Privacy Shield und GoBD: der Stresstest für jede Cloud-Strategie

- Falk Borgmann

Nachdem der Europäische Gerichtshof (EuGH) erst Safe Harbor und im Sommer 2020 auch noch die Nachfolgeregelung Privacy Shield für nichtig erklärte, steht die Europäische Union vor einem Scherbenhaufen, und in vielen Unternehmen wird überlegt, welche Auswirkungen das aktuelle Urteil auf die eigenen Geschäfte hat. Aber genau mit dieser Einschätzung der aktuellen Situation und den potenziellen Auswirkungen tun sich viele Unternehmen schwer. Das ist nicht verwunderlich, denn es ist nicht leicht, die juristische und technische Sicht in Übereinstimmung zu bringen. Spätestens mit den Bußgeldbescheiden in Millionenhöhe gegen die Unternehmen 1&1 Telecom und Deutsche Wohnen sollte jedem Manager klar geworden sein, dass bei einem allzu sorglosen Umgang mit schutzbedürftigen Daten echte finanzielle Risiken entstehen. Deshalb ist eine gründliche Risikoanalyse in Bezug auf die individuelle Unternehmensstrategie angezeigt und dabei größte Sorgfalt geboten.

Bis vor wenigen Monaten galt es bei deutschen IT-Chefs noch als hip, alles „in die Cloud“ zu überführen, um bei der Digitalisierung ganz vorn mit dabei zu sein. Dabei muss eine sinnvolle Digitalisierungsstrategie nicht notwendigerweise zu den Cloud-Services von Google und Co. führen. Generell stehen aber dennoch vor allem die SaaS-Angebote (Software as a Service) der großen US-Konzerne Google, Microsoft und Amazon im Fokus der allgemeinen Cloud-Diskussion. Denn sie sind bis heute die einzigen ernst zu nehmenden Anbieter am Markt, die ihren Kunden in dem Bereich ein umfangreiches Produktangebot liefern können. Dienstleistungen, die von deutschen Anbietern unter dem Begriff „Cloud“ vertrieben werden, sind in Wirklichkeit häufig Managed-Services, die nicht in der gleichen Liga spielen wie die Services der sogenannten „Hyperscaler“. Mit echtem Cloud-Computing haben diese Dienste nicht viel zu tun. Und Alibaba als derzeitige Nummer vier am Markt, wird wohl kein CIO aus Europa als ernsthafte Alternative in Erwägung ziehen, ohne sich unangenehme Fragen zum Datenschutz gefallen lassen zu müssen. So bleiben am Ende doch nur die drei großen US-Unternehmen auf der Liste. Deren Dominanz und das generelle Problem mit der Abhängigkeit von US-Konzernen hat mittlerweile die Politik erkannt und versucht deshalb, mit der GAIA-X-Initiative gegenzusteuern. Das politische Prestigeprojekt soll dabei ein europäischer Gegenentwurf zur Marktmacht der US-Konzerne werden und so eine sichere Cloud – vor allem für Europas Unternehmen – anbieten.

Aber wie die Formulierung schon zeigt, eine konkrete Realisierung liegt in der Zukunft. So lange wollten aber viele deutsche Unternehmen nicht warten. Sie haben längst damit begonnen, Fakten zu schaffen, indem sie die technische Infrastruktur ihrer Lösungen in die Hände der genannten US-Firmen gaben – jedenfalls zum Teil. Doch nicht nur Infrastruktur und Computing werden aus der Cloud konsumiert, nein, Google und Co. werden auch die Unternehmens- und Kundendaten anvertraut. Und dass, obwohl es nach US-amerikanischem Recht (Cloud Act) jederzeit möglich ist, dass sich US-Behörden am Datenfundus der Cloud-Anbieter bedienen, selbst dann, wenn diese Daten außerhalb des US-Hoheitsgebiets verwaltet werden. Außerdem besteht derzeit nicht einmal die juristische Möglichkeit, sich als deutsches Unternehmen gegen diese Praxis zu wehren. Genau das spiegelt sich im Urteil des EuGHs wieder. Vor diesem Hintergrund sind die strategischen Entscheidungen zu hinterfragen, in deren Konsequenz sich deutsche Großunternehmen auf die SaaS-Angebote von US-Konzernen verlassen. Denn selbst wenn nun die EU-Standardvertragsklauseln – auf die das Recht nach den EuGH-Urteilen zurückgefallen ist – Einzug in die AGBs deutscher Cloud-Kunden halten, muss man sich die Frage stellen, an welches Recht sich ein US-Provider im Zweifelsfall gebunden fühlt? Oder andersherum: Meines Erachtens widersprechen sich die EU-Standardvertragsklauseln und der Cloud Act in der wichtigsten Frage, nämlich dem individuellen Schutzbedürfnis von Daten. Wie soll ein US-Konzern gleichzeitig die europäischen Datenschutznormen umsetzen und Cloud-Act-konform nach US-amerikanischem Recht arbeiten? Schutzbedürftige Daten können entweder herausgegeben oder nicht herausgegeben werden. Dazwischen gibt es keine Grautöne, sondern nur Schwarz oder Weiß. Ich behaupte, dass dieser Spagat in der Praxis nicht möglich ist und bin gespannt, wann es dazu das nächste Urteil des EuGHs geben wird, denn die Frage, an welches Recht sich ein US-Provider halten wird, ist wohl eher eine rhetorische.

