Wissen

10 Gründe für Open Source Software statt amerikanischer Clouddienstleister

Nachfolgend möchten wir einige Vorteile bei der Verwendung von Open Source Software (statt der zahlreichen Cloud-Dienste aus den USA) aufzeigen. Besonders aus datenschutzrechtlicher Sicht ist die Verwendung von Open Source Software in der eigenen Firma im Vergleich zu anderen Lösungen aus Drittstaaten empfehlenswert. ## Können personenbezogene Daten problemlos in den USA gespeichert werden? Aktuell ist die Übertragung von persönlichen Daten in Drittstaaten - wie etwa die USA - nicht (mehr) von einem internationalen Abkommen gedeckt, denn das zuletzt genutzte "Privacy Shield" wurde für unzureichend erklärt. Auch bei einer nachfolgenden neuen Rahmenvereinbarung bestehen datenschutzrechtlich zahlreiche Bedenken, diese sind insbesondere darin begründet, dass etwa amerikanische Sicherheitsbehörden jederzeit Zugriff auf die dort gespeicherten Daten anfordern könnten (und über den Zugriff auch keine Information erfolgt). So versendet etwa das FBI sogenannte "National Security Letter" bzw. "NSL" welche Daten bei den Providern anfordern und gleichzeitig ein Stillschweigen über diesen Umstand mit Strafandrohung befehlen. Ein gleichwertiges Datenschutzniveau in Europa wie dies von der DSGVO vorgeschrieben wird ist demnach nur sehr schwer zu erreichen, insbesondere wenn besonders schützenswerte Daten wie etwa Gesundheitsdaten gespeichert oder verarbeitet werden. Das Wichtigste für ein Unternehmen aus datenschutzrechlicher Sicht dürfte daher die Erhaltung der eigenen Datensouveränität sein. Damit ist die vollständige Kontrolle über die eigenen Daten und die Daten der Kunden gemeint. Bei der Abgabe an einen Cloud-Dienst aus den USA wird diese Souveränität zu einem großen Teil aufgegeben. ## Was ist der Vorteil von Open Source? Beim Einsatz quelloffener Software ist zudem der Code und die Funktionsweise der Software stets einsehbar. Bestimmte Funktionen und Routinen können leichter angepasst werden als dies bei normaler Software der Fall ist. Auch können keine "Hintertüren" in der Software versteckt werden, denn der Code ist wie Eingang beschrieben quelloffen und somit für jeden einsehbar. Open Source Software kann von Unternehmen intern auf den eigenen Server betrieben bzw. gehostet werden, während SaaS-Lösungen aus den USA meist auch auf US amerikanischen Server gehostet werden. Beim Betrieb der Software auf den eigenen Servern wird daher ein höherer Grad an Souveränität erreicht, denn wo, wie und wann die Daten verarbeitet bzw. gespeichert werden entscheidet allein das Unternehmen und nicht ein anderer Dienstleister. Ein weiterer Vorteil dürfte im Wegfall von Haftungsrisiken liegen, denn mit einem externen Dienstleister sind meistens Verträge zur Auftragsdatenverarbeitung abzuschließen, welche auch auf eine gemeinsame Haftung abstellen. Jedes Unternehmen haftet nur sehr ungerne für kaum absehbare Risiken bei der Datenverarbeitung der ausgewählten Dienstleister. ## Warum sind Clouddienstleister problematisch? Ein sehr großer Nachteil bei der Nutzung von großen Clouddienstleistern aus den USA ist demnach die Weitergabe der Daten an andere Dienstleister, denn die großen Anbieter können die vielfältigen Aufgaben meist nicht alleine bewältigen. So werden die Daten auch an zahlreiche Unterauftragnehmer in verschiedenen Ländern weitergegeben. Eine Nachverfolgung dieser Datenübermittlungen ist kaum noch kontrollierbar und nur schwer nachzuverfolgen. Als konkretes Beispiel lässt sich hier die Liste der Unterauftragnehmer für die beliebte G-Suite von Google mit über 60 verschiedenen Subunternehmern anführen (Stand 29.07.2022, URL: https://workspace.google.com/intl/en/terms/subprocessors.html). Bei zukünftigen "Datenpannen" besteht neben dem Risiko von empfindlichen Bußgeldern auch die sehr große Gefahr eines Imageverlusts für das eigene Unternehmen bei der Nutzung von unsicheren Dienstleistern. ## Was spricht also für die Nutzung von Open Source Software statt der großen Clouddienste? 