Legal Watch Nr. 73 – Juli 2024.  

Cloud-Dienste: Welche Kriterien sind für die Auswahl entscheidend?

Seit der Covid-Pandemie hat die Nutzung von Cloud-Diensten sowohl im öffentlichen als auch im privaten Sektor zugenommen.

Obwohl der europäische Rahmen in diesem Bereich immer klarer wird, bestehen heute noch viele Unsicherheiten.

• Sollten wir uns für eine französische, europäische Cloud entscheiden, die die Anforderungen einer souveränen Cloud erfüllt?
• Welche Risiken birgt es, die Verwaltung der eigenen Daten den GAFAM-Unternehmen anzuvertrauen?

Obwohl es keine rechtliche Definition für eine souveräne Cloud gibt, geht man allgemein davon aus, dass sie die Souveränität auf drei grundlegenden Ebenen gewährleisten muss:

• Die Daten,
• Die Operationen,
• Die Infrastruktur.

Die Cloud muss daher in Bezug auf digitale Sicherheit und Datenschutz hohe Anforderungen erfüllen, sowohl aus technischer, betrieblicher als auch aus rechtlicher Sicht, und insbesondere eine ausschließliche Kompetenz auf nationalem Gebiet aufweisen.

Seien Sie daher vorsichtig bei Behauptungen von nicht-europäischen Unternehmen über eine „souveräne europäische Cloud“.

Frankreich sticht innerhalb der Europäischen Union durch seine besonders strengen Anforderungen hervor. insbesondere seit der Einführung des SecNumCloud-Frameworks und der Verabschiedung des SREN-Gesetzes am 21. Mai, das auf die Sicherung und Regulierung des digitalen Raums abzielt.

Dieses Gesetz verpflichtet staatliche Verwaltungen und deren Betreiber, die einen Cloud-Dienst eines privaten Anbieters nutzen, bestimmte Sicherheits- und Schutzkriterien für den Betrieb von Computersystemen umzusetzen, die besonders sensible Daten verarbeiten.

Ziel ist es, einen unbefugten Zugriff auf Daten durch öffentliche Stellen von Drittstaaten zu verhindern.

Dies ist insbesondere im Hinblick auf den Cloud Act relevant, der es den US-Sicherheitsdiensten ermöglicht, ohne vorherige Genehmigung auf Daten von Unternehmen außerhalb ihres Hoheitsgebiets zuzugreifen.

Diese Verpflichtungen stehen im Einklang mit dem Geist der Doktrin „Wolke im Zentrum“, die der französische Staat für seine Verwaltungen entwickelt hat.

Obwohl sie für den Privatsektor nicht verpflichtend sind, bleiben sie als Empfehlungen nützlich, insbesondere wenn es um die Verarbeitung sensibler Daten geht, beispielsweise im Gesundheits- oder Forschungsbereich.

Wie sieht es mit der Entwicklung von Cloud-Diensten in anderen Teilen Europas aus?

Es gibt viele qualitativ hochwertige Dienstleistungen, zum Beispiel in Deutschland und der Schweiz.

Allerdings scheint der Begriff der souveränen Cloud im Allgemeinen weiter gefasst zu sein als im französischen Kontext: Das deutsche Modell definiert jede Cloud, die sich auf dem Gebiet der EU befindet, von einem europäischen Unternehmen vermarktet wird, Mitarbeiter hat, die EU-Bürger sind, und bestimmte Sicherheitsanforderungen hinsichtlich des Datenzugriffs erfüllt, als souverän, selbst wenn der Cloud-Dienst in der Praxis beispielsweise von einer Tochtergesellschaft eines amerikanischen Unternehmens angeboten wird.

Dies ist die Richtung, die das EU-Projekt zur Zertifizierung von Cloud-Diensten (EUCS) derzeit einschlägt.

In der neuesten Version vom März erlaubt dieses Projekt „Anbietern nicht mehr, nachzuweisen, dass sie gespeicherte Daten vor dem Zugriff einer ausländischen Macht schützen, im Gegensatz zur SecNumCloud-Qualifizierung in Frankreich.“

In diesem Sinne warnt die CNIL die neue Europäische Kommission unter der Leitung von Ursula von der Leyen, die in den Entscheidungsprozess bezüglich des EU-Kooperationsrats eingebunden ist.

Als Gründe für die Streichung der Souveränitätsanforderungen aus dem Projekt werden unter anderem mögliche Protektionismusvorwürfe seitens der Vereinigten Staaten oder Chinas angeführt.

