Zum Hauptinhalt springen
Blogbeitrag

Confidential Computing als Lösung für den Auslandstransfer personenbezogener Daten?

Schon seit jeher ist es die Quadratur des Kreises: Die Frage, wie man möglichst umfassend personenbezogene Daten verarbeiten kann, ohne übermäßigen datenschutzrechtlichen Pflichten ausgesetzt zu sein – oder noch besser: gar nicht erst in den Anwendungsbereich des europäischen Datenschutzes zu fallen, denn mit jeder Verarbeitung von personenbezogenen Daten gehen umfassende Compliance-Pflichten einher. Dazu gehören unter anderem Anforderungen an die Rechtmäßigkeit und Legitimation der Datenverwendung, der Einhaltung der Datenschutzprinzipien, Nachweispflichten, die Ausgestaltung der Auftragsdatenverarbeitung, Datensicherheit und last, but not least das – für viele mittlerweile leidige (handelsblatt.de) – Thema des Auslandsdatentransfers in Staaten, die außerhalb des europäischen Regelungsregimes liegen. Insbesondere für letztere stellen sich allerspätestens seit Schrems-II mit Blick auf die Datenübermittlung in die USA (bund.de) bislang ungelöste Herausforderungen: So urteilte der EuGH einerseits zwar, dass das Datenschutzniveau in den Vereinigten Staaten trotz „Privacy Shield“ nicht den europäischen Anforderungen genügt, andererseits aber sind die verantwortlichen Stellen, die nicht selten auf die Übermittlung personenbezogener Daten in die USA angewiesen sind, weitestgehend allein gelassen und auf sich gestellt, um das europäische Datenschutzniveau dennoch zu erfüllen. Auch die Aufsichtsbehörden helfen hier nicht viel weiter, denn regelmäßig gehen die Meinungen von dem, was datenschutzrechtlich zulässig ist und welche flankierenden technisch-organisatorischen Maßnahmen zu ergreifen sein sollen, auseinander. Klar ist aber: Rechtliche Festlegungen allein genügen nicht, um dem europäischen Datenschutz global gerecht zu werden, denn letztlich vermögen die „Standard Contractual Clauses“ (SCC) (europa.eu) als Legitimationsgrundlage des internationalen Datentransfers in Form bloßer vertraglicher Regelwerke nicht zu verhindern, dass sich ausländische (US-amerikanische) Behörden trotz anderslautender vertraglicher Absprachen nach EU-Recht rechtswidrigen Datenzugriff verschaffen. Daran ändern auch angebliche Lösungsmodelle wie die von Microsoft vorgeschlagene „Datengrenze“ (microsoft.com) nichts, denn nach dem US Cloud Act kommt es für den Datenzugriff gerade nicht auf den Standort des Servers an. Und dass insbesondere die USA ihre Überwachungsgesetzgebung nicht ändern werden, nur weil der EuGH entsprechend urteilt, dürfte auch klar sein.

Was kann man also tun, um aus diesem Dilemma an der Schnittstelle von Recht und Technik zu kommen? Viel wurde und wird hierzu schon seit geraumer Zeit diskutiert, insbesondere mit Blick auf den Einsatz von Datenverschlüsselung beim Einsatz von Cloud Computing. Jenseits davon bislang aber wenig beleuchtet ist das Confidential Computing als möglicher Lösung für sichere Datenverarbeitungen in unsicheren (Cloud-)Umgebungen. 

Worum geht es hierbei? Die technische Besonderheit des Confidential Computing liegt darin, dass die Daten auch während der Verarbeitung („date in use“) geschützt werden, indem die Speicher- und Netzwerkverschlüsselung einer exklusiven Kontrolle unterliegt und die Daten während des Verarbeitungsprozesses in einer verschlüsselten Ausführungsumgebung, der sog. „Enklave“, isoliert sind. Die Besonderheit ist somit, dass während einer Datenverarbeitung nicht einmal der (Cloud) Service Provider den Zugang zu den Daten in einer Enklave hat, sondern einzig die CPU zur Laufzeit den Prozess entschlüsselt, ausführt, und wieder verschlüsselt im Speicher ablegt. Zahlreiche Anbieter haben schon entsprechende technische Lösungen auf den Weg gebracht, so auch die Hyperscaler Microsoft, AWS, IBM und Google. 

