Cloud vs. Datenschutz: Trotz Rechtsunsicherheit in die Cloud? Ja, unbedingt!

Seit der Europäische Gerichtshof vor eineinhalb Jahren den EU-US Privacy Shield (Schrems II) gekippt hat, sehen sich Banken bei der Wahl eines Cloud-Providers mit zahlreichen Rechtsunsicherheiten konfrontiert. Bei Verstößen gegen den Datenschutz müssen sie mit hohen Strafen und Reputationsschäden rechnen. Davon sollten sich Institute jedoch auf ihrem Weg in die Cloud nicht abbringen lassen. Denn wer jetzt darauf setzt, darf mit klaren Wettbewerbsvorteilen rechnen.

von Gerrit Bojen und Daniel Wagenknecht, Partner bei KPMG im Bereich Financial Services

Daten sind längst zu einem der wichtigsten Güter für Finanzunternehmen geworden. Das ist in einer Zeit, in der jeder Mensch pro Tag 1,5 Gigabyte an Daten erzeugt, nicht verwunderlich.

Mit zunehmender Digitalisierung wächst der Berg an Daten rasant und hat weltweit bereits eine Größenordnung erreicht, die kaum vorstellbar ist: 2019 umfasste der globale Datenbestand 33 Zettabyte (ZB, ein Zettabyte entspricht einer Trilliarde Bytes), bis 2025 prognostiziert das US-amerikanische Marktforschungsunternehmen International Data Corporation (IDC) einen Anstieg auf 175 ZB.

Je schneller die Datensammlung wächst, desto wichtiger wird der Schutz dieser sensiblen Informationen. In Deutschland genießt der Datenschutz ein hohes Ansehen – und mit der Datenschutzgrundverordnung (DSGVO) gibt es eine Gesetzesgrundlage, die auch im digitalen Raum für eine ordnungsgemäße Umsetzung sorgt.

Für Banken und Finanzunternehmen ist es nun ausgerechnet der Datenschutz, der ihre Digitalisierungs­bestrebungen ausbremst.”

Denn seit der Europäische Gerichtshof vor eineinhalb Jahren den EU-US Privacy Shield (Schrems II) für ungültig erklärt hat, herrscht für Finanzinstitute eine unklare Rechtsgrundlage bei der Wahl eines Cloud-Providers. Denn: Der Datentransfer zwischen europäischen Staaten und Drittländern wie den USA ist nun nicht mehr ohne Weiteres möglich. Institute müssen auf sogenannte Standardvertragsklauseln (Standard Contractual Clauses, SCC) ausweichen. Damit weisen sie nach, dass die Daten beim Transfer in ein Drittland genauso geschützt sind wie innerhalb der EU.

Doch hier ist Vorsicht geboten: Seit Ende Dezember 2021 gelten neue SCC, die die EU-Kommission erst im vergangenen Juni veröffentlicht hat. Zusätzlich zu den SCC sind weitere Mitigations- bzw. Schutzmaßnahmen erforderlich, um einen Datenaustausch zwischen Unternehmen in Europa und den USA zu ermöglichen.

Finanzunternehmen, die nun mit US-basierten Hyperscalern wie Amazon, Google oder Microsoft zusammenarbeiten möchten, müssen dafür technisch-organisatorische Maßnahmen (TOM) ergreifen.”

Darunter fallen etwa die Datenverschlüsselung, die Anonymisierung bzw. Pseudonymisierung der Daten sowie entsprechende vertragliche Regelungen.

Die Rechtslage ist ungewiss

Trotz dieser Maßnahmen bleibt die Rechtsgrundlage ungewiss und Unternehmen müssen abwägen, ob sie das Risiko einer Datenschutzrechtsverletzung in Kauf nehmen möchten. Denn Bankenaufsicht und Datenschutzbehörden fordern zwar eine sichere Cloud-Nutzung, geben aber nicht an, welche Maßnahmen dafür ergriffen werden müssen.

Unternehmen sind bei der Risikoabwägung bislang auf sich gestellt, doch das könnte sich bald ändern, da sich am Markt der Austausch zwischen den Finanzdienstleistern sowie mit den Aufsichtsbehörden verstärkt.”

Ziel ist es, Best-Practice-Ansätze und für die Zukunft eine einheitliche Erwartungshaltung zu schaffen. Darüber hinaus tun Banken gut daran, sich interdisziplinär zu organisieren und über Maßnahmen auszutauschen.

Hoffnung macht zudem, dass in den USA erstmals ein Datenschutz nach europäischem Vorbild diskutiert wird. Denn die fehlende Kompatibilität mit der Datenschutzgrundverordnung (DSGVO) entwickelt sich immer mehr zum Wettbewerbsnachteil für US-amerikanische Unternehmen. Wer nach Europa expandieren möchte, sieht sich aufgrund des US CLOUD Acts (Clarifying Lawful Overseas Use of Data Act) mit der Problematik konfrontiert, einen Datentransfer mit europäischen Ländern nur mit umfangreichen Schutzmaßnahmen durchführen zu können. Erst wenn eine saubere Datenschutz-Lösung möglich ist, herrschen wieder global einheitliche Wettbewerbsbedingungen.

