Privacy Shield-Aus: Compliance-Risiken im Unternehmensnetz minimieren

Veröffentlicht am: 24. September 2020 Autor: Ralf Koenzen Veröffentlicht in Netzpolitik, Technologie Keine Kommentare

Mit einem Paukenschlag hat der Europäischen Gerichtshofs im Urteil zum Privacy Shield Wallung in die Digitale Welt gebracht. Die Datenschutz-Absprache zwischen der Europäischen Kommission und den USA wurde nach langem Ringen für unrechtsmäßig erklärt. Das sogenannte Privacy Shield ist damit Geschichte. In der Folge bedeutet dies für Unternehmen, dass Datentransfers auf Basis dieses Abkommens nunmehr unzulässig sind.

Auch die vielfach zitierten Standardvertragsklauseln taugen somit als rechtliche Basis nur bedingt. Hier hat der EuGH in seinem Urteil unmissverständlich klargemacht, dass die dort definierte Einhaltung von Datenschutzstandards von Fall zu Fall geprüft werden muss. Experten sind sich jedoch einig, dass Vereinbarungen zwischen EU-Staaten und den USA dieser Prüfung nicht standhalten werden.

Die Entscheidung wirft daher viele Fragen auf: Welche Dienste sind betroffen? Wer haftet bei Verstößen? Wie können Unternehmen Risiken minimieren?

Facebook, Azure, Netze aus der Cloud

Eines vorweg: Das Urteil des EuGH hat viel weitreichendere Auswirkungen als man denken mag. Direkt vom Urteil betroffen sind nämlich nicht nur die üblichen Plattformen und Cloud-Dienste wie Facebook, AWS oder Azure. Selbst das „digitale Rückgrat“ der Wirtschaft, die eigenen Unternehmensnetzwerke, gehört nach dem Aus des Privacy Shield auf den Prüfstand.

Denn wird dies aus der Cloud gemanagt, werden in der Regel auch personenbezogene Daten in der Cloud verarbeitet. Die prominentesten Beispiele sind SD-WANs, die zunehmend anstelle von MPLS-Leitungen oder klassischen VPNs zur Vernetzung von Unternehmensstandorten und Filialen genutzt werden, oder auch das WLAN, das heute immer häufiger per „Zero Touch“ aus der Cloud bereitgestellt wird.

Exkurs in die Technologie

Um den Zusammenhang zu verstehen, lohnt ein Blick auf die Architektur der zugrundeliegenden Technologie: das Software-defined Networking. SDN ist hochspannend, ermöglicht es doch die hochautomatisierte Konfiguration und Steuerung ganzer Netze aus der Cloud. Damit dies klappt, werden die Netze in eine Steuerungsebene (Control Plane) und eine Datenebene (Data Plane) unterteilt. Zur Data Plane gehören die unterschiedlichen Hardwarekomponenten, wie Router, Switches und Access Points, die für die Weiterleitung der Datenpakete eingesetzt werden. Die Control Plane hingegen ist die Steuerungs- und Monitoringebene, die Datenpfade durch das Netzwerk festlegt und sein Funktionieren fortlaufend überwacht.

Auf dieser Steuerungsebene – die bei allen wesentlichen Anbietern in der Cloud liegt – werden fortlaufend personenbezogene Daten verarbeitet. Sie ist also „ein Fall für den Datenschutz“. Die dort verarbeiteten Daten beginnen bei Geräteinformationen wie MAC-Adresse und IP-Adresse, umschließen aber auch Anmeldeinformationen, Standortdaten und Informationen zur konkreten Nutzung von Diensten sowie Namen und Email-Adressen der Netzwerkadministratoren. So sind nicht nur Rückschlüsse auf einzelne Nutzer möglich, es lassen sich unter Umständen sogar ganze Nutzungsprofile einzelner User erstellen.

Besonders heikel: Das Schul-WLAN

Am Beispiel von Schulen und in Zeiten digitaler Lernangeboten, offenbart sich die ganze Dimension der Problematik. Überall dort, wo Schul-WLANs zentral per Software-defined Networking konfiguriert, verwaltet und überwacht werden, fließen auch personenbezogene Daten von Usern und Netzwerkadministratoren in die Cloud.