Einen Schritt weiter gedacht könnte man nun die These aufstellen, dass die im Rahmen von Confidential Computing verarbeiteten personenbezogenen Daten infolge der Verschlüsselung als anonymisiert gelten, soweit die Art der Verschlüsselung in der Enklave einer Anonymisierung im Rechtssinne gleichkommt. Dies wiederum hätte erhebliche Vorteile mit Blick auf die rechtliche Compliance für den Auslandsdatentransfer personenbezogener Daten. Diese datenschutzrechtlichen Erleichterungen können sich letztlich aber nur dann ergeben, wenn für sämtliche Verarbeitungsschritte inklusive schon der Erhebung der personenbezogenen Daten direkt beim Nutzer/Kunden bis hin zur letztendlichen Löschung/Vernichtung der Daten eine hinreichende technische Verschlüsselung anzunehmen wäre, die einer Anonymisierung im Rechtssinne gleichkommt – was juristisch aber umstritten und vom jeweiligen technischen Einzelfall abhängig ist. 

Zumindest aber wird sich feststellen lassen, dass wenn man dem mittlerweile rechtlich weithin vertretenen relativen Ansatz zur Beurteilung der Anonymität folgt, es im Gegensatz zum absoluten Ansatz gerade nicht mehr darauf ankommt, ob die Zuordnung einer Einzelangabe zu einer konkreten Person unmöglich ist – es wird vielmehr auf den hierzu notwendigen Aufwand und dessen Verhältnismäßigkeit abgestellt. (bund.de) Und spätestens an dieser Stelle werden die technischen Fragestellungen zur Beurteilung der juristischen Sachlage wieder relevant. Denn ob eine Verschlüsselung letztlich zur Anonymisierung von personenbezogenen Daten und den damit verbundenen Vorteilen für den Verantwortlichen einer Datenverarbeitung führt, dürfte letztlich von der Stärke des eingesetzten Verschlüsselungsverfahrens abhängig sein – zwingend ist dies nicht. Da auch die Rechtswissenschaft mittlerweile in vielen Teilen zu der Erkenntnis gelangt ist, dass es in technischer Hinsicht keine absolute Anonymität mehr gibt, könnte man somit argumentieren, dass wenn zur Datenverarbeitung in der Enklave ein zum Zeitpunkt seines Einsatzes hinreichend sicherer Verschlüsselungsstandard genutzt wird, das darin verarbeitete Datum grundsätzlich auch rechtlich anonym ist, solange das genutzte Verschlüsselungsverfahren technisch noch nicht obsolet ist und der Eintritt dieses Ereignisses zum gegenwärtigen Zeitpunkt auch nicht absehbar ist. 

Was bedeutet dieses Ergebnis nun für den Verantwortlichen der Datenverarbeitung? Einerseits treffen ihn durch die Anonymisierung in der Cloud erhebliche datenschutzrechtliche Erleichterungen, die auch neue Geschäftsmodelle mit Auslandsbezug befördern können. Da das Datenschutzrecht aber auch vor einer De-Anonymisierung schützt, wird er andererseits nicht von sämtlichen seiner ansonsten bestehenden Pflichten befreit. Die Pflicht des Verantwortlichen ist mithin, fortwährend zu prüfen, ob das für Confidential Computing eingesetzte Verfahren zum Zeitpunkt seines Einsatzes noch hinreichend sicher ist oder ob sich zwischenzeitlich neue Umstände ergeben haben, die eine andere Wertung rechtfertigen. Zu Zwecken der Datensicherheit kann es überdies sinnvoll sein, automatisierte Löschfristen festzulegen, ab welchem Zeitpunkt ein faktisch anonymisiertes Datum durch Zeitablauf nicht mehr als rechtlich anonym anzusehen ist. Ebenfalls Bestandteil solcher technisch-organisatorischen Vorsorgeregelungen können Maßnahmen zur Beschränkung der Datenverwendung (Zweckbindung) sein. 

Fazit also: Soweit man dem relativen Ansatz zur Beurteilung der Anonymität folgt, können sich aus Sicht des Verantwortlichen einer Verarbeitung personenbezogener Daten erhebliche Vorteile ergeben bis hin zur Möglichkeit, dass die Daten für einen technisch noch zu bestimmenden Zeitraum nicht den datenschutzrechtlichen Anforderungen unterfallen. Hierzu muss aber technisch-organisatorisch vorausgesetzt werden, dass ein sicheres Verschlüsselungsverfahren verwendet wird und die gesamte Datenverarbeitung von der Erhebung bis hin zur Löschung anonymisiert stattfindet. Dies dürfte keine unerhebliche Herausforderung darstellen. Außerdem muss die verantwortliche Stelle stets das Risiko einer De-Anonymisierung der Daten im Blick behalten und entsprechende begleitende technisch-organisatorische Maßnahmen vorhalten.

Geschrieben wurde dieser Beitrag von Dennis-Kenji Kipker (Hochschule Bremen), der sich im PAK Datenschutz und Datensicherheit engagiert. Vielen Dank!

© Shutterstock - Shutterstock