Die Datenübermittlung in einen Drittstaat wie die USA ist nur zulässig, wenn dort ein angemessenes Datenschutzniveau sichergestellt ist. Reicht es dazu, die personenbezogenen Daten zu verschlüsseln? Oder ist die Verschlüsselung nur eine Maßnahme von vielen?
Handlungsbedarf bei der Nutzung von Online-Diensten aus den USA
Drei von vier Unternehmen (76 Prozent) nutzten im Jahr 2019 Rechenleistungen aus der Cloud, so die Studie „Cloud-Monitor 2020“ des Digitalverbands Bitkom und der Wirtschaftsprüfungsgesellschaft KPMG. Unternehmen aus Deutschland nutzen Cloud-Dienste aber nicht nur, um Daten zu speichern (Cloud-Storage genannt). Sie verwenden auch Anwendungen aus der Cloud wie Office-Programme, E-Mail-Dienste, Terminverwaltungen, Videokonferenzdienste und Programme zur Datenanalyse, um nur einige Beispiele zu nennen.
Viele Cloud-Dienste werden dabei von Unternehmen aus den USA betrieben. Werden personenbezogene Daten in die Cloud übermittelt, muss es dafür eine Rechtsgrundlage geben, so will es die Datenschutz-Grundverordnung (DSGVO). Bei vielen Cloud-Diensten aus den USA galt bisher der sogenannte „Privacy Shield“ als die Rechtsgrundlage.
Mit dem Urteil des Europäischen Gerichtshofs (EuGH), dass der Privacy Shield als rechtliche Grundlage für die Übermittlung personenbezogener Daten in die USA ungültig ist, stehen viele Unternehmen nun vor einer Herausforderung: Wie können sie nun personenbezogene Daten in einen Cloud-Dienst übertragen, der in den USA betrieben wird?
Von rechtlicher Seite gibt es viele Überlegungen und Hinweise, worauf ein Unternehmen nun achten muss. Gleichzeitig melden sich Anbieter von Verschlüsselungslösungen zu Wort, man könne das Privacy-Shield-Problem lösen, indem man einfach alle Daten verschlüsselt.
So manches Unternehmen denkt nun: Wenn die Daten verschlüsselt sind, kann man sie problemlos in die USA übermitteln, auch wenn Privacy Shield keine Rechtsgrundlage sein kann und es keine andere Rechtsgrundlage gibt. Doch stimmt das?
Nutzung der verschlüsselten Daten in den USA
Ohne in die Tiefen des Datenschutzrechts einzutauchen, lohnt sich bereits die Überlegung, ob die Daten beim Empfänger, also zum Beispiel bei dem Cloud-Betreiber in den USA, verschlüsselt bleiben. Nehmen wir das Beispiel, dass ein Unternehmen einen Cloud-Dienst für Maschinelles Lernen in den USA nutzen möchte, ein häufig anzutreffender Fall.
Zum einen lassen sich die verschlüsselten Daten nicht mittels Maschinellen Lernens verarbeiten und analysieren. Zum anderen muss auch auf dem Server in den USA sichergestellt sein, dass nur Befugte die Daten weiterverarbeiten. Das setzt aber eine Rechtsgrundlage voraus. Ein „Ersatz“ für Privacy Shield ist die Verschlüsselung also nicht.
Personenbezug bei verschlüsselten Daten
Manchmal hört man das Argument, verschlüsselte Daten würden nicht mehr dem Datenschutz unterliegen, denn sie hätten den Personenbezug verloren. Wäre dem so, könnten verschlüsselte Daten ohne datenschutzrechtliche Vorgaben übermittelt und verarbeitet werden.
Aber Vorsicht: Verschlüsselte Daten sind ein klassisches Beispiel für Pseudonymisierung, so die Aufsichtsbehörden für den Datenschutz. Die verschlüsselten Informationen beziehen sich auf Personen, die durch einen Code gekennzeichnet sind, während der Schlüssel für die Zuordnung des Codes zu den Kennzeichen der Personen (zum Beispiel Name, Geburtsdatum, Adresse) gesondert aufbewahrt wird.
Pseudonyme Daten sind jedoch weiterhin personenbeziehbar. Denn sie lassen sich durch Heranziehung zusätzlicher Informationen einer natürlichen Person zuordnen. Man müsste zuverlässig verhindern können, dass der Cloud-Betreiber in den USA oder andere Stellen dort den Schlüssel zur Entschlüsselung erlangen können. Dann aber könnten die Daten in der Cloud auch nicht weiterverarbeitet werden.
Man kann also nicht davon ausgehen, dass verschlüsselte Daten nicht mehr dem Datenschutz unterliegen. Unternehmen brauchen somit auch für die Übermittlung verschlüsselter Daten eine Rechtsgrundlage.
Allein die Verschlüsselung reicht nicht
Aber auch wenn es nicht ausreicht, die personenbezogenen Daten zu verschlüsseln, um sie in einen Drittstaat wie die USA übermitteln zu dürfen, ist die Verschlüsselung durchaus eine wichtige zusätzliche Maßnahme bei einer Datenübermittlung.
Verschlüsselung gehört zu den zusätzlichen Maßnahmen, um ein Datenschutzniveau sicherzustellen, das dem in der EU gleichgestellt ist, so die Aufsichtsbehörden. Nur dann, wenn ein angemessenes Datenschutzniveau im Empfängerland bei der Übermittlung personenbezogener Daten sichergestellt ist, darf die Datenübermittlung erfolgen. Nur dann also dürfen Unternehmen Online-Dienste aus den USA weiterhin nutzen, wenn damit personenbezogene Daten verarbeitet werden sollen. Die Verschlüsselung allein reicht dafür nicht, auch wenn dies manche Anbieter behaupten. Es gilt nun besonders, Angebote zu hinterfragen, die technische Lösungen zum Privacy-Shield-Problem offerieren.