Im Juli des vergangenen Jahres hat der Europäische Gerichtshof mit seinem Schrems-II-Urteil das Privacy-Shield-Abkommen, das den Datenfluss zwischen der EU und den USA regelt, für nichtig erklärt. Europäische Unternehmen, die für die Aufrechterhaltung ihrer IT-Infrastruktur auf Lösungen angewiesen sind, deren Nutzung einen Datentransfer in die USA erforderlich macht, müssen sich seitdem – wollen sie weiterhin datenschutzkonform agieren – an den europäischen Standartvertragsklauseln für den Datentransfer zwischen EU- und Nicht-EU-Staaten orientieren. Kein leichtes Unterfangen. Gerade wenn es um Endpunktmanagement- und Endpunktsicherheitslösungen geht. Denn nur die wenigsten von ihnen lassen sich im Einklang mit den neuen Regelungen betreiben.

Am 16. Juli 2020 hat der Europäische Gerichtshof (EuGH) mit dem Schrems-II-Urteil das Privacy-Shield-Abkommen, ein informelles Regelwerk zum Datentransfer zwischen der EU und den USA, für nichtig erklärt [1] [2]. Wie auch schon bei dessen ebenfalls vom EuGH gekippten Vorgänger, dem Safe-Harbour-Abkommen, wurde als Begründung angeführt, dass personenbezogene Daten in den USA nicht denselben Schutz wie in der EU genießen [3]. Laut Artikel 44 der Europäischen Datenschutzgrundverordnung (DSGVO) dürfen innerhalb der EU erhobene personenbezogene Daten nur dann in ein Land außerhalb der EU transferiert werden, wenn dort für diese ein angemessenes Schutzniveau besteht. Ob dies der Fall ist, kann die Europäische Kommission durch einen Angemessenheitsbeschluss feststellen. Zweimal hat sie dies im Hinblick auf EU-Datentransfers in die USA bereits getan. Zweimal hat das EuGH den Angemessenheitsbeschluss für nichtig erklärt.

In vielen europäischen Unternehmen beschäftigt der letztjährige EuGH-Beschluss nun die Rechts- und IT-Abteilungen. Denn nicht wenige von ihnen nutzen IT-Lösungen, die einen Datentransfer in die USA erforderlich machen – beispielsweise solche zum Management und Schutz ihrer Endpunkte. Die Inanspruchnahme solcher Endpunktlösungen, bei denen europäische Daten US-Territorium passieren, kann nun, bedingt durch die neue Rechtslage, für die betroffenen Unternehmen schwerwiegende juristische Konsequenzen nach sich ziehen. Generell verboten ist sie nicht. Der EuGH hat festgestellt, dass europäische Unternehmen für einen rechtskonformen Datentransfer in die USA immer noch auf die Standard Contractual Clauses (SCCs), die den Datentransfer zwischen EU- und Nicht-EU-Staaten regeln, zurückgreifen können. Doch müssen sie dabei einiges beachten.

SCC – die neue Rechtslage. Lösungsanbieter und Nutzer stehen beim Einsatz von SCCs gleichermaßen in der Verantwortung, kritisch zu prüfen, ob die zu transferierenden Daten im Staat des Lösungsanbieters dasselbe Schutzniveau wie in der EU genießen. Außerdem sind sie verpflichtet, festzustellen, ob SCCs in ihrer Grundform bereits ausreichende Garantien für einen sicheren Datentransfer bieten. Wenn nicht, müssen zusätzliche Garantien und Sicherungsmaßnahmen ausgehandelt und implementiert werden – juristisch in die SCCs, praktisch in den Datentransfer. Um mehr Klarheit in diese Vorgaben zu bringen, hat der der Europäische Datenschutzausschuss (EDSA) am 10. November 2020 Handlungsempfehlungen zum korrekten Gebrauch der SCCs veröffentlicht [4].

Was es nun zu beachten gilt Laut diesen Empfehlungen müssen EU-Nutzer sämtliche Lösungen, die einen Datentransfer in Nicht-EU-Staaten erfordert, identifizieren. Sodann haben Nutzer und Anbieter eine umfassende, kritische Evaluation der Datentransfers und Datenverarbeitungen hinsichtlich ihrer Risiken für den Datenschutz vorzunehmen. Dabei haben sie auch die »Umstände« der Datentransfers zu prüfen und in ihre Bewertung mit einfließen zu lassen. Soll heißen: Nicht nur der finale Speicher- und Verarbeitungsort, auch Dateninhalt, Datentyp, Datenumfang und der genaue Zweck eines Transfers spielen eine Rolle. Sie alle fließen als Kriterien in die Bewertung der Nicht-EU-Lösung im Hinblick auf ihre SCC-Regelkonformität mit ein. Ziel ist es letztlich, für jede Datenübertragung die Einhaltung der klassischen DSGVO-Prinzipien, wie Zweckbindung, Datenminimierung und Speicherbegrenzung, sicherzustellen.

