Wieso Versicherer Google & Co. nicht vertrauen sollten

Die Cloud-Technologie ist mittlerweile selbstverständlich geworden. Die amerikanischen Unternehmen dominieren den Markt. Die Nutzung der Cloud-Dienstleistungen kann zu erheblichen Problemen für europäische Nutzer wie Versicherungen führen, denn das Verständnis von Datenschutz unterscheidet sich diesseits und jenseits des Atlantiks erheblich. In einem Gastbeitrag erklärt Mark Zondler, Geschäftsführer der Snapview GmbH aus München, die Gefahren und zeigt Lösungen auf.

IT aus der Wolke ist in der Breite angekommen: Laut einer Bitkom-Studie nutzten 2019 bereits drei von vier Unternehmen Rechenleistungen aus der Cloud. Cloud-Computing hat sich zur Kerntechnologie der Digitalisierung entwickelt. Videokonferenzen und Software as a Service (SaaS) wären ohne Cloud kaum möglich. Das Gros deutscher Versicherer hat bereits begonnen, ihre IT-Infrastruktur in die Cloud zu migrieren oder gleich neue Anwendungen aus ihr zu beziehen.

Die Deutsche Bank verlagert ihre IT in die Google-Cloud. Andere schalten eigene Server ab und setzen stattdessen auf Amazon und Microsoft. Die Pandemie verstärkt diesen Trend. Schließlich bieten die US-Giganten auch Homeoffice-Varianten. Stefan Brink beobachtet diese Entwicklung mit Sorge. Der baden-württembergische Datenschutzbeauftragte sieht deutsche Firmen und Organisationen, die personenbezogene Daten in die USA übermitteln, einem erheblichen Bußgeldrisiko ausgesetzt. Hintergrund: Der Europäische Gerichtshof (EuGH) hat die Datenschutzvereinbarung zwischen Europa und den USA gekippt. Für das „Privacy Shield“ gibt es keinen Nachfolger.

Risiko Cloud Act

Das bedeutet, die Konzerne berufen sich auf das US-Gesetz Cloud Act (Clarifying Lawful Overseas Use of Data Act). Es erlaubt US-Behörden den Zugriff auf Daten, die US-Unternehmen speichern oder verarbeiten. Deshalb ist Cloud Act für deutsche Versicherer ein Problem. Laut DSGVO ist die Herausgabe von Daten nur in sehr engen Grenzen zulässig. Dem entgegen steht das amerikanische Datenverständnis, das sich in den Gesetzen Patriot Act, Freedom Act und eben Cloud Act widerspiegelt. Sie sind mit europäischem Verständnis von Datenschutz unvereinbar.

Bisher haben die Staatengemeinschaften über Absprachen wie „Safe-Harbor-Regelung“ und „EU-US Privacy Shield“ (Datenschutzschild) versucht, den Spagat zwischen beiden Ansichten zu schaffen. Beide beruhen auf einem System der Selbstzertifizierung. Wonach sich US-Organisationen zu einem Katalog von Datenschutzgrundsätzen freiwillig verpflichten. Der EuGH hat jedoch zuerst die Safe-Harbor-Regelung und im Sommer 2020 das Privacy Shield gekippt. Das sogenannte Schrems II-Urteil stellt fest, dass derartige Selbstverpflichtungen keinen ausreichenden Schutz personenbezogener Daten europäischer Bürger bieten.

Somit ist keine rechtskonforme Zusammenarbeit mit US-Internet-Unternehmen derzeit möglich. Denn Apple, Microsoft oder Google sind per US-Recht gezwungen, Daten offen zu legen – und zwar egal wo diese gespeichert sind. Auch den obersten Berliner Datenschützern wird von den amerikanischen Anbietern bestätigt, dass „man sich als US-Unternehmen in einem Konflikt zwischen Rechtssystemen mit sich widersprechenden Anforderungen befinde, der für das Unternehmen nicht lösbar sei“. Datenschützer von Versicherern haben in der Vergangenheit vor allem darauf geschaut, wo die Daten verarbeitet werden. Die US-Konzerne haben daraufhin Rechenzentren in Europa installiert. Die Institute wägten sich in Sicherheit, wenn die Daten in Europa gespeichert sind.

Lieferketten beachten

Ein Irrglaube, denn es ist nicht nur wichtig, wo Daten verarbeitet werden. Es geht vielmehr darum, wer sie verarbeitet. Denn ein US-Unternehmen muss gemäß Cloud Act Daten auch dann herausgeben, wenn sich diese in einem Rechenzentrum in Deutschland oder der EU befinden. Problematisch ist zudem, wenn Subunternehmer mit in der Lieferkette hängen. Auch sie unterliegen dem Cloud Act.

Beispiel: Ein deutscher Videokonferenz-Anbieter arbeitet mit einem US-Cloud-Provider zusammen, der die IT-Infrastruktur betreibt. Da diese Unternehmen Zugriff auf die Daten haben und dem Cloud Act unterliegen, führt diese Konstellation zu einer Unvereinbarkeit mit dem EU-Datenschutz. Folglich müssen Versicherer in Deutschland bei einem Vertrag mit einem anderen Unternehmen prüfen, ob der Geschäftspartner die Daten bei einem US-Cloud-Anbieter speichert.

Bis eine belastbare neue Vereinbarung zwischen Europa und den USA in Kraft tritt, wird wohl noch Zeit vergehen. Ohne eine solche ist eine Zusammenarbeit mit US-Cloud- und Internet-Plattformen gefährlich.

Souveränität und Freiheit

Die Sichtweisen diesseits und jenseits des Atlantiks sollten jedem Vorstand zu denken geben. Als Europäer sollten wir nicht nur darauf schauen, ob und wie wir den aktuellen Konflikt durch eine weitere Safe-Harbor-Regelung oder ein neues Privacy Shield überwinden können. Darunter liegt ein wichtigerer Aspekt: Wollen wir unser Finanzwesen und unsere Verwaltung auf einer ausländischen Dateninfrastruktur aufbauen und welcher strategischen Gefahr setzen wir uns damit aus?

Für die Staaten, Unternehmen und Bürger Europas ist der Aufbau eigener Plattformen wichtig. Es wäre ein fataler Fehler, wenn wir uns als Europäer von US-amerikanischen Rechenzentren und von US-Internet-Plattformen abhängig und letztlich erpressbar machen. Der Aufbau einer eigenen Dateninfrastruktur sichert unsere Souveränität, unsere Unabhängigkeit und unsere Freiheit. Projekte wie GAIA-X und die European Cloud User Coalition (ECUC) sind daher von großer strategischer Bedeutung.

Autor: Mark Zondler, Geschäftsführer der Snapview GmbH