1. Die Datensouveränität bleibt erhalten 2. Kein (unbemerkter) Zugriff von ausländischen Sicherheitsbehörden 3. Keine Hintertüren 4. Quelloffene Software kann angepasst werden 5. Geringere Haftungsrisiken 6. Weniger Verträge mit Dienstleistern 7. Höhere Sicherheitsstandards möglich 8. Hosting innerhalb von Europa 9. Schutz vor Imageverlust 10. Überprüfung von Open Source Software durch unabhängige Experten

04.11.2022
Google Analytics und der Datenschutz

<b>Die Nutzung von Google Analytics ist für österreichische Websitenbetreiber*innen so gut wie nicht mehr zulässig. Grund dafür ist der Erfolg der NGO noyb, welche es teilweise geschafft hat bei der österreichischen Datenschutzbehörde (DSB) eine Beschwerde gegen Google Analytics einzureichen. Der Grund war die Verletzung der allgemeinen Grundsätze der Datenübermittlung gemäß Art. 44 DSGVO.</b> Google Analytics ist das beliebteste Analysetool auf dem Markt jedoch gibt es in den letzten Jahren immer wieder Beschwerden über fragwürdige Datenschutzpraktiken von Google. Zu den Beschwerdeführern gehörte auch die Organisation [noyb](https://noyb.eu/de) um Max Schrems, welche nach der [Schrems-II-Entscheidung](https://curia.europa.eu/juris/liste.jsf?language=de&num=C-311/18) 101 Musterbeschwerden gegen Unternehmen in 30 EU- und EWR Statten aufgrund der Nutzung von Google Analytics und Facebook Connect vorlegte. Darauf folgte die erste [Beschwerdeentscheidung](https://noyb.eu/sites/default/files/2022-01/E-DSB%20-%20Google%20Analytics_DE_bk_0.pdf) durch die DSB, welche die Übertragung von Daten von der Website [netdoktor.at](https://www.netdoktor.at/) an Google betrifft. ## Entscheidung der österreichischen Aufsichtsbehörde Die österreichische Datenschutzbehörde kam schließlich zu dem Ergebnis, dass der Einsatz von Google Analytics einen Verstoß der DSGVO darstellt. ### Personenbezogene Daten Die Aufsichtsbehörde hat eingangs geprüft, ob dabei personenbezogene Daten verarbeitet wurden. Der [Art.4 Nr. 1 DSGVO](https://dsgvo-gesetz.de/art-4-dsgvo/) beinhaltet folgende Informationen: >„Personenbezogene Daten sind alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt, insbesondere mittels Zuordnung [...] zu einer Online-Kennung [...] identifiziert werden kann.“ Aufgrund der Aktivierung von Google Analytics und der Besuch der Website (netdoktor.at), werden an den Google-Server folgende Informationen übertragen: - eindeutige Netzwerkkennungen („unique identifier“), die sowohl den Browser als auch das Gerät des Beschwerdeführers sowie das des Erstbeschwerdegegners (unter Verwendung des Google Analytics-Kontos des Erstbeschwerdegegners als Webmaster) darstellen; - Adresse und HTML-Titel der vom Beschwerdeführer besuchten Websites und Unterseiten; - Informationen über Browser, Betriebssystem, Bildschirmauflösung, Sprachauswahl sowie Datum und Uhrzeit des Aufrufens der Website; - die IP-Adresse des vom Beschwerdeführer verwendeten Geräts. Die Aufsichtsbehörde stellte fest, dass diesen