Die CNIL ihrerseits bedauert neben den Risiken einer Verletzung des Schutzes personenbezogener Daten auch die Auswirkungen dieser Absenkung der europäischen Anforderungen auf die Förderung des europäischen Cloud-Angebots.

Angesichts der aktuellen Unsicherheit in Europa stellt das SecNumCloud-Framework eine nützliche Referenz dar, insbesondere für die Verarbeitung sensibler oder strategischer Daten. 

Auf der Website der ANSSI wird die Liste der als "SecNumCloud" qualifizierten Cloud-Dienste veröffentlicht: Sie enthält, Stand 17. Juli, eine Liste von 14 Cloud-Diensten, die die Qualifikationsanforderungen erfüllen, und acht weitere, die sich im Qualifizierungsprozess befinden.

Ungeachtet des SecNumCloud-Rahmenwerks bleiben andere europäische Cloud-Dienste angesichts des aktuellen rechtlichen Umfelds im Vergleich zu ihren internationalen Konkurrenten attraktiv.

Während das Niveau des Datenschutzes in den Vereinigten Staaten derzeit als angemessen gilt, sollte man nicht vergessen, dass die ersten beiden EU-EU-Abkommen vom Europäischen Gerichtshof für nichtig erklärt wurden und dass Max Schrems, der die ersten beiden Verfahren eingeleitet hat, beabsichtigt, den „Datenschutzrahmen“ dem gleichen Schicksal zu unterwerfen.

 

         

In seinen Schlussfolgerungen vom 11. Juli urteilte der Generalanwalt des Gerichtshofs der Europäischen Union (EuGH) über die Notwendigkeit der Verarbeitung von Daten über das Geschlecht („Herr“ oder „Frau“) für die Erbringung der SNCF-Zugdienstleistungen.

Da die Erhebung dieser Daten auf den SNCF-Formularen obligatorisch ist, hatte der vom Verband Mousse angerufene Staatsrat den EuGH gefragt, ob diese Erhebung auf Artikel 6 Absatz 1 Buchstabe a (Einwilligung) oder Artikel 6 Absatz 1 Buchstabe b (Notwendigkeit zur Erfüllung eines Vertrags) der DSGVO gestützt werden könne.

Laut Generalversammlung ist eine solche Behandlung für die Erbringung der Dienstleistung nicht erforderlich, da es sich in diesem Fall nicht um separate Waggons für Männer oder Frauen handelt, und die SNCF hat bestätigt, dass sie diese Information in ihrer Kommunikation mit ihren Kunden nicht systematisch verwendet.

Der Generalanwalt erinnert ausdrücklich an die Anwendung des Grundsatzes der Datenminimierung und verweist auf das Urteil des Bundeskartellamts, in dem das Gericht erklärte, dass die Verarbeitung personenbezogener Daten, um als für die Erfüllung eines Vertrags erforderlich angesehen zu werden, „objektiv unabdingbar für einen Zweck sein muss, der einen integralen Bestandteil der vertraglichen Verpflichtung bildet, der die betroffene Person unterliegt.“

Der Datenverantwortliche muss daher nachweisen können, dass der Hauptzweck des Vertrags nicht erreicht werden kann, wenn die betreffende Verarbeitung nicht stattfindet.

Die Generalversammlung kommt zu dem Schluss, dass das Geschlecht des Nutzers in diesem speziellen Fall nicht relevant ist.

Der Verband vertrauenswürdiger Drittanbieter im digitalen Sektor hat einen „Leitfaden für bewährte Verfahren bei digitalen Prozessen und Einwilligung“ veröffentlicht.

Im regulatorischen Kontext digitaler Signaturen besteht das Ziel darin, „sicherzustellen, dass die Zusammenführung aller Komponenten in einer erweiterten Vertrauenskette während des gesamten Prozesses die notwendigen Nachweise liefert, um die Konsistenz und Zuverlässigkeit des Prozesses im Nachhinein zu belegen.“

Am 21. Juni hat der Staatsrat ein Dekret aus dem Jahr 2021 über den Einsatz von Drohnen durch die Strafverfolgungsbehörden teilweise aufgehoben..

Der Staatsrat war der Ansicht, dass bestimmte Bestimmungen dieses Dekrets das Recht auf Achtung des Privatlebens und die Versammlungsfreiheit unverhältnismäßig stark beeinträchtigten.

Der Einsatz von Drohnen zum Filmen von Demonstrationen kann nur dann genehmigt werden, wenn mit Störungen der öffentlichen Ordnung zu rechnen ist und die Aufnahmen unbedingt erforderlich sind, um solche Störungen zu verhindern oder die Verantwortlichen zu verfolgen.