Neben den rechtlichen Problemen sind solche SaaS-Strategien, die nur einen Cloud-Partner fokussieren, äußerst kritisch zu betrachten, da man sich als Unternehmen in eine maximale Abhängigkeit eben dieses einen Anbieters begibt. In einer vollständig virtuellen IT-Welt kann man eben nicht mal schnell den Cloud-Provider wechseln. Das, was schon in der On-Premises-Zeit kompliziert und teuer war, ist in einer reinen Cloud-Infrastruktur eines großen Unternehmens mit hoher Komplexität und entsprechenden Datenmengen nahezu unmöglich. So wird den kurzfristigen Zielen von Kostensenkung und vermeintlicher Flexibilisierung im IT-Bereich genau diese Flexibilität geopfert – nämlich die langfristige. Dieser Aspekt wird in deutschen Unternehmen anscheinend häufig unterschätzt oder sogar vollständig ausgeblendet – mit gravierenden Folgen.

Welche Konsequenzen ergeben sich für den Bereich der GoBD-konformen Langzeitaufbewahrung von Geschäftsunterlagen in Anbetracht der aktuellen Situation? Nach deutschem Recht liefern die großen drei US-amerikanischen Cloud-Provider bis heute keine vollumfänglich überzeugenden Konzepte für das Aufbewahren steuerrelevanter Unterlagen. Die 2019 überarbeitete Version der GoBD erlaubt zwar ausdrücklich den Einsatz von Cloud-Technologien, jedoch ist völlig unklar, was darunter zu verstehen ist. Und genau diese Grauzone bereitet auch den Nährboden für mindestens fragwürdige Lösungen. Als Mindeststandard sollten sämtliche Informationen mit einem Schutzbedürfnis nur verschlüsselt in der Cloud abgelegt werden. Dabei müsste auch klar sein, dass das Key-Handling auf keinen Fall einem Cloud-Provider anvertraut werden darf. Im echten Leben würde man ja auch nicht auf die Idee kommen, ein Bankschließfach zu mieten, um dann den Schlüssel an die Tür zu kleben. Sobald Informationen aber abstrakter verwaltet werden, zum Beispiel in einer Cloud, scheinen sich viele Entscheider schwer damit zu tun, die Dinge sachlich zu bewerten.

Nimmt man die Konzepte der drei großen Anbieter unter die Lupe, ist zu erkennen, dass alle drei bei der Langzeitaufbewahrung von steuerlich relevanten Daten nach einem ähnlichen Muster arbeiten. Das funktioniert in etwa so: Speichere Daten in einem Bucket- oder Blob-Storage – oder wie auch immer ein Service heißen mag – und lege eine entsprechende Security-Policy auf den Storage-Service. Auf dieser Basis versprechen die Hersteller dann, dass diese Daten auch ganz bestimmt nicht vorzeitig gelöscht oder verändert werden können – selbst von den eigenen Administratoren der Cloud-Konzerne nicht. Um das zu untermauern, wird gern noch die Bestätigung eines Wirtschaftsprüfers vorgelegt, was sich bei genauerer Betrachtung als wertlos erweist, da für einen Steuerprüfer immer nur die individuelle Implementierung eines Gesamtprozesses, aber niemals eine einzelne Technologie ausschlaggebend ist. Deshalb steht im Kleingedruckten solcher vermeintlichen Testate auch immer, dass sich die Technologie „generell dazu eignet“, für einen bestimmten Anwendungsfall eingesetzt zu werden.