Daten, personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO sind. Netdoktor.at kann aufgrund der oben genannte Punkte Website-Besucher*innen unterscheiden und feststellen, ob es sich um neue oder wiederkehrende Nutzer*innen handelt. Der*die Besucher*in wird somit aus einer homogenen Gruppe aller Website-Besucher*innen ausgewählt und durch eine Kennung identifiziert. Diese Annahme wird durch [EG 26 S. 4](https://dsgvo-gesetz.de/erwaegungsgruende/nr-26/), [EG 30](https://dsgvo-gesetz.de/erwaegungsgruende/nr-30/) verstärkt, da eine eindeutige Identifikationsnummer mit jedem anderen aufgelisteten Element wie Browserdaten oder IP-Adresse kombiniert werden kann, wodurch die Wahrscheinlichkeit erhöht wird, dass ein*e Website-Besucher*in identifiziert wird. Dabei stellt sich die Frage, warum netdoktor.at nicht an die Verwendung der „IP-Anonymisierungsfunktion“ von Google Analytics gedacht hat. Netdoktor.at räumte in seiner Stellungnahme gegenüber der Aufsichtsbehörde ein, dass diese Funktion nicht korrekt implementiert wurde. Die DSB argumentierte jedoch, dass eine ordnungsgemäße Umsetzung das Rating nicht verändert hätte. Denn die Kennung ist mit so vielen anderen Elementen verknüpft, dass der Personenbezug dennoch besteht. ### Datenübertragung mit Folgen In diesem Fall stellt die österreichische Aufsichtsbehörde fest, dass kein ausreichendes Schutzniveau bei der Übermittlung von Daten von netdoktor.at an Google durch ein Instrument des [Kapitel V der DSGVO ](https://dsgvo-gesetz.de/kapitel-5/)vorliegt und daher von einem Verstoß von Art. 44 DSGVO gesprochen werden kann. Die Standardvertragsklauseln die netdoktor.at mit Google vereinbart hatte, gewährleisten kein angemessenes Schutzniveau nach Artikel 44 DSGVO. Denn Google unterliegt der Überwachung durch den US Secret Service gemäß [50 US Code § 1881](https://www.law.cornell.edu/uscode/text/50/1881a) (auch bekannt als FISA 702). Die aktuellen zusätzlichen Maßnahmen reichen dabei nicht aus, um die Möglichkeit der Überwachung und des Zugriffs durch den Secret Service auszuschließen. Für die Datenübertragung kann kein anderes Instrument gemäß Kapitel V der DSGVO verwendet werden. In den Entscheidungsgründen verweist die Institution auf die „[Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten](https://edpb.europa.eu/sites/default/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_de.pdf)“ des EDSA. Dabei geht es vor allem um die Feststellung (Rz 70), dass die im Urteil Schrems II genannten „zusätzlichen Maßnahmen“ nur dann als wirksam angesehen werden können, wenn die Maßnahmen, die vom Datenexporteur festgestellten Rechtslücken schließen würden, welche bei der Prüfung der Rechtslage im Drittland festgestellt wurden. Die Behörde zitiert die klare Aussage des EDSA aus diesem Dokument: > „Sollte es dem Datenexporteur letztendlich nicht möglich sein, ein im Wesentlichen gleichwertiges Schutzniveau zu erzielen, darf er die personenbezogenen Daten nicht übermitteln“ (S. 37). Folgende weitere vertragliche und organisatorischen Maßnahmen wurden vereinbart: - die Benachrichtigung der Betroffenen über Anfragen der Geheimdienste (ob überhaupt im Einzelfall zulässig), - die Veröffentlichung eines Transparenzberichts oder Richtlinien zur Zusammenarbeit mit dem Geheimdienst, - die Überprüfung aller Auskunftsersuchen der Geheimdienste. Google hat zudem diese technische Maßnahmen angekündigt: - Schutz der Kommunikation zwischen Google-Diensten, Schutz der Daten bei der Übertragung zwischen Rechenzentren und Schutz