Was bedeutet der transatlantische Datenschutzrahmen zwischen der EU und den USA für Datensouveränität und souveräne Cloud-Lösungen? 

Zwischen den Vereinigten Staaten und Europa findet mehr Datenaustausch statt als irgendwo sonst auf der Welt. Diese Daten ermöglichen zumindest zum Teil die Wirtschaftsbeziehungen zwischen den USA und der EU, die einen Wert von über 7 Billionen US-Dollar haben. Allerdings ist die jüngste Geschichte des transatlantischen Datentransfers turbulent. Bereits im Juli 2020 hat der Gerichtshof der Europäischen Union (EuGH) das bestehende Abkommen zwischen der EU und den USA zur Datenweitergabe, dem sogenannten “Privacy Shield”, aufgehoben, das es US-Unternehmen ermöglichte, personenbezogene Daten aus der EU zu erhalten, wenn sie sich an kontinentale Datenschutz- und Datenschutzstandards hielten. Nach einer wegweisenden Anfechtung durch den Anwalt und Datenschutzaktivisten Max Schrems, hat der EuGH diese Vereinbarung aufgrund von Bedenken hinsichtlich der Überwachung durch US-Strafverfolgungsbehörden für ungültig erklärt.

Seit dem Urteil – genannt Schrems II – hängt die Rechtmäßigkeit von Datentransfers aus Europa in die USA in der Schwebe. Schrems II verlangt von Unternehmen in der EU und im Vereinigten Königreich (auch nach dem Brexit), dass sie jede Datenübertragung in jedes Nicht-EU-Land individuell bewerten. Wenig überraschend, hat dies zu mehreren heftigen Rechtsstreitigkeiten zwischen europäischen Datenschutzbehörden und großen Konzernen wie Google, Stripe oder Meta geführt.

In einem Versuch, dieser Situation zu begegnen, hat die EU eine grundsätzliche Einigung mit den USA über einen neuen Rahmen für den transatlantischen Transfer personenbezogener Daten angekündigt, die als Rahmenwerk für die Rechtskonformität transatlantischer Datenübermittlungen sorgen soll. Diese ist als neuer transatlantischer Datenschutzrahmen (“Trans-Atlantic Data Privacy Framework”) bekannt. Unklar ist allerdings, ob die Einigung Rechtsstreitigkeiten beseitigen wird.

 

Warum Datensouveränität wichtig ist 

Die Argumente um den transatlantischen Datentransfer werden von der Idee der „Datensouveränität“ bestimmt – einem Rechtsprinzip, das besagt, dass Daten den Gesetzen des Landes unterliegen, in dem sie gespeichert und erhoben werden. Aber warum ist dies für EU-Organisationen relevant, die ausschließlich im Inland oder innerhalb Europas tätig sind? Ganz einfach: Wenn sie die Public Cloud nutzen, ist es durchaus möglich, dass diese Daten wieder in eines der US-Rechenzentren der Hyperscaler übertragen werden.

Dies wiederum bedeutet, dass ihr Public-Cloud-Anbieter gezwungen wäre, US-Strafverfolgungsbehörden und Regierungsbehörden Zugang zu ihren Daten zu gewähren, wenn dies durch einen Haftbefehl, eine Vorladung oder einen Gerichtsbeschluss verlangt wird – wie 2018 im Clarifying Lawful Overseas Use of Data (CLOUD) Act beschrieben.

Dies hat in der Vergangenheit zu einem klaren Konflikt mit der EU-Datenschutz-Grundverordnung (DSGVO) geführt, die eindeutig festlegt, dass Cloud-Anbieter sich verpflichten müssen, personenbezogene Daten nur auf der Grundlage von rechtlichen Anfragen nach EU-Recht sowie dem britischen Post-Brexit-Datenschutzgesetz (DPA) offenzulegen.

Der neue transatlantische Datenschutzrahmen verspricht, den widersprüchlichen EU-US-Datenschutzgesetzen ein Ende zu bereiten.