Fun-Fact: Ein Mitarbeiter von einem großen Cloud-Anbieter hat in einem Termin erklärt, dass von einem Cloud-Storage automatisch mehrere Sicherheitskopien in unterschiedlichen Storage-Zonen erstellt werden – ohne dass dies gesondert konfiguriert werden müsste. So könnten ein Datenverlust verhindert und die versprochene Verfügbarkeit des Service sichergestellt werden. Klingt erstmal nach einem validen Vorgehen. Allerdings fragt man sich auch, ob ein Kunde bei diesem Konzept noch Herr über seine Daten ist. Und auch die Frage, ob der Anbieter selbst noch einen Überblick über die wirkliche physikalische Datenverteilung hat, ist legitim. Außerdem fällt es schwer, zu glauben, dass Amazon, Google oder Microsoft wirklich nicht in der Lage sein sollen, Daten aus der eigenen Cloud-Infrastruktur zu löschen. Zumal die Verträge der Kunden in der Regel keine Laufzeiten von zehn Jahren berücksichtigen, was bedeuten würde, dass solche Daten selbst bei einer Kündigung von Kundenseite und nach einer Exit-Migration nicht durch den Provider wegzubekommen wären. Für viele Experten klingt eine On-Premises-IT-Infrastruktur, auf die so eine Behauptung zutreffen würde wie ein Novum. Erst recht, wenn man mit aktivierbaren Policies auf einem einfachen Storage arbeitet. Aber vielleicht kann die Cloud in dieser Hinsicht ja zaubern.

Aber es gibt noch einen viel interessanteren, besser explosiveren Gedanken: Was würde eigentlich ein Finanzbeamter zu den Verteilungs- und Storage-Konzepten der US-Konzerne sagen, wenn diese einmal vollständig offengelegt würden und der Finanzbeamte gleichfalls in der Lage wäre, diese Konzepte technisch zu verstehen. Mir ist mindestens ein Fall bekannt, bei dem das Finanzamt das Cloud-Speicherkonzept für steuerrelevante Daten eines deutschen Unternehmens als unzureichend verworfen hat, weil selbiges Unternehmen genau diese Frage nicht abschließend beantworten konnte. Hintergrund ist, dass das Unternehmen seine Buchhaltungsdaten verlagern wollte, nämlich in die Cloud. Die vollmundigen Versprechen der Vertriebsmitarbeiter des Cloud-Providers relativierten sich im besagten Fall erstaunlich schnell, als der Kunde vom Anbieter eine schriftliche Garantie der physikalischen Speicherorte haben wollte, die das Finanzamt zuvor angefordert hatte. Da diese schriftliche Zusicherung nicht dediziert gegeben werden konnte (auch mit dem Hinweis der zuvor benannten Verfügbarkeits- und Replikationskonzepte), hatte sich der Antrag zur Aufbewahrung und Führung von elektronischen Büchern und Aufzeichnungen außerhalb des Geltungsbereichs der Abgabenordnung (nach § 146 Abs. 2a AO) – was übrigens die Bundesrepublik Deutschland ist – schnell erledigt. Das Finanzamt wollte nämlich einer Verlagerung nicht zustimmen, ohne zu wissen, wo die Daten tatsächlich gespeichert werden. Transparenz zählt nun einmal in diesem Bereich nicht grade zu den Stärken der US-Konzerne und das potenzielle Risiko für deutsche Unternehmen, in so eine Falle zu laufen, ist nicht unerheblich. Nur weil das Risiko bisher ignoriert oder übersehen wurde, ist es nicht einfach verschwunden.

Frage: Haben Sie denn ihre Daten in der „Cloud“? Ja? Und können Sie wirklich absolut sicher sein, dass kein Datensatz den konfigurierten Storage-Bereich verlassen wird? Nein? Hätten Sie dann nicht auch eine Verlagerung der Buchhaltung beantragen müssen? Und wie würde Ihr Finanzbeamter wohl auf den Antrag reagieren?

Insofern verstärkt das Privacy-Shield-Urteil eigentlich nur die Notwendigkeit, im Bereich von GoBD-Daten besondere Vorsicht bei den Compliance-Storage- und SaaS-Angeboten der US-Konzerne walten zu lassen. Doppelte Vorsicht ist dann geboten, wenn DSGVO-relevante Daten verwaltet werden sollen. So muss man angesichts des aktuellen EuGH-Urteils deutsche und europäische Unternehmen davor warnen, Daten, die einem besonderen Schutzbedürfnis und einer langen Aufbewahrungsfrist unterliegen, leichtfertig in die Obhut eines US-Cloud-Providers zu überführen.

Teilen