der Kommunikation zwischen Nutzer*innen und Websites. - Implementierung einer „On-Site-Security “. - Verschlüsselung der „Daten im Ruhestand“ in Rechenzentren. Hinsichtlich der Behörde vorgelegten [vertraglichen und organisatorischen Maßnahmen ](https://services.google.com/fh/files/misc/safeguards_for_international_data_transfers.pdf)ist nicht ersichtlich, wie wirksam diese aus Sicht des EDSA sind. Was mögliche technische Maßnahmen betrifft, so ist auch nicht klar, inwieweit sie den Zugriff durch den Secret Service der Vereinigten Staaten verhindern würden. So wendet sich die Behörde beispielsweise gegen die von Google bereitgestellten Verschlüsselungstechniken, zusammen mit Forderungen der EDSA, die in ihren oben genannten Empfehlungen an die Vereinigten Staaten feststellte, dass ein Datenimporteur, der § 1881a (FISA 702) 50 des US-Codes unterliegt, Zugriff auf die Daten zu erlauben hat, was sich explizit auf Verschlüsselungsschlüssel erstrecken könnee (Rz 76). Das Urteil betrifft den Betreiber der Website netdoktor.at, und geht nicht gegen Google LLC (USA), da die Vorgaben des Kapitels V der DSGVO nicht vom Datenimporteur, sondern nur vom Datenexporteur erfüllt werden müssen. ## Wird es Zeit für eine Google-Analytics Alternative? Wie bereits erwähnt, war diese Entscheidung die erste von 101 Musterbeschwerden. Doch weitere Länder ziehen nach. So hat auch die französische Aufsichtsbehörde, CNIL, nur zwei Wochen nach der wegweisenden Entscheidung der österreichischen Datenschutzbehörde verkündet, dass der Einsatz von Google Analytics auf Websites gegen die DSGVO verstößt. In den folgenden Monaten veröffentlichten die italienische und die dänische DBS ähnliche Bescheide. Es wird erwartet, dass weitere EU-Länder diesem Beispiel folgen werden. Kommen diese zum gleichen Schluss, hat das nicht nur Konsequenzen für die Nutzung von Google Analytics in Europa. In weiterer Folge dürfen EU-Unternehmen künftig keine US-Cloud-Dienste mehr verwenden. Diese Entscheidung wird zwangsläufig zu Diskussionen führen. Einerseits müssen US-Unternehmen ihre Produkte DSGVO-konform anpassen, andererseits sollten sich EU-Unternehmen nach datenschutzfreundlicheren Alternativen „umsehen“. Eine andere Lösung könnte darin bestehen, US-Gesetze zu ändern, um die Daten von EU-Bürger*innen besser zu schützen, oder die Verwendung von Daten von EU-Bürger*innen auf Servern außerhalb der USA zu verbieten. Sollten weiterhin personenbezogene Daten ohne entsprechende Garantien in die USA transferiert werden, drohen empfindliche Strafen. Präsident Biden unterzeichnete am 07.10.2022 eine Executive Order, wodurch die Schritte zum [European Union-DS Data Privacy Framework](https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/) festgelegt wurden. Ziel ist es die rechtlichen Rahmenbedingungen in den USA zu schaffen, auf deren Basis dann der Prüfungsprozess der EU-Kommission für einen Angemessenheitsbeschluss begonnen werden kann. Die Executive Order soll also den Weg für ein neues Kapitel zum Datentransfer in die USA freimachen. Kritiker*innen bemängeln allerdings, dass Geheimdienste weiterhin auf personenbezogene Daten von EU-Bürger*innen zugreifen können. Lesen Sie hier mehr. Es ist bereits ein Trend zu bemerken, weg von Google Analytics hin zu europäischen Lösungen. Wir helfen Ihnen eine DSGVO-konforme und sichere Lösung für Ihr Anliegen zu finden. Vereinbaren Sie gleich einen [Ersttermin mit uns](https://glasskube.eu/de/beratung/), denn Datenschutz steht bei uns an erster Stelle!

