US-Cloudanbieter versucht die Quadratur des Kreises

- Falk Borgmann

Mit der Ankündigung von Amazon Web Services (AWS), die EU - Standardvertragsklauseln (SCC – Standard Contractual Clauses) in das AWS GDPR Data Processing Addendum aufzunehmen, versucht AWS derzeit, ihre aktuellen und prospektivenKunden zu beruhigen. Nachdem der Europäische Gerichtshof (EuGH) erst Safe Harbor und dann im Sommer 2020 auch noch die Nachfolgeregelung Privacy Shield für nichtig erklärte, sind viele AWS - Kunden nämlich nicht mehr ganz so sicher, ob personenbezogene Daten bei einem US - Cloudanbieter wirklich gut aufgehoben sind. Schließlich wurde durch den EuGH offiziell festgestellt, dass der allgemeine Datenschutzstandard der USA nicht mit dem der EU vereinbar ist. Es ist zu begrüßen, dass sich nun immerhin einer der Hyperscaler aktiv mit diesem Thema beschäftigt. Allerdings scheint das Ergebnis dieser Maßnahme bei genauerer Betrachtung eher eine PR - Kampagne zu sein, als dass es einen echten Mehrwert für AWS - Kunden liefern würde.

Vorab eine wichtige Klarstellung: Grundsätzlich bleibt die Verantwortung für eine Datenverarbeitung vollumfänglich beim Auftraggeber und kann auch nicht delegiert werden. Daran ändern die Anpassungen in den Vertragszusätzen von AWS gar nichts. Das bedeutet, dass auch die neuen AWS-Regularien einen Kunden nicht von der Verpflichtung entbinden, sich sorgfältig und selbstständig mit der Verarbeitung GDPR- bzw. DSGVO-relevanter Daten zu beschäftigen. Das Gegenteil ist sogar der Fall. Denn die Empfehlungen des European Data Protection Boards (EDPB) vom Juni 2021 skizzieren sogar sechs erforderliche und sehr konkrete Schritte, die ein Auftraggeber explizit selbst sicherzustellen hat, um im Einklang mit europäischem Recht personenbezogene Daten außerhalb der EU verarbeiten zu dürfen. Dass es sich hierbei um die alleinige Verantwortung seiner Kunden handelt, stellt sogar AWS selbst in seinen Dokumenten heraus.

Jetzt könnte man folgendes denken: Glück gehabt, denn mein Unternehmen nutzt nur AWS-Geolokationen, die innerhalb der EU liegen, und speichert deshalb keine personenbezogenen Daten außerhalb der EU. Deshalb gilt das alles auch nicht für mein Unternehmen. Das ist leider falsch. Der Speicherort der Daten ist an dieser Stelle irrelevant. Denn solange Daten mit DSGVO-Bezug durch Services eines US-Clouddienstleisters verarbeitet werden, kommt ein europäisches Unternehmen um diese Bewertung nicht herum. Um das „Warum?" greifbarer zu machen, skizziere ich ein einfaches und gleichermaßen fiktives Beispiel.

Nehmen wir an, ein Unternehmen nutzt einen AWS-Service, mit dem personenbezogene Daten verarbeitet werden. Nehmen wir weiterhin an, dass dieses Unternehmen durch die Wahl entsprechender AWS-Geolocations für diesen Service darauf geachtet hat, dass der implizierte Verbleib von Daten im Rechtsraum der EU gewährleistet sein müsste, also beispielsweise durch Auswahl aller Geolokationen innerhalb Deutschlands. Alles wäre gut – sollte man meinen.

Der EDPB stellt fest (Empfehlungen Pkt. 2.3):

Insbesondere muss der Schutz der übermittelten personenbezogenen Daten in dem Drittland im Wesentlichen dem Schutz entsprechen, der im Europäischen Rechtsraum durch die Datenschutz-Grundverordnung gewährleistet wird (...). Dies ist nicht der Fall, wenn der Datenimporteur aufgrund der Rechtsvorschriften des Drittlandes (...) daran gehindert ist, seinen Verpflichtungen nachzukommen (...).

(...)

Diese Bewertung muss Elemente enthalten, die den Zugang zu Daten durch Behörden des Drittlandes Ihres Importeurs (in unserem Fall also AWS) betreffen, wie z. B: Elemente darüber, ob Behörden des Drittlandes Ihres Importeurs mit oder ohne Wissen des Datenimporteurs versuchen können, auf die Daten zuzugreifen (…)"

Wir halten an dieser Stelle also fest: Man kann nicht compliant im Sinne des EU-Rechts sein, wenn der Datenimporteur (in diesem Fall AWS) durch eine Gesetzgebung in einem Drittland (z. B. den USA), daran gehindert werden kann, im Einklang mit EU-Recht zu arbeiten. Dieser Teil allein scheint noch kein Problem darzustellen. Denn vermeintlich verhindert man ja durch die Wahl der Geolokationen, dass relevante Daten in ein Drittland ausgelagert werden. Leider funktioniert diese Argumentationskette so nicht.