Darüber hinaus müssen die gefilmten Personen angemessen über den Einsatz von Drohnen und ihre Datenschutzrechte (über die AFCDP) informiert werden.

Der Staatsrat hat das Recht von Gametenspendern bestätigt, gemäß Artikel 21 der DSGVO Widerspruch gegen die Übermittlung ihrer personenbezogenen Daten von der Organisation, bei der sie ihre Spende getätigt haben, an ein zentrales Spenderregister einzulegen.

 

Europäische Institutionen und Gremien

Derzeit findet ein Streit zwischen der Europäischen Kommission und dem Europäischen Datenschutzbeauftragten (EDPS) über die Nutzung von Microsoft Office 365 statt.

Die Kommission leitete Mitte Mai tatsächlich ein Gerichtsverfahren ein, um die Ergebnisse einer Untersuchung des EDPS über die Nutzung dieser Dienste anzufechten.

Der EDPS kritisiert insbesondere, dass die Kommission keine Garantien hinsichtlich der Übermittlung von Daten in die Vereinigten Staaten gegeben hat. 

Die Kommission soll in ihrem Vertrag mit Microsoft auch die Arten der erhobenen personenbezogenen Daten und die Zwecke der Verarbeitung nicht ausreichend spezifiziert haben, was einen Verstoß gegen die EU-Datenschutz-Grundverordnung darstellt.

Der EDPS forderte die Kommission auf, die betreffenden Transfers auszusetzen und bis zum 9. Dezember das Gesetz einzuhalten. Die Schlussfolgerungen der Kommission wurden Mitte Juli im Amtsblatt der EU veröffentlicht.

Am 12. Juli übermittelte die Europäische Kommission X (ehemals Twitter) ihre vorläufigen Ergebnisse hinsichtlich der Einhaltung der europäischen Verordnung über digitale Dienste (DSA).

Das im Dezember 2023 eingeleitete Verfahren zielt insbesondere auf „Dark Patterns“, Werbetransparenz und den Zugang zu Daten für Forscher ab.

Elon Musk hat bereits angekündigt, die Ergebnisse der Kommission vor Gericht anzufechten.

Auf seiner Plenarsitzung Mitte Juli verabschiedete der Europäische Datenschutzausschuss (EDPB) eine Erklärung zur Rolle der Datenschutzbehörden im Zusammenhang mit der Verordnung über künstliche Intelligenz.

Die Verordnung sieht vor, dass die Mitgliedstaaten bis zum 2. August 2025 nationale „Marktüberwachungsbehörden“ benennen, die die Anwendung und Umsetzung der Verordnung überwachen sollen.

Nach Ansicht des Europäischen Datenschutzausschusses verfügen Datenschutzbehörden bereits über Erfahrungen hinsichtlich der Auswirkungen von KI auf Grundrechte und sollten daher als Marktüberwachungsbehörden eingesetzt werden, um eine bessere Koordinierung zwischen verschiedenen Regulierungsbehörden und mehr Rechtssicherheit für alle Beteiligten zu gewährleisten.

Es sei darauf hingewiesen, dass die KI-Verordnung, die am 12. Juli im Amtsblatt der EU veröffentlicht wurde, am 1. August in Kraft trat.

Der Europäische Datenschutzausschuss (EDPB) verabschiedete außerdem zwei Dokumente (FAQs) zum Abkommen zwischen der Europäischen Union und den Vereinigten Staaten zum Schutz personenbezogener Daten, um nähere Informationen über dessen Funktionsweise bereitzustellen.

Diese Dokumente sind einerseits für Privatpersonen und andererseits für Unternehmen bestimmt.

Am 11. Juli nahm der EuGH in einem Rechtsstreit zwischen der Firma Meta und einem deutschen Verband von Verbraucherorganisationen Stellung.

Der Gerichtshof erinnerte daran, dass die Pflicht des Verantwortlichen zur Auskunftserteilung gegenüber den betroffenen Personen eine Folge des Auskunftsrechts dieser Personen gemäß Artikel 12 und 13 DSGVO ist und daher zu den Rechten gehört, die im Wege einer Musterklage gemäß Artikel 80 Absatz 2 DSGVO geltend gemacht werden können.

Der Gerichtshof stellte außerdem fest, dass ein Verstoß gegen die Informationspflichten die betroffene Person daran hindern kann, eine „informierte“ Einwilligung zu erteilen, und dass die Verarbeitung folglich gemäß Artikel 5 Absatz 1 Buchstabe a der Verordnung rechtswidrig sein kann (via GDPRhub).