Laut einem Briefing des Weißen Hauses, wird der neue Rahmen „Regeln mit hohem Standard zum Schutz personenbezogener Daten“ beinhalten. Zumindest theoretisch wird dies US-Hyperscalern ermöglichen, Konformität mit GDPR und DPA zu beanspruchen. Datenschutzaktivisten wie Max Schrems haben jedoch bereits Bedenken hinsichtlich des Datenschutzrahmens geäußert und einige der Hürden aufgezeigt, denen er mit ziemlicher Sicherheit begegnen wird. Daher stellt sich die Frage: Wenn das neue Rahmenwerk vor Gericht geprüft wird, wird es Bestand haben oder wird ihm das gleiche Schicksal wie dem Privacy-Shield ereilen? Die Zeit wird es zeigen.

 

Die Implementierung einer souveränen Cloud 

Die anhaltende Ungewissheit in Bezug auf Datenübertragungen zwischen der EU und den USA, unterstreicht den Wert einer souveränen Cloud. Eine souveräne Cloud ist eine Cloud-Infrastruktur, die so konzipiert und aufgebaut ist, dass sie den lokalen Gesetzen zu Datenschutz, Zugriff, Kontrolle und Übertragung entspricht. In der Praxis bedeutet dies, Daten in dem Land zu speichern, in dem sie erhoben wurden, oder „virtuelle Datenräume“ zu nutzen, um eine grenzüberschreitende Datenhoheit zu ermöglichen.

Für Unternehmen besteht der Hauptvorteil der souveränen Cloud darin, widersprüchliche regulatorische Anforderungen zu vermeiden – jetzt und in Zukunft.

Organisationen, die am Aufbau einer souveränen Cloud interessiert sind, stehen zwei Optionen zur Verfügung:

  • Die erste ist die Zusammenarbeit mit einem regionalen Dienstleister, der innerhalb bestimmter Landesgrenzen tätig ist.
  • Die zweite besteht darin, dass Unternehmen ihre eigene souveräne Cloud von Grund auf aufbauen und dabei privaten Cloud-Speicher vor Ort verwenden.

In beiden Fällen können sich Unternehmen dafür entscheiden, weiterhin die Public Cloud für einige Workloads zu verwenden, und sich für eine souveräne Cloud entscheiden, um sensible Daten mit personenbezogenen Informationen zu verarbeiten.

Unabhängig davon, ob sich ein Unternehmen für eine eigene souveräne Cloud entscheidet oder mit einem regionalen Cloud-Anbieter zusammenarbeitet, bleibt Objektspeicher der Schlüssel zum Aufbau einer souveränen Cloud. Wie bei den meisten IT-Projekten, spielen auch hier die Kosten eine große Rolle – Object-Storage ist deutlich skalierbarer und kostengünstiger als Block- oder File-Storage.

Darüber hinaus bietet Object Storage S3-API-Kompatibilität – der De-facto-Kommunikationsstandard für Cloud-Storage. Dies ist wichtig, da souveräne Clouds mit S3-kompatibler Speicherinfrastruktur nahtlos mit der Public-Cloud kommunizieren können, was eine einfache Datenmobilität ermöglicht.

Nicht zuletzt bieten viele Objektspeicherlösungen Datenunveränderlichkeit und Verschlüsselung, die Unternehmen dabei helfen, der Ransomware-Bedrohung entgegenzuwirken. Diese Technologien verhindern, dass Daten innerhalb eines benutzerdefinierten Zeitraums verändert oder zu gelöscht werden und ermöglichen so eine schnelle Wiederherstellung der unveränderten Daten im Falle eines Ransomware-Angriffs, ohne Lösegeld zu zahlen. Gleichzeitig hindert die Verschlüsselung Hacker daran, Daten zu lesen oder veränderte Versionen öffentlich zu machen – die Antwort auf die andere Form von Ransomware-Erpressung.

Sascha Uhl, Object Storage Technologist bei Cloudian

Unabhängig davon, ob der transatlantische Datenschutzrahmen bestehen bleibt oder nicht; es ist klar, dass die Einhaltung von Gesetzen und Vorschriften, die sich auf die Datensouveränität auswirken, eine Herausforderung für alle Organisationen bleibt, die Daten mit personenbezogenen Informationen verwalten. Souveräne Clouds, die auf Objektspeicher basieren, sind eine großartige Möglichkeit, diese Herausforderung zu meistern.

Von Sascha Uhl, Object Storage Technologist bei Cloudian