28.11.2022
Die europäische Whistle Blowing Richtlinie

Neue Anforderungen an Unternehmen und Behörden durch die europäische Whistle Blowing Richtlinie Die EU möchte durch die neu eingeführte Whistle Blowing Richtlinie (Richtlinie 2019/1937) zukünftige Hinweisgeber schützen, um effektiv gegen Korruption, Betrug, Fehlverhalten und Fahrlässigkeit vorgehen zu können. Die Mitgliedsstaaten hatten für die Umsetzung der Richtlinie in nationales Recht bis zum 17. Dezember 2021 Zeit. ## Ist die Richline auf mein Unternehmen anwendbar? Die Richtlinie erstreckt sich maßgeblich auf Unionsrecht, so werden selbstverständlich öffentliche Bereiche wie das öffentliche Auftragswesen, Verkehrssicherheit und Umweltschutz, aber auch Bereiche der Privatwirtschaft wie etwa die Produktsicherheit und- konformität sowie Finanzdienstleistungen von der Richtlinie erfasst. Auch der Schutz der Privatsphäre und die Sicherheit personenbezogener Daten stehen im direkten Anwendungsbereich der Richtlinie. Nach dieser Richtlinie sind Unternehmen dazu verpflichtet, interne Meldekanäle zu schaffen und die Mitgliedsstaaten angehalten, sogenannte "externe Meldekanäle" bei Behörden einzurichten. ## Wie werden Meldungen abgegeben? Die Richtlinie sieht vor, dass Hinweisgeber zunächst über interne Meldekanäle eine Meldung abgeben müssen. Stehen solche internen Meldekanäle nicht zur Verfügung, können sich die Hinweisgeber direkt an die hierfür vorgesehen externen Meldekanäle wenden. Hinweisgeber stehen somit beim Fehlen eines internen Meldekanals vollständig unter dem Schutz der Regelungen aus der Richtlinie. Dies wäre unter bestimmten Voraussetzungen auch der Fall, wenn der Hinweisgeber sich - beim Fehlen eines internen Meldekanals - direkt an die Öffentlichkeit wendet (und damit einen schweren Imageschaden produziert). Der Versuch Hinweiswegeber davon abzuhalten, die internen oder externen Meldekanäle zu nutzen oder in welcher Art auch immer "zu bestrafen" wird von den Mitgliedsstaaten zusätzlich durch entsprechende Sanktionen geahndet. So werden aktuelle und ehemalige Mitarbeiter, Vertragspartner, Praktikanten, Bewerber und andere Geschäftspartner als Hinweisgeber umfangreich geschützt. Dieser Schutz umfasst den vorgenannten Schutz vor Repressalien jedweder Art, d. h. einschließlich Suspendierung, Kündigung, Versetzung oder jeder anderen Form der Schlechterbehandlung - sofern diese mit der Meldung in Verbindung steht. Eine etwaige Geheimhaltungsverpflichtung wird durch die Vorschriften der Richtlinie entwertet, Vertragsstrafen und eine weitergehende Haftung grundsätzlich ausgeschlossen. Zusätzlich profitieren Hinweisgeber von einer Beweislastumkehr, so genügt bereits die reine Glaubhaftmachung für den Schutz aus der Richtlinie. Da Hinweisgeber derart stark geschützt werden, empfiehlt es sich für jedes Unternehmen einen entsprechenden Meldekanal einzurichten. Verpflichtend ist ein solcher Meldekanal für Unternehmen in bestimmten Bereichen (wie etwa bei Finanzdienstleistungen), dem öffentlichen Bereich und privaten Unternehmen mit mindestens 50 Arbeitnehmern. ## Wie muss ein solches internes Meldesystem ausgestaltet werden? * Das interne Meldesystem muss allen Beschäftigten zur Verfügung stehen, kann aber auch auf Geschäftspartner und andere externe Dritte ausgeweitet werden. <br> * Wie eine Meldung erfolgt, kann durch die Unternehmen selbst bestimmt werden. So ist die Nutzung einer Online-Plattform, eine Hotline, aber auch die mündliche Abgabe durch ein persönliches Treffen denkbar. Letzteres könnte jedoch Gefahren bergen. <br> * Mit der Bearbeitung der Meldungen muss eine unparteiische Person oder Abteilung beauftragt werden. <br> * Der Meldekanal selbst muss sicher sein, d. h. die Identität des Hinweisgebers oder von Personen, die in der Meldung erwähnt werden, müssen vertraulich behandelt werden. <br> * Der Zugriff durch unbefugte Mitarbeiter ist zu verhindern. <br> * Es muss innerhalb von 7 Tagen eine Bestätigung über die Einreichung der Meldung ausgestellt werden. <br> * Es muss innerhalb von 3 Monaten über Untersuchungen und Folgemaßnahmen eine Unterrichtung des Hinweisgebers erfolgen. <br> * Anonyme Meldungen müssen möglich sein. <br> * Das interne Meldesystem muss die Hinweisgeber über die Möglichkeit einer externen Meldung bei der zuständigen Behörde vollumfänglich informieren. <br> Zusammenfassend ist daher die Einrichtung eines entsprechenden Hinweisgebersystems, für alle Unternehmen und Behörden dringend anzuraten.

