazit
Wer auf der sicheren Seite sein will, bearbeitet keine Personendaten in US-Clouds unabhängig davon, ob diese in den USA, in der EU oder in der Schweiz stehen. Allenfalls wäre ein hybrider Ansatz denkbar: Personendaten werden in der Schweiz gespeichert und für die Verarbeitung in der Cloud wird eine anonyme ID verwendet. Wer sich diesen Aufwand sparen will, der nutzt ausschliesslich Schweizer Anbieter.
- Tipps zur DSGVO für Schweizer Unternehmen (EDÖB, 27.05.2020)
- Datenschutz "Online Check" (ECNOMIESUISSE)
- Praktische Auswirkungen der Rechtsprechung des EuGH
- Answering Europe’s Call: Storing and Processing EU Data in the EU (Microsoft-Blog)
- Edöb rät Mailchimp-Kunden zu einer Risikoanalyse
- Microsoft kündigt europäische "Datengrenze" an
- https://www.bfdi.bund.de/DE/Europa_International/International/Artikel/Internationaler_Datentransfer.html
- Wie sicher sind verschlüsselnde Cloud-Speicher-Dienste?
- Swiss Hosting Label