2020 war nicht nur das Jahr, das von der Covid-19-Pandemie geprägt wurde. Es haben sich auch einige tiefgreifende Veränderungen auf dem Gebiet des Datenschutzes und der Datensouveränität vollzogen. Im Juli 2020 entschied der Gerichtshof der Europäischen Union (EuGH) in der Rechtssache Schrems II. Das Urteil hat weitreichende Konsequenzen für jede Organisation innerhalb der EU und solche, die EU-Daten in Nicht-EU-Ländern handhaben.

 

Schrems II ist das Werk von Max Schrems, einem österreichischen Datenschutzaktivisten, der gegen Facebook Irland vorgegangen ist. Das Unternehmen hatte erklärt, es könne den Datenschutz für europäische Nutzer für deren an Facebook in den USA übermittelten personenbezogenen Daten nicht gewährleisten. Der Grund dafür seien die unterschiedlichen Regeln des US-Rechtssystems in Bezug auf nationale Sicherheit, Privatsphäre und Datenschutz. Infolgedessen entschied der EuGH, dass das Privacy-Shield-Abkommen zwischen der EU und den USA aufgrund der fortgesetzten Nutzung von Massenüberwachungstechniken in den USA nicht mehr gültig sei. Der Europäische Gerichtshof hat mit dem Urteil klargestellt, dass personenbezogene Daten von EU-Bürgern nur an Drittländer übermittelt werden dürfen, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Für die USA hat er ein solches angemessenes Schutzniveau verneint. Mit diesem Urteil hat der EuGH unterstrichen, welchen Stellenwert die Datensouveränität genießt und dass ihr Schutz unerlässlich ist.

 

Worum es in dem Urteil geht

Um die weitreichenden Auswirkungen des Urteils besser zu verstehen, müssen wir uns zunächst die DSGVO ansehen. Die EU-Datenschutzgrundverordnung (DSGVO) besagt, dass die Übermittlung personenbezogener Daten in Drittländer nur dann zulässig ist, wenn ein angemessenes Datenschutzniveau gewährleistet ist. Diese Verordnung verpflichtet Organisationen, die Daten europäischer Bürger verarbeiten, zur Einhaltung strenger Standards, um die Sicherheit und den Schutz vertraulicher Informationen zu gewährleisten. Es gilt angemessene Sicherheitsvorkehrungen zu treffen, unabhängig davon, wo die betreffende Organisation ihren Sitz hat. Trifft das nicht zu, müssen Organisationen über zusätzliche Sicherheitsmechanismen verfügen, um Daten von EU-Bürgern frei übermitteln zu können.

Die Europäische Kommission hat erklärt, dass bestimmte Nicht-EU-Länder über gleichwertige Datenschutzgarantien verfügen wie die EU selbst. Infolgedessen können Organisationen in diesen Ländern die Daten von EU-Bürgern frei übermitteln, ohne dass zusätzliche Sicherheitsmechanismen erforderlich sind. Unter dieses so genannte Privacy-Shield-Abkommen fielen auch die USA.

Das Urteil des EuGH erklärt die Angemessenheit des Schutzes durch den EU-US-Datenschutzschild für ungültig. Infolgedessen müssen in den USA ansässige Unternehmen, die personenbezogene Daten von EU-Bürgern handhaben, in Zukunft sicherstellen, dass bei der Verarbeitung von Daten angemessene Mechanismen für den Datenschutz vorhanden sind.

 

Die Empfehlungen des EDSA zur Datensouveränität

Auf dieser Grundlage hat der Europäische Datenschutzausschuss (EDSA) am 18. Juni 2021 die endgültige Fassung seiner Empfehlungen zu ergänzenden Maßnahmen verabschiedet. Sie enthalten einen 6-stufigen Fahrplan, der Unternehmen dabei unterstützen soll, dass EU-Niveau für den Schutz personenbezogener Daten und die Datensouveränität sicherzustellen:

• Datenübermittlung kennen
• Auswahl der eingesetzten Übermittlungsinstrumente
• Beurteilung der Wirksamkeit des ausgewählten Übermittlungsinstruments
• Zusätzliche Maßnahmen ergreifen
• Verfahrensschritte nach Ermittlung effektiver zusätzlicher Maßnahmen
• Neubewertung in angemessenen Abständen

Diese Empfehlungen sollen Verantwortlichen oder Auftragsverarbeitern dabei helfen, personenbezogene Daten gemäß der DSGVO zu verarbeiten, Drittländer zu bewerten und gegebenenfalls geeignete ergänzende Maßnahmen zu ermitteln. Der EDSA skizziert eine Reihe von Schritten, die es zu befolgen gilt, und Beispiele für zusätzliche Maßnahmen, die den Datenschutz in öffentlichen und privaten Einrichtungen verbessern können. Derartige Maßnahmen würden eine einheitliche Anwendung des EU-Datenschutzrechts in allen Branchen gewährleisten.