04.11.2022
gehackt – muss ich meine Kunden über einen Datenschutzvorfall informieren?

Zu einem Datenschutzvorfall kann es auch unter den besten Bedingungen kommen. Kommt es zu einem Verlust bzw. zu einer sogenannten "Verletzung des Schutzes personenbezogener Daten" kommen, muss nach Art. 33 DSGVO innerhalb von 72 Stunden eine Meldung bei der Aufsichtsbehörde erfolgen. Besteht zudem ein hohes Risiko für die betroffene/n Person/en, so ist die Verletzung nach Art. 34 DSGVO auch der betroffenen Person selbst zu melden. Ziel der Meldepflichten ist es nicht, ein Unternehmen für ein etwaiges Fehlverhalten zu bestrafen, sondern vielmehr die - sich aus der Verletzung ergebenden - Gefahren für die Betroffenen zu minimieren. ## Was muss ich an die Behörde melden? Inhaltlich muss die Meldung an die Aufsichtsbehörde mindestens eine Beschreibung über die Art der Verletzung von personenbezogenen Daten, die Kontaktdaten des Datenschutzbeauftragten, eine Beschreibung der voraussichtlichen Folgen sowie eine Beschreibung über bereits ergriffene und vorgeschlagene Maßnahmen enthalten. Die Meldung muss von den Verantwortlichen selbst erfolgen. Sollte es demnach bei einem Auftragsverarbeiter zu einer Verletzung gekommen sein, so muss die Meldung durch den Verantwortlichen (Auftraggeber) und nicht den Auftragsverarbeiter erfolgen. Die Meldung an die Aufsichtsbehörde erfolgt unabhängig von der Meldung an die Betroffenen selbst. Die eigenen Kunden über einen solchen Datenschutzvorfall informieren zu müssen, kann auch auf künftige Geschäftsbeziehungen Auswirkungen haben, deshalb sollte eine solche Meldung auch Transparent über die ergriffenen Schutzmaßnahmen aufklären, um nicht auch noch das letzte Vertrauen der Kunden zu verwirken. ## Muss ich meinen Kunden benachrichtigen? Aus diesem Grund muss hinsichtlich der Benachrichtigungspflicht (der betroffenen Personen) eine Abwägung getroffen werden, inwieweit die persönlichen Rechte und Freiheiten der Betroffenen durch die Datenverletzung gefährdet sind. Laut Art. 34 DSGVO ist dies regelmäßig der Fall, wenn ein hohes Risiko besteht. Ein solch hohes Risiko besteht, wenn eine Prognose ergibt, dass ein geringer Schaden entweder mit hoher Wahrscheinlichkeit eintreten wird oder der Schaden (bei einer geringen Eintrittswahrscheinlichkeit) hoch ausfallen könnte. Bei dieser Prognose ist auch einzubeziehen, ob die Benachrichtigung die Risiken für die betroffenen Personen abmildern könnte. In einem solchen Fall wäre eine Meldung an die Betroffenen ebenfalls in jedem Fall als verpflichtend anzusehen. Im Übrigen können betroffene Personen im Sinne dieser Regelung nur natürliche Personen sein, denn anderenfalls wären keine personenbezogenen Daten betroffen. ## Gibt es Ausnahmen von der<br> Benachrichtigungspflicht? Von dieser Benachrichtigungspflicht gibt es nach Art. 34 Abs. 3 DSGVO einige Ausnahmen. Alle Ausnahmen stellen aber darauf ab, dass entweder bereits zuvor oder unmittelbar nach dem Vorfall Maßnahmen ergriffen wurden, welche das Risiko für die betroffenen Personen auf ein vertretbares (siehe oben) Risiko absenken. So ist bei einem Datenschutzvorfall, bei dem - nach dem Stand der Technik - verschlüsselte Daten abhandengekommen sind, in der Regel keine Benachrichtigung erforderlich. Ist die Benachrichtigung nur mit einem enorm hohen Aufwand möglich (z. B. aufgrund der hohen Anzahl der Betroffenen) so ist ersatzweise auch eine öffentliche Bekanntmachung des Vorfalls möglich. Zusammenfassend lässt sich festhalten, dass bei einem Datenschutzvorfall nur in Fällen mit einem sehr geringen Risiko für die Betroffenen von einer Benachrichtigung abgesehen werden kann.