Eine Herausforderung für die meisten Endpunktmanagement- und Endpunktsicherheitslösungen. Nutzer von Endpunktmanagement- und Endpunktsicherheitslösungen, die einen Datentransfer in die USA erforderlich machen, stellt die neue SCC-Regelung nun vor zwei gravierende Probleme. Zum einen können die meisten derzeit angebotenen Lösungen nur über eine Cloud betrieben werden. Laut den erwähnten EDSA-Empfehlungen ist aber keine datenschutzkonforme Cloud-basierte Datenspeicherung und -verarbeitung möglich, wenn im Anbieterstaat die Datenzugriffsbefugnisse staatlicher Stellen über das notwendige Maß hinausgehen. Dass dies in den USA der Fall ist, hat das EuGH nun schon zum zweiten Mal bestätigt. Zum anderen sammeln, speichern und verarbeiten die meisten Endpunktmanagement- und Endpunktsicherheitslösungen die Daten ihrer Kunden zentralisiert und kontinuierlich. Damit werden jedoch die Grenzen der von der SCC-Regelung erlaubten Umstände eines Datentransfers – die letztlich ja auf den DSGVO-Prinzipien basieren – überschritten. Denn zentrale Strukturen bringen mit sich, dass alle Endpunktdaten immerzu – und damit zweckunabhängig – erhoben und gespeichert werden. Eine SCC-regelkonforme Nutzung dieser Lösungen wird damit praktisch unmöglich gemacht.

Die Lösung: On Premises oder Hybrid statt Cloud … Nun gibt es mittlerweile aber auch Endpunktmanagement- und Endpunktsicherheitslösungen, die statt in der Cloud auch in einer Hybrid- oder sogar in einer reinen On-Premises-Variante genutzt werden können. Speicherung und Verarbeitung erfolgen hier vor Ort. Die Daten verbleiben zu jeder Zeit vollständig unter Kontrolle des Nutzers, müssen dessen Netzwerke nicht verlassen.

… und ein dezentraler Ansatz. Wichtiger noch: diese Endpunktlösungen können auch dezentral operieren – beispielsweise als agentenbasierte Lösung auf Basis einer Linearkettenarchitektur. Was dezentrale von zentralisierten Lösungen unterscheidet: Hier werden Daten wirklich nur noch dann gesammelt und verarbeitet, wenn sie auch tatsächlich benötigt werden. Ansonsten verbleiben sie an den ans Netzwerk angeschlossenen Endpunkten. Auf allen Endgeräten werden hierzu Agenten installiert. Diese sammeln die für Endpunktmanagement und Endpunktsicherheit erforderlichen Informationen, können Daten empfangen und versenden. Bei der Informationsweitergabe kommt dann die erwähnte Linearketten-Architektur zum Einsatz. Jeder Agent kann sich automatisiert mit einem Agenten verbinden, um Informationen zu empfangen und mit einem anderen, um Informationen weiterzugeben. Die so zusammengeschlossenen Agenten, beziehungsweise Endpunkte, formen lineare Ketten. Wird eine Anfrage oder Handlung erforderlich, werden die diesbezüglichen Informationen vom Server an die ersten Glieder dieser Ketten gesendet, durchgereicht und die Antworten von den letzten Kettengliedern wieder an den Server übergeben. Die Folge: Informationen können wirklich nur noch zweckgebunden erhoben und verarbeitet werden. Die erwähnten DSGVO-Prinzipien, wie Zweckbindung, Datenminimierung und Speicherbegrenzung, werden regelkonform umgesetzt.

Fazit. Nutzer von Endpunktmanagement- und Endpunktsicherheitslösungen werden sich nach einer solch dezentralen Hybrid- oder On-Premises-Variante umsehen müssen. Auf anderem Wege werden sie die mit der neuen SCC-Regelung verbundenen Anforderungen an die Sicherheit ihrer Daten kaum erfüllen können.

Christoph Volkmer,
VP EMEA Central
bei Tanium

[1] https://www.datenschutzstelle.li/application/files/8515/9491/3727/
EuGH_Urteil_C-311_18_vom_16072020.pdf

[2] https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/
?uri=CELEX:32016D1250&from=DE

[3] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/
?uri=uriserv:OJ.L_.2000.215.01.0007.01.DEU

[4] https://edpb.europa.eu/sites/default/files/consultation/edpb_
recommendations_202001_supplementarymeasurestransferstools_en.pdf

Illustration: © clivewa /shutterstock.com

603 Artikel zu „Endpunkt Sicherheit“

NEWS | IT-SECURITY | WHITEPAPER

IT-Sicherheit an den Endpunkten im Bankgewerbe akut gefährdet – Analyse und Tipps für IT-Sicherheit in der Finanzbranche

16. Juli 2018

In einem aktuellen Whitepaper analysiert Palo Alto Networks die spezifischen Herausforderungen, mit denen Finanzinstitute hinsichtlich IT-Sicherheit zunehmend konfrontiert sind. So ist vor allem die IT-Sicherheit an den Endpunkten akut gefährdet. Im neuen Whitepaper stellen die Sicherheitsexperten zudem dar, wie diese Herausforderungen mit neuen Ansätzen zum Schutz von Endpunkten bewältigt werden können. Vertrauenswürdige Finanztransaktionen und der…

Christoph Volkmer, VP EMEA Central bei Tanium

[1] https://www.datenschutzstelle.li/application/files/8515/9491/3727/ EuGH_Urteil_C-311_18_vom_16072020.pdf

[2] https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/ ?uri=CELEX:32016D1250&from=DE

[3] https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/ ?uri=uriserv:OJ.L_.2000.215.01.0007.01.DEU

[4] https://edpb.europa.eu/sites/default/files/consultation/edpb_ recommendations_202001_supplementarymeasurestransferstools_en.pdf