Microsoft sorgte am 19. Juli in einem anderen Zusammenhang für Schlagzeilen, als einer seiner Subunternehmer, Crowdstrike, ein fehlerhaftes Update für seine Sicherheitssoftware Falcon Sensor verbreitete.

Rund 8,5 Millionen Microsoft Windows-Computer, die die Software nutzten, stürzten ab und konnten nicht ordnungsgemäß neu gestartet werden. Dies wurde als „der größte Ausfall in der Geschichte der Informationstechnologie“ bezeichnet.

Aus rechtlicher Sicht stellt der durch einen solchen Ausfall verursachte Mangel an Datenverfügbarkeit eine Sicherheitsverletzung dar, die die Anwendung von Maßnahmen insbesondere gemäß der europäischen NIS2-Richtlinie (die ab dem kommenden Oktober gelten wird) erfordert.

Der Europäische Datenschutzausschuss (EDPB) ist der Ansicht, dass es sich hierbei auch um eine Verletzung des Schutzes personenbezogener Daten im Sinne von Artikel 4 Absatz 12 der DSGVO handelt, einschließlich solcher Verletzungen, die zu einem versehentlichen oder unrechtmäßigen Verlust von Daten führen.

Je nach den Folgen ist eine Benachrichtigung der Datenschutzbehörden und der betroffenen Personen erforderlich.

Diese Position wird derzeit diskutiert. Einige Experten vertreten die Ansicht, dass die Nichtverfügbarkeit von Daten keinen Verlust im Sinne der DSGVO darstellt, während andere auf die mitunter schwerwiegenden Folgen einer Blockierung des Datenzugangs für die betroffenen Personen hinweisen.

 

Neuigkeiten aus den Mitgliedsländern Europas.

Ein deutsches Gericht hat entschieden, dass Google Ireland Limited als Betreiber der Google-Suchmaschine für die Anzeige von Suchergebnissen verantwortlich ist, unabhängig davon, ob die Suchergebnisse von dem US-amerikanischen Unternehmen Google LLC bereitgestellt werden.

In Dänemark rügte die Datenschutzbehörde das Ministerium für Einwanderung und Integration wegen Verstoßes gegen den Grundsatz der Speicherbegrenzung, da es seine eigene Datenaufbewahrungsrichtlinie nicht eingehalten hatte.

In einem Beschluss vom 27. Juni urteilte die spanische Kammer für Verwaltungsstreitigkeiten der „Audiencia Nacional“, dass die spanische Datenschutzbehörde (APD) für die Bearbeitung einer Beschwerde gegen das in den USA ansässige Unternehmen Clearview AI zuständig sei.

Der Gerichtshof stützte sich auf frühere Entscheidungen mehrerer Datenschutzbehörden, darunter der italienischen Behörde, sowie auf die Entscheidung der CNIL vom 26. November 2021, in der Clearview als unter Artikel 3(2)(b) der DSGVO fallend eingestuft wurde.

Die CNIL hatte die Suche der Firma Clearview nach Fotos im Internet, die URLs dieser Fotos und deren Metadaten berücksichtigt, wodurch es möglich war, die betreffenden Personen zu identifizieren, ein detailliertes Profil von ihnen zu erstellen und somit das Verhalten dieser Personen zu verfolgen.

In Italien verhängte die APD eine Geldstrafe von 30.000 Euro gegen einen Datenverantwortlichen nach einer Datenschutzverletzung aufgrund der Verwendung eines veralteten CMS-Tools, das in hohem Maße anfällig für Cyberangriffe war.

Die litauische Datenschutzbehörde (APD) hat Vinted mit einer Geldstrafe von 2.385.276 Euro belegt, da die Praktiken des Unternehmens, Nutzer ohne Benachrichtigung von der Plattform auszuschließen, sowie die Nichtbeachtung von Anfragen zur Datenlöschung gegen die Grundsätze der Fairness und Transparenz verstoßen.

In diesem speziellen Fall hatten die Kläger, die aus Frankreich und Polen stammten, ihre jeweiligen Behörden kontaktiert.

Die Beschwerden wurden an die litauische Behörde weitergeleitet, die in diesem Zusammenhang die federführende Behörde ist, da sich der Hauptsitz von Vinted in Litauen befindet.

In Luxemburg bestätigte ein Gericht die von der APD gegen einen Datenverantwortlichen verhängte Geldbuße in Höhe von 18.000 €, weil dieser den Datenschutzbeauftragten des Konzerns nicht direkt in Datenschutzangelegenheiten einbezogen und ihm nicht ausreichende Ressourcen zur Verfügung gestellt hatte.