04.11.2022
Risiken beim Einsatz von SaaS-Tools aus den USA

Unternehmen und andere Einrichtungen in Europa setzen vermehrt auf SaaS-Tools aus dem Ausland. Geläufige Beispiele hierfür sind Tools von Unternehmen wie Google, Microsoft, SalesForce, HubSpot und Calendly. Bei der Verarbeitung von Nutzerdaten könnte jedoch schon nahezu von "Schrödingers Datenverarbeitung" gesprochen werden, denn ob die Datenverarbeitung tatsächlich rechtmäßig erfolgt oder nicht - ist nie mit ausreichender Sicherheit gewährleistet. ### Anforderungen nach der DSGVO bei ADV An die Datenübermittlung in unsichere Drittstaaten - zu denen die USA derzeit zweifelsfrei gehören - sind vielen Anforderungen geknüpft. Beim Beispiel GSuite bzw. Workspace von Google (E-Mails, Cloudspeicher, Kalender und mehr für Unternehmen) bedient sich Google daher sogenannter "geeigneter Garantien", Standardsvertragsklauseln, Zertifizierungen und mehr um ein entsprechendes Datenschutzniveau herzustellen. ### Rechtsunsicherheiten beim Einsatz von SaaS-Tools aus den USA Verantwortliche in Deutschland und Europa können u. a. mit Google entsprechende Datenschutzvereinbarungen schließen. Dieses Angebot sollte auch genutzt werden, denn es handelt sich bei diesen Datenverarbeitungsvorgängen auf den ersten Blick um eine Auftragsdatenverarbeitung. Leider ist der Einsatz dieser Tools mit vielen Rechtsunsicherheiten verbunden, wobei drei Punkte deutlich hervortreten: 1. Rechtsunsicherheit hinsichtlich der Zugriffsmöglichkeiten (von Sicherheitsbehörden) 2. Rechtsunsicherheit hinsichtlich der Subunternehmer bei der Auftragsdatenverarbeitung 3. Rechtsunsicherheit aufgrund bestehender Alternativen bei der Vertragserfüllung #### Zugriffsmöglichkeiten der US-Sicherheitsbehörden In den USA ist es Sicherheitsbehörden möglich jederzeit auf Daten von europäischen Nutzern und Einrichtungen zuzugreifen, sofern diese bei einem US amerikanischen Unternehmen hinterlegt sind. Die USA verfügen hier über besondere Mittel wie etwa sogenannte "National Security Letter". Dabei handelt es sich um Aufforderungen der Regierung an Unternehmen Daten herauszugeben und darüber stillschweigen zu bewahren. Für die Ausstellung solcher Aufforderungen ist kein Gerichtsbeschluss notwendig, d. h. Ermittlungsbehörden können diese Aufforderungen selbst erstellen und Unternehmen wie Google, Apple, Microsoft etc. müssen diesen Folge leisten. Auch der Cloud Act aus den USA ermöglicht **weitreichende Zugriffsmöglichkeiten der US-Behörden** auf Daten bei amerikanischen Unternehmen. Vor Erlass des Cloud Acts war ein Zugriff auf solche Daten grundsätzlich nur im Rahmen eines sogenannten Rechtshilfeersuchens möglich (hierbei werden die Behörden des betreffenden Staates - in welchem die Daten gespeichert sind - um "Hilfe" ersucht). Nach Erlass des Cloud Acts ist aus Sicht der US-Behörden kein Rechtshilfeersuchen mehr notwendig und die Daten müssen herausgegeben werden. Daher müssen aus US-Sicht ausländische Behörden (wie z. B. deutsche Behörden) keine vorherige Zustimmung mehr erteilen. #### Unüberschaubare Anzahl an Subunternehmern Besonders große SaaS-Dienste wie Google GSuite/Workspace verwenden eine enorm hohe Anzahl von Subunternehmern. Eine Liste der bei Google verwendeten Subunternehmen kann unter