Datenschutz-Gesetze und Zugriff durch US-Behörden (Copy)
Was muss ich als Schweizer KMU betreffend Schutz von Personendaten beachten, wenn ich auf US-Software aus der Cloud setze? Welche Lösung sichert mich ab?
Cloud-Computing und Schutz von Personendaten – wie passt das zusammen?
Immer mehr KMUs setzen auf eine Cloud-Strategie und auf Software-as-a-Service-Angebote von etablierten US-amerikanischen Anbietern. Praktisch, weil dadurch mit wenig technischer Expertise mehr Software-Angebote genutzt werden können. Weit verbreitete Dienste wie Office 365 von Microsoft, CRM von Salesforce oder Umfragen mit SurveyMonkey sind Applikationen, die durch US-Unternehmen betrieben werden. Nicht nur Software-Angebote werden zunehmend als Service bezogen, auch die Infrastruktur- und Plattform-Services von Amazon AWS, Microsoft Azure oder Google verzeichnen hohe Zuwachsraten. Der Vorteil liegt auf der Hand: Planbare Kosten, garantierter Unterhalt und einfacher Zugriff.
Der Nachteil: Die Verarbeitung und Speicherung der (schützenswerten) Personendaten liegen somit bei US-Unternehmen, die dem US-Recht und damit auch dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act) unterstehen. Dieses seit 2018 bestehende Gesetz regelt den Zugriff der US-Behörden auf gespeicherte Daten, auch wenn die Speicherung nicht in den USA erfolgt.
Ist der rechtliche Schutz der bisherigen Privacy Shields ungenügend?
Die unter dem Namen EU-US Privacy Shield bekannte, informelle Absprache von 2016 zwischen der EU und den US, besteht aus einer Reihe von Zusicherungen der US-amerikanischen Regierung, sich an den Datenschutz nach europäischem beziehungsweise Schweizer Verständnis zu halten.
Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) in seiner Entscheidung «Schrems II» das Privacy Shield jedoch für ungültig erklärt. Mit der Folge, dass das US-EU Privacy Shield keine genügende Rechtsgrundlage für einen Datentransfer in die USA darstellt.
Auch der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) kam in seiner Stellungnahme vom 8. September 2020 hinsichtlich des US-Swiss Privacy Shields zum gleichen Schluss und strich auf seiner Staatenliste den Verweis «angemessener Schutz unter bestimmten Voraussetzungen» für die USA. Schweizer Unternehmen können daher ihre Datentransfers in die USA nicht mehr auf das US-Swiss Privacy Shield abstützen.
Alternativ bieten sich die Europäischen Standardvertragsklauseln (SCC) oder verbindliche unternehmensinterne Datenschutzvorschriften (sog. Binding Corporate Rules, BCR) an. Auch bezüglich der Standardvertragsklauseln (SCC) hegt das EuGH Zweifel, dass sie die Übermittlung personenbezogener Daten in die USA rechtfertigen können.
Weder die Privacy Shields noch die SCC sind Mechanismen, die einen Zugriff durch die US-Behörden verhindern können.
Wie können Daten auch in der Cloud so geschützt werden, dass sie den lokalen gesetzlichen Vorgaben entsprechen?
Mit Verschlüsselung der Daten und dem sicheren Aufbewahren der Schlüssel kann eine gesetzeskonforme und sichere technische Lösung angeboten werden, um alle Daten in der Cloud vor Zugriff zu schützen – auch vor den US-Behörden. Die sogenannte datenzentrische oder datenzentrierte Sicherheit ist der Oberbegriff für verschiedene Methoden, welche die Daten selbst schützen im Gegensatz zum Schutz der Daten durch die Infrastruktur.
Je nach Form und Verwendung der Daten kommen unterschiedliche Verschlüsselungen zum Einsatz:
Verschlüsseln, Anonymisieren, Pseudonymisieren oder Tokenisieren der Attribute in Applikationen und Datenbanken
Transparentes Ende-zu-Ende-Verschlüsseln von Dokumenten, E-Mails und Anhängen
Zentrales Element bei der datenzentrierten Sicherheit ist der Schutz des Schlüssels. Dieser wird bei der Verschlüsselung generiert und garantiert den sicheren Zugriff auf die verschlüsselten Daten. Es empfiehlt sich, den Schlüssel in einem Hardware Security Modul (HSM) zu speichern. HSMs sind speziell für die effiziente und sichere Ausführung kryptografischer Operationen oder Applikationen gebaut und bieten dafür den höchstmöglichen Schutz.
Die eigene Verschlüsselungslösung bietet den besten Schutz
Grundsätzlich gibt es drei Varianten, um einen Schlüssel zu generieren und diesen sicher aufzubewahren, wobei die dritte, sogenannte «Hold your own key»-Lösung, die sicherste ist. Sie folgt dem Gebot der Gewaltentrennung: Verschlüsselung und Schlüssel liegen nie beim selben Anbieter.
Use someones key: Schlüssel wird beim Cloud-Service-Anbieter (z. B. Microsoft Azure) erstellt und durch den Anbieter verwaltet. Einschätzung: eher unsicher.
Bring your own key (BYOK): Schlüssel werden in der eigenen Umgebung erstellt und danach in die Cloud-Service-Anbieter-Umgebung hochgeladen. Bedingung: a) Die Schlüssel können nur von der eigenen Tenant ID verwendet werden; b) Der Export des Schlüssels aus dem HSM des Cloud-Service-Anbieters ist nicht möglich. Einschätzung: sicher.
Hold your own key (HYOK): Schlüssel werden im eigenen HSM erstellt und verwaltet. Einschätzung: die sicherste aller Varianten.
Verschlüsselung-as-a-Service: für KMUs, die nicht über eine eigene IT-Sicherheits-Abteilung verfügen
Immer mehr KMUs konzentrieren sich auf ihre Kernkompetenzen. Die IT-Infrastruktur zu betreiben und die Sicherheit der Daten zu verantworten gehört selten dazu. Managed HSM Provider wie Prewen bieten Alternativen für Unternehmen, die ihre Sicherheitsanforderungen in guten Händen wissen wollen.
Zum Lösungsspektrum von Verschlüsselung-as-a-Service gehören:
Lösungen, um Daten in Cloud-Applikationen zu schützen.
Transparente Dokumentverschlüsselung für jede Art von Files.
Ende-zu-Ende-Verschlüsselung von E-Mails und Anhängen jeglicher Grösse
Original-Fachbeitrag Netzwoche 16 2020 von Andreas Dorta und Clara-Ann Gordon, Rechtsanwältin für IT- und Datenschutz, Partnerin bei der Wirtschaftsanwaltskanzlei, Niederer Kraft Frey
Erfahren Sie mehr zum datenzentrierten Schutz oder zu Prewens Data-Security-Angebot.
