Veranstaltungsbericht: Zulässige Nutzung US-amerikanischer Cloud-Dienste
31.05.2022
Die HDG e.V. hatte gemeinsam mit der Handelskammer Hamburg zur ersten Live-Veranstaltung in Sachen Datenschutz nach mehr als zwei Jahren eingeladen. Das Thema „Zulässige Nutzung US-amerikanischer Cloud-Dienste“ am Beispiel der Amazon Web Services (AWS) fand ein sehr reges Interesse bei mehr als 160 Teilnehmern, die sich am frühen Nachmittag des 31. Mai im großen Albert-Schäfer Saal der Handelskammer neugierig versammelt hatten.
Nach einer kurzen Einführung durch Frau Aylin Jacob der Handelskammer Hamburg moderierten Frau Dr. Carolin Monsees von Taylor Wessing gemeinsam mit Herrn Dr. Philipp Kramer als Vorstandsvorsitzender des HDG e.V. die lebhafte Veranstaltung.
Nachdem der Hamburgische Datenschutzbeauftragte Herr Thomas Fuchs sehr anschaulich anhand von Weltkarten in die Thematik des internationalen Datentransfers in sog. EU-Drittländern wie den USA eingeführt hatte, beschrieb er, an welche Regeln und Gesetze sich Unternehmen bei der Nutzung von Cloud Dienstleistern halten müssen. Es genüge nicht, nur die sog. EU-Standardvertragsklauseln mit Drittlandanbietern vertraglich abzuschließen, sondern es müsse zuvor regelmäßig eine einzelfallbezogene Prüfung der Übertragungsrisiken für die Betroffenen im Kontext der jeweiligen Anwendung, ein sog. TIA (Transfer Impact Assessment), durchgeführt werden. Im Fall der USA beinhalte das regelmäßig auch eine Prüfung, inwieweit ein Zugriff von US-Behörden nach dem FISA 702 auf Betroffenendaten möglich sei. Insbesondere sei dabei die EDSA Empfehlung 1/2020 (Neufassung vom 18.6.2021) zu beachten, nach der letztlich nur „absolute“ Maßnahmen als ausreichende Schutzmaßnahmen vor unbefugten Zugriffen gelten würden. So seien z.B. anonymisierte, u.U. pseudonymisierte oder mit Private-Keys sicher verschlüsselte Datentransfers inkl. Aufbewahrung sensibler Datenkategorien zulässig. Ein rein risikobasierter Ansatz für die Wahl milderer organisatorischen und technischen Maßnahmen werde regelmäßig als unzureichend abgelehnt. Es komme allein auf die Art der Daten (ihre Sensibilität) und nicht den Umfang bzw. deren numerischer Anzahl an. Weiter stellte Herr Fuchs die Rolle der Aufsichtsbehörden vor und gab einen Überblick über aktuelle behördliche Prüfverfahren im Bereich des internationalen Datentransfers, z. B. Einsatz von Zoom Videoconferencing und M365 . Das MS-Tool werde im Rahmen der Task Force Schrems II der DSK zwischen den Länderbehörden in Deutschland besprochen und die Bewertung sei noch nicht abgeschlossen.
Herr Torsten Pelka, Leiter Professional Services AWS, begleitet von Carsten Kestermann, Leiter Public Policy DACH AWS, stellten am Beispiel ihrer eigenen Kunden aus der Versicherungsbranche, die in der Regel mit sehr sensiblen Daten, nämlich Gesundheitsdaten von Betroffenen, umgehen, den möglichen datenschutzsicheren Einsatz von AWS-Cloud Produkten vor. Dabei komme dem sog. „Shared Responsibility Model“ zwischen dem Kunden und AWS eine entscheidende Bedeutung zu. Während AWS die Sicherheit der Cloud Infrastruktur selbst einschließlich der damit verbunden Data-Center und ihrer eigenen zentralen Steuerungssoftware absichere, sollen sich die Business Units und das Cloud (Operations) Center des Kunden um die Einrichtung der Sicherheit bei der Anwendung der Cloud und dem Datenverkehr selbst kümmern. Je nach Bedarf können Verarbeitungen in regionalen AWS Datencentern, beispielsweise ausschließlich in der EU, zugesichert werden. AWS unterstütze seine Kunden bei der Einführung und richtigen Ausgestaltung der eigenen Verfahren durch professionelle Beraterteams, könne andererseits nicht für die anwendungsbezogene Sicherheit im Betrieb selbst garantieren. Dies hänge auch damit zusammen, dass ein Zugriff des Cloud Dienstleisters auf verschlüsselte Daten eben gerade ausgeschlossen werden solle, um jedwede unberechtigten Eingriffe von außen, auch vom Dienstleister selbst, so weit wie möglich ausschließen zu können. Herr Pelka und Herr Kestermann betonten die generellen Vorteile der Cloud-Anwendungen gegenüber eigenen „On Premise“ Centern sowohl bei der Skalierung als auch für die Aufrechterhaltung einer immer aktuellen IT-Sicherheit beim Kunden.
In der Pause vor der Podiumsdiskussion wurde die Gelegenheit gerne wahrgenommen, bei einem Snack sich mit anderen mal wieder von Angesicht zu Angesicht austauschen zu können.
Im letzten noch spannenderen Teil wurde kontrovers diskutiert. Viele Publikumsfragen gingen um die konkrete Einsatzpraxis und Schwierigkeiten bei der Umsetzung der Cloud-Anwendungen in Unternehmen der EU. Dabei wurde schnell klar, dass mehr Unterstützung sowohl von den Behörden, dem Zusammenschluss der deutschen Aufsichtsbehörden, der Datenschutzkonferenz – DSK, als auch von den Anbietern bei der konkreten Durchführung der TIAs gefordert werden. Es wurde in den Antworten durchaus deutlich, hier in der täglichen Praxis aufeinander zugehen und Brücken bauen zu wollen. Von Seiten des Hamburgischen Datenschutzbeauftragten wurde angeboten, konkrete Einsatzmodelle vorab zu prüfen. Die Anbieterseite sagte, man wolle Kunden für Standardprodukte noch besser mit Standardvorlagen z.B. für ihre einsatzstarken Produkte ausstatten. Es erreichte die HDG viel Zuspruch zur Auswahl des Themenschwerpunktes als auch zum Format, sich wieder mehr Live auszutauschen.