Nach EuGH-Urteil zu Privacy-Shield: Kreditinstitute halten am Kurs in die Cloud fest

Für Banken, Sparkassen und Finanzdienstleister wird es auch nach dem EuGH-Urteil zum Privacy-Shield keinen Weg zurück mehr geben. Ihre Cloud-Projekte treiben sie daher weiterhin mit Hochdruck voran. Doch nach der Entscheidung der EuGH-Richter ist beim Blick auf die Cloud ein stärkeres Problembewusstsein bei den Finanzinstituten gefragt – und dass sie ihre Sicherheitsmechanismen und -strategien für die Cloud auf den Prüfstand stellen.

von Torsten Sämann, Sopra Steria

Maximilian Schrems hatte es wieder getan. Vor fünf Jahren kippte der Europäische Gerichtshof (EuGH) auf Betreiben des österreichischen Datenschutz-Aktivisten das sogenannte Safe-Harbor-Abkommen. Mit der Entscheidung zu „Schrems II“ (C-311/18) erklärten die Richter den Privacy-Shield, die Nachfolgeregelung zu Safe Harbor, als Mechanismus für die Übermittlung personenbezogener Daten durch europäische Unternehmen an die USA ebenfalls für nichtig. Geblieben ist: eine große Rechtsunsicherheit und die Frage, wie beispielsweise die Finanzbranche angemessen auf das Urteil reagieren sollte. Gerade sie ist schließlich bei Themen wie Cloud-Computing dringend auf die Infrastruktur angewiesen, die von den großen Hyperscalern aus den USA bereitgestellt wird.

Klar ist dabei: Am Cloud-Computing führt auch in Zukunft kein Weg vorbei. Was sich derzeit zudem abzeichnet: Sparkassen, Banken und Finanzdienstleister treiben ihre gemeinsamen Projekte mit den Hyperscalern weiter voran. Die Deutsche Börse setzt seit vergangenem Jahr auf Microsoft Azure. Die Deutsche Bank hat kurz vor Bekanntwerden des Schrems-II-Urteils eine Partnerschaft mit Google beim Cloud-Thema verkündet. Auch die Finanz Informatik und die FI-TS haben vor wenigen Wochen eine Partnerschaft mit Google Cloud geschlossen. Das Rad wird also nicht zurückgedreht, denn mit der Zusammenarbeit möchte FI-TS die Lösungen von Google Cloud in die eigene Service-Plattform integrieren und so deutschen Finanzdienstleistern ermöglichen, Public-Cloud-Dienste unter Berücksichtigung der strengen regulatorischen Anforderungen zu nutzen. Zugleich kündigt die FI-TS, zu deren Kunden Landesbanken, die Rentenbank, die DekaBank, der Insourcer dwpbank und die öffentlich-rechtlichen Versicherer zählen, weitere Kooperationen mit Microsoft Azure und Amazon Web Services (AWS) an.

Banken müssen handeln

Der Transformationsdruck ist groß. Erst Anfang des Jahres hatte die Bundesbank den Nachholbedarf des deutschen Finanzsektors beim Cloud-Computing kritisiert. „Die Cloud-Nutzung ist im deutschen Finanzsektor noch unterentwickelt. Wir haben Nachholbedarf“, sagte Prof. Dr. Joachim Wuermeling, Mitglied des Vorstands der Deutschen Bundesbank, im Februar dieses Jahres. Dabei sei „Cloud-Computing eine Schlüsseltechnologie bei der Digitalisierung der Finanzbranche“. Besonders die Institute in den Vereinigten Staaten gehen hier voran und treiben die Branche weltweit. In den USA wollen die großen vom Datendienstleister Refinitiv befragten Banken in diesem Jahr rund die Hälfte ihrer Technologie-Investitionen in das Cloud-Computing stecken. 2018 war es nur ein Drittel und damit noch deutlich weniger. Die Frage für europäische Kreditinstitute lautet also, wie sie mit dem Schrems-II-Urteil und seinen Folgen konkret umgehen sollen.

Die gute Nachricht: Der EuGH hält die sogenannten Standardvertragsklauseln der EU-Kommission auch weiterhin für zulässig. Die Standardvertragsklauseln, wie sie auch in der Datenschutz-Grundverordnung (DSGVO, Art. 46, Abs. 2, Buchstabe c; hier: „Standarddatenschutzklauseln“) vorgesehen sind, sollen jenen Fall regeln, in dem für ein Drittland der sogenannte Angemessenheitsbeschluss fehlt, wie er beispielsweise für den Privacy-Shield vorlag.

