Mitte Juli 2020 erklärte der Europäische Gerichtshof EuGH das Privacy Shield-Abkommen zwischen der EU und den USA für ungültig. Es sei nicht mit der europäischen Datenschutzgrundverordnung vereinbar, Daten von EU-Bürgern nicht vor dem unbegründeten Zugriff der US-Behörden geschützt. Wer personenbezogene Daten bei Cloud-Diensten von US-Anbietern speichert, begeht fortan einen Datenschutzverstoß. Hatten US-Unternehmen bis dahin einen Mechanismus, sich mittels Selbstzertifizierung für EU-DSGVO-konform zu erklären, wurde ihnen damit die rechtliche Basis entzogen.

Andere Mechanismen wie die Standardvertragsklauseln sind zwar weiterhin zulässig, müssen aber ein angemessenes Schutzniveau garantieren. Der EuGH hat klargemacht, dass die dort definierte Einhaltung von Datenschutzstandards von Fall zu Fall geprüft werden muss. Es ist zweifelhaft, ob entsprechende Vereinbarungen dieser Prüfung standhalten.

Welche Dienste sind betroffen?

Die Folgen des EuGH-Urteils sind weitreichender als es zunächst aussieht. Nicht nur Plattformen und Cloud-Dienste wie Facebook, AWS und Azure sind betroffen. Auch Unternehmen und ihre Netzwerke stehen nach dem Ende des Abkommens auf dem Prüfstand. Denn letztere werden oft hochautomatisiert aus der Cloud gemanagt. Dabei werden auch personenbezogene Daten in der Cloud verarbeitet. Ein typisches Beispiel dafür sind SD-WANs: Sie ersetzen in immer mehr Unternehmen MPLS-Leitungen oder VPNs bei der Vernetzung von Standorten und Filialen. Auch das WLAN wird immer häufiger aus der Cloud bereitgestellt.

SDN – was wird wo gespeichert?

Software-defined Networking, kurz SDN, ist eine enorme Erleichterung, denn Konfiguration und Steuerung von Unternehmensnetzen erfolgen hochgradig automatisiert aus der Cloud. Die Netze werden dabei in eine Steuerungs- und Datenebene unterteilt. Zur Datenebene gehören Router, Switches und Access Points – sie werden für die Weiterleitung der Datenpakete eingesetzt. Die Steuerungsebene definiert die Datenpfade durch das Netzwerk und überwacht es.

Die Steuerungsebene liegt bei SD-WAN in der Cloud und verarbeitet personenbezogene Daten wie MAC- und IP-Adressen, Anmeldeinformationen, Standortdaten und Informationen zur Nutzung von Diensten sowie Namen und Email-Adressen. Ein Beispiel aus der Praxis: Daten von Mitarbeitern, die in der Zentrale oder Filiale im Firmennetz arbeiten, werden in den meisten SD-WANs erfasst, aber auch Daten von Kunden, die in einer per SD-WAN angebundenen Filiale den WLAN-Hotspot nutzen. Rückschlüsse auf einzelne Nutzer und sogar das Erstellen von Nutzerprofilen sind so möglich. Aus Datenschutzsicht höchst heikel!

Compliance-Risiken reduzieren

Mit der zunehmenden SDN-Verbreitung wird auch das Risiko für Compliance-Verstöße größer. Das EuGH-Urteil hat hier enorme Sprengkraft. Kosten in Millionenhöhe könnten die Folge sein, wenn Mitarbeiter und Kunden gegen Datenschutzverstöße klagen und Schadensersatz fordern.

Was also tun? Unternehmen, die eine SD-WAN-Infrastruktur oder ein Cloud-managed WLAN planen, müssen sich fragen: Welche Daten verlassen das lokale Netz? Welcher Gesetzgebung unterliegt der Anbieter? Erfüllt dieser Compliance-Vorgaben und den EU-Datenschutz? Liegt für dessen Herkunftsland ein Angemessenheitsbeschluss vor, der ein vergleichbares Datenschutzniveau sicherstellt?

Setzen sie auf außereuropäische Netzwerklösungen „aus der Cloud“, müssen Unternehmen sich im Klaren darüber sein, dass personenbezogene Daten das lokale Netz und den hier gültigen Rechtsraum verlassen. Fällt die Wahl dagegen auf eine europäische Lösung, sind Unternehmen rechtlich auf der sicheren Seite. Schon bei der Planung minimieren sie damit Compliance-Risiken. SD-WANs aus den USA und China haben einen hohen Marktanteil. Lancom Systems aus Aachen gehört mit wenigen anderen europäischen Herstellern zu den Ausnahmen im Netzwerkmarkt. Ihr Firmensitz innerhalb der EU garantiert den hohen Stellenwert und die Einhaltung von Datenschutz und -sicherheit gemäß den hier gültigen Rechtsnormen.