https://workspace.google.com/intl/en/terms/subprocessors.html aufgerufen werden. Bei dieser enorm hohen Anzahl an Subunternehmern - verteilt über die ganze Welt - kommen bereits erste berechtigte Zweifel auf, ob alle Subunternehmen und ggf. dessen Subunternehmen umfangreich geprüft werden oder lediglich in Papierform zu bestimmten Vorgehensweisen vertraglich verpflichtet wurden. An dieser Stelle sollte unter keinen Umständen vergessen werden, dass der Verantwortliche stets der für die Datenverarbeitung verantwortliche bleibt. Das ist für den Fall einer Auftragsdatenverarbeitung auch konkret durch Art. 24 DSGVO geregelt worden. Sinn und Zweck der Einführung dieser zusätzlichen Regelung ist es, die Verantwortung und Haftung für jedwede Verarbeitung personenbezogener Daten demjenigen zuzuordnen, der diese Verarbeitungsvorgänge selbst vornimmst oder vornehmen lässt (vgl. ErwGr. 74 der DSGVO). Ein weiteres Problem ergibt sich auch aus der Ausgestaltung der Auftragsdatenverarbeitung mit derart großen Unternehmen und umfangreichen Tools. Sofern nämlich große Unternehmen wie z. B. Microsoft oder SalesForce selbständig die Zwecke und Mittel der Verarbeitung bestimmen, liegt gem. Art. 28 Abs. 10 DSGVO keine Auftragsverarbeitung, sondern eine gemeinsame Verantwortlichkeit vor. In Folge dessen kann es dazu kommen, dass es an der Einwilligung der Betroffenen zur Datenübermittlung an einen zusätzlichen Verantwortlichen mangelt und alle Verarbeitungstätigkeiten **faktisch nicht erlaubt** sind. In der Praxis müsste nun geprüft werden, ob die Verträge mit solchen Unternehmen genauestens beschreiben welche Leistungen erbracht werden und wie die Daten verarbeitet werden. Fehlt es an solchen Bestimmungen kann davon ausgegangen werden, dass wie oben beschrieben die Entscheidung über die Zwecke und Mittel der Verarbeitung nicht mehr beim ursprünglichen Verantwortlichen liegt. Dies fürht zu zahlreichen Problemen und Verstößen gegen Vorschriften der DSGVO. #### Bestehende Alternativen bei der Vertragserfüllung Weiter besteht eine nicht übersehbare Rechtsunsicherheit, da innerhalb Europas Alternativen zu vielen dieser Tools bestehen. Auch haben die Betroffenen in den meisten Fällen keine Einwilligung zur Übermittlung von personenbezogenen Daten in Staaten wie die USA erteilt. In diesen Fällen wird die Verarbeitung jedoch von den Verantwortlichen auf den Zweck der Vertragserfüllung gestützt. Es ist jedoch offenkundig dass die Verarbeitung in den USA als solches - in den meisten Fällen - nicht zur Vertragserfüllung notwendig ist. Denn die zur Vertragserfüllung notwendigen Verarbeitungsvorgänge könnten auch innerhalb eines Unternehmens abgebildet werden bzw. zumindest innerhalb Europas. Hieraus ergibt sich zwangsläufig, dass die Verarbeitung der Daten von Betroffenen in den USA nicht "einfach" auf den Zweck der Vertragserfüllung gestützt werden kann und es an einer Einwilligung der Betroffenen fehlt, was wiederum erhebliche Risiken für die Verantwortlichen birgt. Eine sichere alternative zu SaaS Lösungen ist Einsatz von Open-Source-Software. Glasskube ermöglicht es Ihnen, Open-Source-Software automatisiert in Ihrem Rechenzentrum oder Ihrer Cloud zu installieren und zu betreiben, und so Daten sicher und DSGVO- konform zu verarbeiten.

26.11.2022