Daten-Exporteure in der Pflicht

Die Standardvertragsklauseln oder Standarddatenschutzklauseln sehen vor, dass der Exporteur der Daten – also das jeweilige europäische Unternehmen – und der Empfänger vor der Übermittlung prüfen müssen, ob ein ähnlicher Datenschutz bei dem US-Unternehmen gewährleistet ist. Muster der Klauseln können Unternehmen aus einem entsprechenden Beschluss der EU-Kommission kopieren. Die Klauseln sind somit auch kein Blankoscheck, ganz im Gegenteil. Gerade mit Blick auf die USA gilt es nämlich, genau zu prüfen, welche Sicherheitsgesetze konkret auf die jeweiligen Unternehmen Anwendung finden, denen Daten-Exporteure Daten liefern. Ein Zugriff auf die Daten beispielsweise durch US-Geheimdienste wie die NSA ist nämlich auch bei Nutzung der Standarddatenschutzklauseln nach europäischem Recht nicht zulässig. Es gilt also, genau hinzusehen.

Das Urteil des EuGHs zu Privacy-Shield ist somit kein Verbot der Cloud-Nutzung. Es ist aber ein dringendes Gebot für Unternehmen, Problembewusstsein herzustellen – und es erinnert die Daten-Exporteure, also die europäischen Firmen, jenseits der Absicherung über entsprechende Verträge an ihre praktische Prüf- und Kontrollpflicht. Die großen Hyperscaler betreiben inzwischen alle Rechenzentren in Europa. Wann jedoch wo welche Daten in die USA übertragen werden, ist für Außenstehende nicht immer eindeutig zu sagen. Möglicherweise ist die Datenübertragung nur für bestimmte Dienste notwendig, möglicherweise werden Metadaten übertragen. Unternehmen können hier beispielsweise Sniffer-Programme nutzen, um eine mögliche Datenübertragung von deutschen oder europäischen Rechenzentren in die USA nachzuvollziehen. Ein Sniffer ist eine Software, die den Datenverkehr eines Netzwerks auf Auffälligkeiten überprüfen kann. Wichtig hierbei: Auch der Einsatz dieser Software unterliegt datenschutzrechtlichen Vorgaben, die es zu beachten gilt.

Daneben bietet das Urteil auch eine Gelegenheit, eigene Sicherheitsmechanismen zu überprüfen und hierbei auch den Austausch mit den jeweiligen Landesämtern für Datenschutz zu suchen. Der Datenschutz des Cloud-Partners beginnt rein praktisch immer bei einem selbst. Zu den möglichen Sicherheitsmechanismen zählt in diesem Zusammenhang beispielsweise auch das Verschlüsseln von Bewegungsdaten („in transit“) und von in Datenspeichern und Datenbanken abgelegten Daten („at rest“). In der Summe empfiehlt sich ein Zero-Trust-Ansatz, also das Prinzip, niemandem innerhalb oder außerhalb der eigenen Organisation zu vertrauen. Traditionelle Sicherheitskonzepte betrachten den inneren Bereich des eigenen Netzwerks als sicher und haben nur die Abwehr von Eindringlingen zum Ziel. Zero Trust hebt diese Unterscheidung in innen und außen auf.

Konzentrationsrisiko durch die Hyperscaler

Das Urteil des EuGHs und die Rolle der Hyperscaler rücken jenseits der Fragen zum Datenaustausch noch ein weiteres Problem in den Fokus, das ebenfalls die Datensicherheit beeinträchtigen kann: die starke Marktkonzentration auf der Anbieterseite. Sie kann für die Finanzbranche zu einem systemischen Risiko werden – nämlich dann, wenn Banken und Finanzdienstleister sich zu stark auf einen der Anbieter fokussieren und ihre Infrastruktur sowie geschäftskritische Systeme zu stark von diesem abhängig machen.

Das Schrems-II-Urteil ist nicht das Ende des Trends zur Cloud. Es kann jedoch ein Anfang sein, Datenschutz und Datensicherheit in der Finanzbranche nochmals neu zu denken und bestehende Konzepte zu hinterfragen.pp