Sichere Daten dank Verschlüsselung

bei

 / 19. May. 2021

In Zeiten von Homeoffice benötigen Mitarbeiter zuhause Zugriff auf Unternehmensdaten, die mitunter vertraulich oder datenschutzrechtlich relevant sind. Das stellt Unternehmen zunehmend vor die Herausforderung, die Sicherheit dieser Daten und die Einhaltung der gesetzlichen Vorschriften zu gewährleisten.

Der Gang ins Homeoffice hat die Cloudnutzung und den direkten Zugang zur Cloud deutlich verstärkt. Das stellt viele Arbeitgeber vor ein Dilemma. Denn seit dem Urteil des Europäischen Gerichtshofs in Luxemburg im Sommer 2020 ist das Privacy-Shield-Abkommen zwischen den USA und der EU hinfällig. Damit ist die Nutzung amerikanischer Cloud-Services rechtlich fragwürdig geworden. Denn die Übertragung personenbezogener Daten in die USA widerspricht den Anforderungen der europäischen Datenschutzgrundverordnung (DSGVO). Im Kern des Urteils geht es darum, die europäischen Datenschutzstandards einzuhalten und durchsetzbar zu machen. Das ist gegenüber einem amerikanischen Anbieter aber schlichtweg nicht möglich. Wer nicht über geeignete Schutzmaßnahmen verfügt, soll den Cloud-Service aussetzen oder einstellen, so besagt es der Europäische Datenschutzausschuss. Unternehmen haben demnach in diesem juristischen Vakuum die Wahl, die DSGVO zu verletzen oder auf die Cloud-Services amerikanischer Anbieter zu verzichten.

Wegweisendes Urteil in Frankreich

Im März diesen Jahres hat das oberste französische Verwaltungsgericht Conseil d’Etat ein bemerkenswertes und richtungsweisendes Urteil gefällt. Dabei ging es um die möglichen Zugriffe von US-Behörden auf personenbezogene Daten von europäischen Bürgern.

Frankreichs Impfkampagne ist bei AWS gehostet. Die Anmeldung für COVID-19-Impfungen erfolgt über das Internet, wobei die Online-Plattform Doctolib mit der Verwaltung betraut ist. Doctolib wiederum greift für das Hosten der Daten auf eine Tochtergesellschaft von Amazon Web Services (AWS) in den USA zurück. Dabei handelt es sich um personenbezogene Daten, die nach der DSGVO nicht zu einem amerikanischen Cloud-Provider gelangen dürfen, weil der US-Staat potenziell Zugriff darauf hat. Gewerkschaften und Berufsverbände haben deswegen Klage eingereicht.

Das Verwaltungsgericht hat die Klage abgewiesen. Es legt in der Urteilsbegründung dar, dass die Verwendung von AWS als Provider nicht automatisch dazu führe, dass die Verarbeitung der personenbezogenen Daten gegen die DSGVO verstoße. Denn es seien zusätzliche technische Maßnahmen implementiert, die das in den USA unzureichende Datenschutzniveau auf ein angemessenes Maß anheben. Die Daten sind verschlüsselt, und der Schlüssel verbleibt in den Händen einer dritten Partei auf europäischem Boden, sodass AWS selbst keinen direkten Zugriff auf die Daten hat. Diese Vorgehendweise entspricht den Empfehlungen des European Data Protection Boards (EDPB).

Die Folgen dieses Urteils sind nicht zu unterschätzen. Es bestätigt einerseits, dass bei US-amerikanischen Unternehmen ein Zugriff durch US-Behörden möglich ist und dies der DSGVO widerspricht. Andererseits hat es den Unternehmen aber einen Weg aufgezeigt, wie sich mit Hilfe technischer Maßnahmen personenbezogene Daten dennoch mit Hilfe von US-Unternehmen verarbeiten lassen. Das Zauberwort heißt Verschlüsselung.

