Im Juli 2020 fällte der Europäische-Gerichtshof (EuGH) ein weitreichendes Urteil und schlug den sogenannten „Privacy Shield“ nieder. Die Richter sahen in der bis dato gängigen Praxis zur Übermittlung personenbezogener Daten zwischen der EU und den USA ein grundlegendes Problem, da das US-Recht den Schutz personenbezogener Daten aus der EU nicht angemessen gewährleisten kann. Das Urteil wurde weitläufig als Schrems II- Urteil bekannt.
Die Abwägung, ob Amazon Web Services (AWS) in diesem Zusammenhang für Belonio rechtssicher nutzbar ist, beruht auf der Einschätzung des datenschutzrechtlichen Risikos. Dieses orientiert sich am risikobasierten Ansatz der DSGVO. Wir stellen uns im Hinblick auf das Schrems II-Urteil deshalb die Frage:
Besteht die Gefahr, dass US-amerikanische Behörden auf Belonio-Kundendaten zugreifen können und wenn ja, wie wahrscheinlich ist das?
Bei Belonio verarbeiten wir die Mitarbeiterdaten unserer Unternehmenskunden. Wir erfassen dafür die Daten, die für die Ausgabe von Gutscheinen, Sachbezügen und Benefits aller Art notwendig sind.
Für eine sinnvolle Risikoanalyse, müssen wir diese Datenkategorien in einen größeren Kontext setzen. Die Information, dass Mitarbeiter XY von seinem Arbeitgeber monatlich einen 100,05 € Essenszuschuss erhält ist grundsätzlich anders zu bewerten als beispielsweise Gesundheitsdaten eines Patienten oder Daten des Verfassungsschutzes zur Terrorabwehr. Für die ganz allgemeine Bewertung der Risikoschwere ergibt sich hier tendenziell also ein eher niedriges Risiko.
Auch die Wahrscheinlichkeit eines unbefugten Zugriffs ist als eher gering zu bewerten. Belonio-Daten sind für den Zugriff durch US-Behörden als weniger nützlich zu klassifizieren, als beispielsweise die Daten einer Bundesbehörde.
Natürlich stellen die DSGVO und auch wir selbst einen hohen Sicherheitsanspruch an die Verarbeitung unserer Daten. Aus diesem Grund haben wir uns für die Zusammenarbeit mit AWS entschieden.
Datensicherheit mit dem Marktführer
Unsere Kernkompetenz sind Benefits. Hier investieren wir unsere Energie und unser Know-How. Die Belonio Benefit-Plattform funktioniert auf Basis von Managed Services. In diesem Bereich gibt es sechs große Anbieter: Amazon Web Services, Microsoft, Google, Alibaba, IBM und Tencent (Gartner Cloud Compute Magic Quadrant 2020). Wir haben uns bewusst für AWS entschieden, weil sie als bester Anbieter am Markt für unseren Anspruch an Datensicherheit alle relevanten Services anbietet.
Was bietet AWS für den Datenschutz?
- Alle relevanten Zertifizierungen (BSI C5, FIPS-140, ISO-27001 etc.) für Rechenzentren und Managed Services.
- Mit AWS Control Tower erzwingen wir die Einhaltung von Sicherheitsrichtlinien über alle unsere Konten.
- Mit AWS KMS, einer FIPS-2/teils 3 zertifizierten Hardware Security Key Infrastruktur, erzeugen wir unsere kryptografischen Schlüssel für die Verschlüsselung aller unserer Daten At-Rest. An diese Daten kommt außer uns niemand heran. Der KMS läuft in einem separaten Konto, welches abgesichert ist. Den Schlüssel hat nur unser Security Officer.
- Mit CloudTrail zeichnen wir alle Vorgänge in unseren AWS Konten zentral auf. Die Logfiles werden in einem separaten Konto aufgezeichnet und sind vor Manipulation geschützt.
- Mit GuardDuty wird unsere Infrastruktur ständig auf verdächtigen Datenverkehr überwacht.
Was bedeutet das für den Laien? Wie sicher sind die Daten?
Wie genau die Datensicherheit gewährleistet wird, soll mit folgendem Beispiel veranschaulicht werden:
Angenommen, dass die von Belonio verarbeiteten personenbezogenen Daten der zu schützende Schatz in einer Burg sind. Die Systeme von AWS sind unsere schützenden Burgmauern, in deren Inneren sich der Schatz befindet. Die wohl umfangreichste Sicherheitsmaßnahme stellt der AWS Control Tower dar. Wir stellen uns das als eine Art Aussichts- und Überwachungsturm der Burg vor. Von hier aus haben die Wächter den perfekten Überblick über das gesamte Burgareal. Der Control Tower ist also die Instanz, über die der Schutz der Daten gemanaged wird.