 

Wie bleiben Organisationen konform?

Es gibt einige Möglichkeiten, personenbezogene Daten aus der EU in die USA (oder in ein anderes Nicht-EU-Land) zu übermitteln:

• Verwenden Sie keine personenbezogenen Daten von EU-Bürgern außerhalb der EU
• Verschlüsseln Sie alle personenbezogenen Daten, die außerhalb der EU übermittelt werden
• Daten fallen unter die Ausnahmeregelung zur Datenübermittlung, die in Artikel 49 der DSGVO festgeschrieben ist.

Artikel 49 der DSGVO besagt, dass eine Datenübermittlung aus der EU in Drittländer auch ohne angemessene Garantien erfolgen kann,

• wenn die ausdrückliche Einwilligung der betroffenen Person vorliegt,
• wenn sie für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist
• wenn sie aus wichtigen Gründen des öffentlichen Interesses erforderlich ist,
• wenn sie für die Geltendmachung von Rechtsansprüchen erforderlich ist oder,
• wenn sie zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich ist.

Wenn diese Ausnahmeregelungen nicht greifen (und das ist oft genug der Fall), bleibt die Option, alle personenbezogenen Daten, die die EU verlassen, zu verschlüsseln. Folglich kann dann keine Regierung oder eine andere Organisation die Überwachung anzapfen und den Verschlüsselungsschlüssel verlangen.

Analog zu den Anforderungen in Art. 25 und Art. 32 der DSGVO verlangt der EDSA, dass die eingesetzten ergänzenden technischen Maßnahmen allein oder in Kombination mit vertraglichen oder organisatorischen Maßnahmen dem »Stand der Technik« entsprechen. Die Verschlüsselung der Daten vor der Übermittlung gilt dabei als eine der wichtigsten technischen Maßnahmen. Hier legt der EDSA zusätzlich fest, dass die Verschlüsselungsschlüssel innerhalb des Europäischen Wirtschaftsraums (EWR) aufbewahrt werden müssen.

 

Datensouveränität schützen – mit Confidential Computing 

Confidential Computing schützt Daten auch während der Verarbeitung, indem die Informationen in einer sicheren Enklave verschlüsselt werden. Eingebettete Verschlüsselungsschlüssel innerhalb der CPU sichern die Enklave, auf die nur die CPU zugreifen kann. Der kryptographische Schlüssel ist in der CPU gespeichert. Dadurch wird die Integrität des Codes sichergestellt, der die personenbezogenen Daten verarbeitet. Er schirmt die Informationen nicht nur vor Cloud- oder Infrastrukturanbietern ab, sondern schützt sie auch vor dem Zugriff durch Externe und Cyberkriminelle. Wenn also versucht wird, mittels eines Malware oder über nicht autorisierten Code auf die Schlüssel zuzugreifen, verweigert die CPU den Zugriff und bricht die Berechnung ab. Auf diese Weise bleiben sensible Daten innerhalb der Enklaven geschützt.

 

Fazit

Confidential Computing bietet Firmen starke Sicherheits- und Datenschutzgarantien innerhalb der Cloud und schützt technisch vor Angriffe von außen. Die Technologie verhindert im Übrigen auch mögliche Insider-Angriffe von anderen Mandanten wie dem Cloud-Anbieter oder von Drittanbietern einer IT-Software. Diese technischen Maßnahmen erlauben es privaten und öffentlichen Einrichtungen die Anforderungen der DSGVO und nach Schrems II zu erfüllen. Die Verarbeitung sensibler Daten passiert datenschutzkonform, und die betreffenden Firmen behalten die direkte Kontrolle über ihre Daten und die Verschlüsselungsschlüssel.

 

Prof. Dr. Sebastian Gajek, Gründer und CTO, enclaive