Doppelt verschlüsselt hält besser

Das Beispiel Microsoft 365 zeigt, wie eine Verschlüsselung mit einem sinnvollen Schlüssel-Management sensible Daten in der Cloud schützt und sich so die Datenschutzbestimmungen erfüllen lassen. Microsofts SaaS-Lösungen sind so konzipiert, sich mit dem Microsoft-eigenen Key-Management zu verschlüsseln. Microsoft hat somit grundsätzlich Zugang zu den Daten. Da das EuGH-Urteil dies für unzulässig erklärte, gerieten die Cloud-Provider unter Druck. Eine zweite Verschlüsselung mittels Double Key Encryption (DKE) ist für Microsofts Weg, Konformität mit dem europäischen Datenschutzrecht zu erreichen. Die in Microsofts Azure-Cloud genutzten Schlüssel werden beim DKE-Verfahren nochmals verschlüsselt, zum Beispiel mit einer Lösung des Herstellers Thales. Der zweite Schlüssel verbleibt beim Kunden. Die doppelte Verschlüsselung ermöglicht es Unternehmen somit, die Daten in Microsoft 365-Anwendungen zu schützen und gleichzeitig die Kontrolle über die kryptografischen Schlüssel zu behalten.

Insbesondere Unternehmen in stark regulierten Branchen wie Finanzdienstleistung und Gesundheitswesen können mit Double Key Encryption für Microsoft 365 Vorschriften wie die DSGVO, den Health Insurance Portability and Accountability Act (HIPAA) und die Empfehlungen des Europäischen Datenschutzausschusses (EDPR) einhalten.

Google Cloud geht einen etwas anderen Weg und lässt externe Key-Manager zu. Beim Cloud External Key Manager (EKM) nutzt man die Verschlüsselung des Services bei Google, hat aber die komplette Schlüsselgewalt bei sich. Das könnte sich künftig als Königsweg erweisen. Denn Google hat keinen Zugriff auf die Daten und man hat nur einen Schlüssel und nicht zwei wie bei DKE. Der Schlüssel befindet sich im externen System und wird niemals an Google gesendet.

Egal, auf welchen Cloud-Provider die Wahl fällt: Es gilt stets zu beachten, dass die eigenen Schlüssel gut geschützt und sicher aufbewahrt sind. Hardware Security Modules sind ein Service, der Schlüssel unkopierbar macht.

Schlussfolgerungen für Unternehmen

Aus dem Gerichtsurteil in Frankreich lassen sich mehrere Erkenntnisse gewinnen: Einerseits müssen Unternehmen durchaus damit rechnen, wegen der Nutzung einer US-Cloud-Plattform vor Gericht zu landen und den Prozess gegebenenfalls zu verlieren, sollten keine entsprechenden Maßnahmen nachweisbar sein. Andererseits haben sie dort nichts zu befürchten, wenn sie die Schlüssel zur Ver- und Entschlüsselung des Cloud-Service separat halten und der Cloud-Provider somit keinen Zugriff auf die Daten erlangen kann. Der endgültige Königsweg muss noch gefunden werden, doch ist dies eine Möglichkeit, welche durch das französische Gerichtsurteil, zumindest in erster Instanz, gegeben wird. Es bleibt abzuwarten, wie sich dies in den weiteren Instanzen bis zum Europäischen Gerichtshof entwickelt.

Letztendlich besteht die Herausforderung für die Unternehmen darin, klar zu trennen zwischen denjenigen, die den Service bereitstellen und denjenigen, die auf die Daten zugreifen müssen. Microsoft hat den Weg der doppelten Verschlüsselung gewählt, wobei der Kunde einen der beiden Schlüssel hält. Damit sind die Daten für Microsoft nicht mehr einsehbar. Google geht einen tiefgreifenden Weg mit EKM.

Kurz zusammengefasst: Das Kernelement einer datenschutzrechtlich zulässigen Nutzung ist die Verschlüsselung der Daten, so dass der US-Dienstleister allenfalls verschlüsselte Daten herausgeben kann, ohne selbst den Schlüssel zu besitzen.

 

Über den Autor / die Autorin:


Andreas Dumont arbeitet seit dem Jahr 2000 als Fachzeitschriftenredakteur und war seitdem in mehreren Verlagen angestellt. 2019 hat er sich als freier Journalist und Autor selbstständig gemacht.