Strafen bleiben bislang aus

Gerade in der Krise haben dennoch etliche Institute den Schritt gewagt und sich für Public-Cloud-Services entschieden, etwa für die Microsoft Office-Suite M365. Die Voraussetzung dafür war, sich umfassend mit den regulatorischen Anforderungen auseinanderzusetzen und ihre Maßnahmen gegenüber der Aufsicht und Datenschutzbehörden nachvollziehbar zu begründen. Ihr Engagement hat sich bislang ausgezahlt, so gab es bis dato lediglich kleinere Feststellungen, jedoch keine bekannten Bußgeldbescheide seitens Aufsicht und Datenschutzbehörden.

Unternehmen sollten trotzdem weiterhin Vorsicht und vor allem Sorgfalt bei der Nutzung von Public-Cloud-Diensten walten lassen. Denn die Folgen eines Verstoßes können gravierend ausfallen: Schwere Datenschutzverstöße werden etwa mit bis zu 20 Millionen Euro bzw. bis zu vier Prozent der weltweiten Einnahmen des vorangegangenen Geschäftsjahres geahndet.

Vor allem aber fürchten Banken um ihre Reputation, die bei einem Datenschutzvergehen langfristig Schaden nehmen kann.”

All das macht den Weg in die Cloud für Finanzinstitute auf den ersten Blick aktuell nur wenig reizvoll. Insbesondere, da sich eine Anpassung des US-Datenschutzes sowie eine gesetzliche Nachfolgeregelung für den Privacy Shield bislang noch nicht konkret abzeichnet. Doch gerade die Zeit ist beim Gang in die Cloud ein wichtiger Faktor:

Wer hier zu lange zögert, riskiert den Anschluss zu verlieren.”

Denn Cloud ist „cost of doing business“ – wer wettbewerbsfähig agieren möchte, setzt auf Services aus der Public Cloud. Alle anderen haben das Nachsehen. Deshalb ist jetzt der richtige Zeitpunkt für Institute, sich mit dem Thema auseinanderzusetzen und die Cloud-Transformation voranzutreiben.

Game Changer Public Cloud

Dabei liegen die Vorteile der Public Cloud auf der Hand: Unternehmen sind durch Cloud-Services agiler und flexibler, Infrastrukturen lassen sich schnell skalieren. Zudem sind Mehrwertdienste wie KI-basierte Tools oder Advanced-Analytics-Lösungen, die ohnehin meist nicht inhouse entwickelt werden können, bei der Nutzung einer Cloud auf Knopfdruck verfügbar. Die Institute können sich dabei sicher sein, sehr gute und ausgereifte Lösungen zu erhalten, in denen Milliardeninvestitionen stecken. Allein schon aus Budget-Gründen lohnt sich also der Einsatz einer Cloud. Nicht zuletzt aber können Finanzunternehmen davon profitieren, schneller als die Mitbewerber zu sein: Etwa, wenn sie umfassende Analysen binnen weniger Minuten mit den entsprechenden Cloud-Services realisieren, für die andere Unternehmen am Markt ohne derartige Services bzw. Kapazitäten mehrere Wochen brauchen.

Damit der Weg in die Cloud nicht bereits am Anfang mit Stolperfallen gespickt ist, sollten Unternehmen sich richtig organisieren. Dazu gehört, dass alle Stakeholder vom Start weg gleichberechtigt am Tisch sitzen. Für eine gelungene Cloud-Transformation bedarf es vieler verschiedener Skills und Kompetenzen, die ineinandergreifen.

Dafür müssen die Verantwortlichen – also beispielweise die IT-Sicherheitsexperten, die Rechtsabteilung, die Datenschützer, die Einkäufer, der Fachbereich sowie die Cloud-Architekten und -Engineers – im engen Austausch stehen.”

Oftmals wird das Thema aber lediglich von einem Verantwortlichen angetrieben, der die anderen Beteiligten mitzieht. Dabei kann es schnell passieren, dass Bereiche vergessen oder nicht in ausreichendem Maße integriert werden. Die Folgen sind Unstimmigkeiten im Entwicklungsprozess – im schlimmsten Fall müssen Maßnahmen später sogar zurückgenommen oder aufwändig nachgebessert werden. Unternehmen, die es also schaffen, von Anfang an alle Verantwortlichen zusammenzubringen, die Spielregeln zu vereinbaren und gemeinsam loszulegen, sind erwiesenermaßen erfolgreicher als diejenigen, bei denen sich ein Stakeholder hervortut und vorprescht.

Darüber hinaus ist Risiko-Akzeptanz entscheidend:

Unternehmen, die jedes Risiko grundsätzlich vermeiden wollen, werden den Weg in die Cloud viel zu spät antreten.”

Es gilt, einen Mittelweg zu finden: Die Risiken lassen sich zwar nicht vollständig vermeiden, das ist aber auch nicht nötig. Stattdessen können Unternehmen abwägen und vertretbare Risiken in Kauf nehmen. Dabei können sie allerdings auf die Wirkung von Mitigationsmaßnahmen und TOMs vertrauen, die es ermöglichen, trotzdem datenschutzkonform, sicher und risikoorientiert zu arbeiten.Gerrit Bojen und Daniel Wagenknecht, KPMG