Nach US-amerikanischem Recht (Cloud Act) ist es jederzeit möglich, dass sich US-Behörden am Datenfundus eines Cloud-Anbieter bedienen, selbst dann, wenn diese Daten außerhalb des US-Hoheitsgebiets verwaltet werden. Genau an dieser Stelle wird das Problem deutlich. Denn selbst wenn ein Unternehmen ausschließlich deutsche AWS-Infrastruktur nutzt, können US-Behörden nach ihrem Rechtsstatus die Herausgabe von Daten eines US-Cloudanbieters fordern. Als Konsequenz daraus muss sich also jeder Kunde eines US-Cloudanbieters, der GDPR-Daten verarbeitet, mit diesem Thema aktiv auseinandersetzen, so wie es im Schrems II Urteil vom Juli 2020 und im Handlungsrahmen des EDPB ohnehin gefordert wird. Es ist also ganz egal, wo diese Daten verarbeitet werden und ob ein Cloud-Service-Provider die SCC akzeptiert. Was zählt, ist einzig und allein die Tatsache, dass ein US-Anbieter an die Vorschriften des Cloud Act gebunden ist und demzufolge nicht ausschließen kann, auf Anordnung Kundendaten an die US-Behörden übergeben zu müssen.

AWS selbst bleibt an dieser Stelle schwammig, da AWS das Problem eigentlich nicht lösen kann. In seinem aktuellen White Paper zum Thema Datenschutz „Navigating Compliance with EU Data Transfer Requirements" schreibt AWS:

AWS wird keine Kundendaten außerhalb der vom Kunden gewählten AWS-Region übermitteln, es sei denn, dies ist erforderlich, um (...) ein Gesetz oder eine gültige und verbindliche Anordnung einer staatlichen Stelle zu erfüllen."

AWS verspricht demnach, keine Daten herauszugeben, es sei denn, eine US-Behörde verlangt unter Berufung auf die US-amerikanische Gesetzeslage danach. Mit dieser Rechtshilfe kann eine solche Behörde ihr Zugriffsbegehren auf Daten letztlich immer durchsetzen. Als Nicht-Jurist würde ich darin einen eklatanten Widerspruch zu den Leitlinien des EDPB sehen. Aber vielleicht irre ich mich auch. Es ist jedoch naheliegend, dass meine Interpretation nicht sehr weit neben der „Einschätzung" von AWS liegt, denn das US-Unternehmen schreibt weiter, dass es laut einem Whitepaper des US Department of Commerce eher unwahrscheinlich ist, dass auf Anordnung von US-Behörden betroffene Daten herausgeben werden müssten. AWS sagt dazu: _„Im Whitepaper heißt es, dass sich für viele Unternehmen die Frage des Zugriffs der nationalen Sicherheit auf ihre personenbezogenen Daten kaum stellen dürfte, da diese Daten für die nationalen Sicherheitsbehörden nicht von Interesse wären."_Warum sollte AWS zu diesem Punkt überhaupt Stellung beziehen und ihn relativieren, wenn darin kein potenzielles Problem bestehen würde?

Die derzeit einzige Möglichkeit, dieses Dilemma aufzulösen, ohne dabei auf die Infrastruktur der Hyperscaler zu verzichten, besteht darin, die Daten in der Cloud zu verschlüsseln. Und zwar so, dass die Verschlüsselung und insbesondere deren Schlüssel nicht als Cloud Service genutzt wird. Unternehmen, die Cloud-Serviceanbieter nutzen wollen, müssen sich also selbst um die Verschlüsselung kümmern. Und zwar bevor die entsprechenden Daten in der Cloud landen.

Es finden sich noch zahlreiche Absichtserklärungen und Weichmacher in dem zitierten Statement des US-Unternehmens AWS. Lesen und urteilen Sie an dieser Stelle am besten selbst. Aber ein letztes Zitat, das die „Aussagekraft" und „Verbindlichkeit" der öffentlichen Statements von AWS zu diesem Thema unterstreicht, gibt es noch:

Hinweise – Die Kunden sind dafür verantwortlich, die Informationen in diesem Dokument eigenständig zu bewerten. Dieses Dokument: dient (a) nur zu Informationszwecken, stellt (b) die aktuellen AWS-Produktangebote und -Verfahren dar, die ohne Vorankündigung geändert werden können, und begründet (c) keine Verpflichtungen oder Zusicherungen seitens AWS und seiner verbundenen Unternehmen, Lieferanten oder Lizenzgeber. AWS-Produkte oder -Services werden "wie besehen" und ohne Gewährleistungen, Zusicherungen oder Bedingungen jeglicher Art bereitgestellt (...)."

Teilen