Unsere IT-Abteilung verwaltet ein Dashboard, über das die einzelnen Schutzmaßnahmen überwacht und gesteuert werden. Hier laufen alle Prozesse zusammen, sodass sowohl präventive Schutzmaßnahmen getroffen und überprüft als auch etwaige Angriffe identifiziert werden können. Das ganze basiert auf einem System geteilter Verantwortungen: Die Belonio IT-Abteilung überwacht vom Aussichtsturm aus alle laufenden Schutzprozesse und kann regulierend in diese eingreifen. Und die vielen AWS-Ritter führen die gewünschten Maßnahmen durch und sorgen für die Instandhaltung der Burgmauern.
Da der Burgschatz stetig wächst, also mit der Zeit immer mehr Daten dazu kommen, werden alle neuen Daten, die das innere der Burgmauern betreten, identifiziert und in eine verschließbare Truhe gepackt.
Außerhalb unseres Burgschatz-Beispiels bedeutet das: Sobald neue Daten in das System gespielt werden, werden diese erkannt und als personenbezogene Daten identifiziert und mit einem entsprechenden GDPR-Tag versehen. Dieser Mechanismus veranlasst eine sofortige Verschlüsselung der Daten. Der Schlüssel, mit dem der Schatz gesichert wird, wird außerhalb der Burg aufbewahrt. Das bedeutet, dass niemand innerhalb der Burg Zugang zum Schatz hat. Sämtliche Zugriffe werden per Cloud-Trail aufgezeichnet, sodass jederzeit nachvollziehbar ist, wer zu welchem Zeitpunkt auf das Security Modul zugegriffen hat.
Zusammengefasst:
Unser Burgschatz befindet sich in abschließbaren Truhen innerhalb der Burgmauern und wird durch die AWS-Ritter geschützt. Über den Aussichtsturm von Belonio wird das ganze gesteuert und überwacht.
Was passiert, wenn die US-Behörden Zugriff auf die Daten anfordern?
Nach dem CLOUD Act könnte AWS dazu verpflichtet werden, die Daten an die Behörden herauszugeben, wenn eine gültige und verbindliche Anordnung der Behörde vorliegt. Wenn eine Behörde AWS eine Anfrage auf Kundendaten sendet, wird AWS alle angemessenen Anstrengungen unternehmen, die Regierungsbehörde an den Kunden zu verweisen, um diese Daten direkt vom Kunden anzufordern. Wenn AWS aufgefordert wird, Kundendaten an eine Behörde herauszugeben, wird AWS – wenn dies rechtlich gestattet ist – Belonio unverzüglich über die Anfrage informieren, um dem Kunden die Möglichkeit zu geben, eine Schutzanordnung oder einen anderen geeigneten Rechtsbehelf zu beantragen. Des Weiteren verpflichtet sich AWS dazu, jede zu weit gefasste oder unangemessene Anfrage anzufechten (insbesondere auch dann, wenn die Anfrage im Widerspruch zum Recht der Europäischen Union oder dem geltenden Recht der Mitgliedstaaten steht).
Eine Datenübertragung in die USA wäre also theoretisch möglich. Jedoch liegt der Schlüssel für die gesicherten Daten zu jeder Zeit bei Belonio. Es ist für die Behörden unmöglich den Inhalt des Datensatzes zu entschlüsseln.
Die Ausgangsfrage
Besteht die Gefahr, dass US-amerikanische Behörden auf Belonio-Kundendaten zugreifen können und wenn ja, wie wahrscheinlich ist das?
Diese Frage können wir nun beantworten: Eine Übermittlung in die USA ist zwar nicht per se ausgeschlossen, aber recht unwahrscheinlich. Ein Zugriff durch die Behörden wird aber auf jeden Fall verhindert.
Fazit
Wir sind dem risikobasierten Ansatz der DSGVO gefolgt und haben entsprechende Maßnahmen ergriffen, die das Risiko für die betroffenen Personen weitestgehend minimieren. Die aktuelle Rechtslage bezüglich des Schrems II Urteils und des damit verbundenen eventuellen Zugriffs durch US-Behörden ist als äußerst unwahrscheinlich zu bewerten.
Die datenschutzrechtliche Theorie ist zwar für jeden Vollblut-Datenschützer ein wahr gewordener Traum. Für die meisten europäischen Unternehmen ist der Verzicht auf die Technologien amerikanischer Unternehmen jedoch nicht denkbar. Wir müssen einen Kompromiss finden zwischen Rechtssicherheit und Praktikabilität. Hier muss jedes Unternehmen selbst entscheiden welche Maßnahmen getroffen werden können, um das Risiko weitestgehend zu minimieren. Wir glauben, dass wir mit AWS einen starken Partner an unserer Seite haben. Und wenn das Restrisiko am Ende des Tages darin besteht, dass wir auf eine recht unwahrscheinliche Anfrage einer US-Behörde nicht verwertbare Datenpakete in die USA transferieren, dann können wir damit sehr gut leben. Der Geist der DSGVO ist unserer Ansicht nach gewahrt, denn die Daten der Betroffenen sind gegen eine unrechtmäßige Verarbeitung von US-Behörden geschützt!