Knackpunkt Drittstaaten-Recht: Mit Ausnahme von LANCOM und weniger anderer Hersteller, ist der Netzwerkmarkt bis heute US-amerikanisch und asiatisch dominiert. Entsprechend haben SD-WANs und Cloud-managed WLANs „made in the US“ und „made in China“ einen hohen Marktanteil. Das nationale Recht, dem diese Anbieter unterliegen, läuft jedoch dem Schutz personenbezogener Daten zuwider, wie der EuGH mit seinem Urteil vom 16.07.2020 eindeutig festgestellt hat.

Schon bei einem normalen Gebrauch des Schul-WLAN durch LehrerInnen und SchülerInnen wird es damit rechtlich heikel – zumal letztere in vielen Fällen minderjährig sind und gemäß Datenschutzgrundverordnung (DSGVO) besonderen Schutz genießen. Welche Social-Media-Dienste genutzt werden und wo sich SchülerInnen ins Netzwerk eingeloggt haben, lässt sich anhand der personenbezogen Daten problemlos nachvollziehen. Schulen, die die sich hieraus ergebenen Datenschutzfragen nicht adressieren, riskieren schnell massive Datenschutzverstöße und die damit verbundenen, juristischen Folgen.

Nicht minder groß ist die Gefahr eines Compliance-Verstoßes in der Wirtschaft. In nahezu jedem SD-WAN werden über die Control Plane Daten von Nutzern und Administratoren in der Cloud verarbeitet. Arbeitet ein Mitarbeiter irgendwo in der Zentrale oder in der Filiale im Firmennetz, werden seine personenbezogenen Daten genauso erfasst wie die von Supermarkt-Kunden, die in einer per SD-WAN angebundenen Filiale den WLAN-Hotspot nutzen.

Compliance-Risiken mindern

Das Risiko steckt also im Detail. Beim Einsatz einer außereuropäischen Netzwerklösung „aus der Cloud“ verlassen die personenbezogenen Daten nämlich nicht nur das lokale Netz, sondern gleich den hiesigen Rechtsraum. Spätestens mit dem EuGH-Urteil stellt dies für Anwenderunternehmen ein massives Compliance- und Kostenrisiko dar. Mitarbeiter und Kunden – bei Schulen: Schülerinnen, Schüler und deren Eltern – könnte gegen die daraus resultierenden Datenschutzverstöße klagen und Schadensersatz fordern, die Datenschutzaufsicht Bußgelder in Millionenhöhe verhängen.

Bei der Planung einer SD-WAN-Infrastruktur oder eines Cloud-managed WLAN muss also zwingend hinterfragt werden, welche Daten das lokale Netz verlassen und welcher Gesetzgebung der Netzwerkhersteller unterliegt. Werden Compliance-Vorgaben und EU-Datenschutz-Anforderungen erfüllt? Liegt für das Herkunftsland des Netzwerkanbieters ein Angemessenheitsbeschluss vor, der ein vergleichbares Datenschutzniveau gewährleistet? Um diese Frage mit einem klaren Ja zu beantworten und Rechtssicherheit zu behalten, empfiehlt sich die Wahl einer europäischen Lösung. Damit behalten Firmen die Kontrolle über die Daten ihrer Mitarbeiter und Kunden und können diese DSGVO-konform schützen. Und: Sie minimieren bereits im Vorfeld Compliance-Risiken und schützen sich vor unangenehmen Folgen wie Regressforderungen und Reputationsverlust.

Mit „made in Germany“ auf der rechtssicheren Seite

Als deutscher Hersteller profitieren wir bei LANCOM seit jeher von den stabilen rechtlichen Rahmenbedingungen, die uns Europa bietet. Datenschutz und Datensicherheit sind hohe Güter und werden nicht nur vom Gesetzgeber, sondern auch von vielen Anbietern wie uns ganz natürlich respektiert. Dazu gehört auch, dass wir die Public Cloud-Variante unserer SDN-Lösung, der LANCOM Management Cloud (LMC), hier in Deutschland hosten. Damit können wir Datentransfers ins Ausland ausschließen und bieten unseren Kunden in puncto Datenschutz & Compliance maximale Rechtssicherheit. Ganz getreu unserem Motto: Sicher. Vernetzt.

Verwandte Posts

Kommentieren

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.