Die niederländische Datenschutzbehörde (APD) hat Kruidvat.nl mit einer Geldstrafe von 600.000 Euro belegt, weil das Unternehmen Tracking-Cookies platziert hatte, bevor es die Zustimmung der Nutzer eingeholt hatte.

Die Datenschutzbehörde vertrat außerdem die Ansicht, dass ein vorausgewähltes Kontrollkästchen zur Annahme von Tracking-Cookies keine freiwillige, spezifische, informierte und unmissverständliche Einwilligung darstellt.

 

Am 19. Juni veröffentlichte die britische Datenschutzbehörde (ICO) ihre Entscheidung bezüglich der Snap-Anwendung „My AI“ und der Einhaltung der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA).

Die Entscheidung enthält detaillierte Kommentare zu den Erwartungen des ICO hinsichtlich des Detaillierungsgrades von Datenschutz-Folgenabschätzungen im Allgemeinen sowie spezifische Anmerkungen zu allgemeiner KI und KI, die Kinder betrifft.

Da das diesen Bestimmungen zugrunde liegende britische Recht nach wie vor nahezu identisch mit dem der EU ist, könnten diese Beobachtungen auch über Großbritannien hinaus von Nutzen sein.

Das ICO veröffentlichte am 30. Juli außerdem eine Pressemitteilung, in der es die Wahlkommission dafür rügte, dass diese ihre Server nicht ausreichend geschützt habe, wodurch Hacker Zugriff auf die persönlichen Daten von etwa 40 Millionen Menschen erhielten.

In den Vereinigten Staaten wurde im Senat ein Gesetzentwurf zur KI („The Content Origin Protection and Integrity from Edited and Deepfaked Media Act (COPIED ACT)“) eingebracht, um „Deepfakes“ zu bekämpfen, die Transparenz von KI zu erhöhen und den Urhebern von Inhalten mehr Macht zu geben.

Der US-Senat verabschiedete Ende Juli den Kids Online Safety and Privacy Act.

Dieser überparteiliche Gesetzentwurf vereint mehrere Gesetze, die sich mit Sicherheit, dem Schutz der Online-Privatsphäre von Kindern und Jugendlichen sowie der Transparenz bei der Filterung im Zusammenhang mit dem Einsatz von KI befassen.

Der Text muss nun vom Repräsentantenhaus genehmigt werden.

In einer Erklärung vom 23. Juli teilte die Federal Trade Commission mit, dass sie acht Unternehmen angewiesen habe, ihr Informationen über Produkte und Dienstleistungen zur Verfügung zu stellen, die personenbezogene Daten, einschließlich Finanzdaten und Browserverlauf, verwenden, um die Preise für Einzelpersonen zu personalisieren.

Die Anordnungen sollen der FTC helfen, den undurchsichtigen Markt der von Drittanbietern angebotenen Produkte besser zu verstehen, die mithilfe fortschrittlicher Algorithmen sowie Nutzerdaten (Standort, Demografie, Kreditwürdigkeit und Browser- oder Kaufhistorie) Einzelpersonen kategorisieren und ihre Preise gezielt anpassen.

Während Google über seine „Privacy Sandbox“ (ein Tracking-System, das als datenschutzfreundlich dargestellt wird, aber andernorts umstritten ist) damit begonnen hatte, Tracking-Cookies von Drittanbietern schrittweise aus Chrome zu entfernen, gab das Unternehmen am 22. Juli bekannt, dass es das Projekt aufgibt.

Statt Cookies von Drittanbietern zu entfernen, würde Google „eine neue Benutzererfahrung in Chrome einführen, die es den Nutzern ermöglicht, eine informierte Entscheidung zu treffen, die für ihr gesamtes Surfverhalten im Web gilt“, eine Entscheidung, die jederzeit geändert werden kann.

Die britische Entwicklungshilfeorganisation (ODA) hat ihr Bedauern über die Aufgabe des Projekts zum Ausdruck gebracht.

Das Datenschutzgesetz von Malawi trat im Juli in Kraft.

Es reiht sich damit in die mittlerweile lange Liste afrikanischer Länder mit einem Gesetz zum Schutz personenbezogener Daten ein.

Darüber hinaus veröffentlichte das Afrikanische Observatorium für verantwortungsvolle KI im vergangenen März ein Dokument mit dem Titel „Governance von verantwortungsvoller KI in Afrika: Perspektiven für eine ergebnisorientierte Regulierung“.