Google hat ein Paket mit zusätzlichen Steuerelementen für Benutzer seiner Produktivitätssuite Google Workspace (neé G Suite) in Europa angekündigt, das Ende dieses und des nächsten Jahres eingeführt wird.
Es heißt, diese zusätzliche Kontrolle werde es Organisationen – sowohl dem öffentlichen als auch dem privaten Sektor – ermöglichen, „Datentransfers in die und aus der EU ab Ende 2022 zu kontrollieren, zu begrenzen und zu überwachen“, und kündigte die eingehenden Fähigkeiten in einem Blogbeitrag an.
Der Schritt soll offenbar auf das erhöhte rechtliche Risiko im Zusammenhang mit dem Export personenbezogener Daten reagieren – nach einem wegweisenden EU-Rechtsurteil im Juli 2020 – das die regionale Nutzung von US-Cloud-Diensten dämpfen könnte.
Anfang dieses Jahres starteten eine Reihe von Datenschutzbehörden eine koordinierte Durchsetzungsmaßnahme, die sich auf die Nutzung von Cloud-Diensten durch öffentliche Stellen konzentrierte – mit dem Ziel zu untersuchen, ob angemessene Datenschutzmaßnahmen angewendet werden, auch wenn Daten aus dem Block exportiert werden. Und der Europäische Datenschutzausschuss (EDPB), der die Maßnahmen leitet, soll vor Ende 2022 einen Bericht über den Stand der Dinge veröffentlichen – passend zu Googles Zeitplan für die Einführung (einiger) der neuen Kontrollen.
In den letzten Monaten gab es auch Entscheidungen von Datenschutzbehörden, in denen festgestellt wurde, dass bestimmte Anwendungen von Tools wie Google Analytics mit den Datenschutzgesetzen des Blocks nicht vereinbar sind.
Google bezieht sich auf die eingehenden zusätzlichen Funktionen, die Benutzer in Europa erhalten werden, als „Souveräne Kontrollen für Google Workspace“ – was auch wie eine bewusste Anlehnung an einen Begriff klingt, den der EU-Gesetzgeber gerne als „digitale Souveränität“ bezeichnet.
EU-Gesetzgeber verwenden diese Formulierung, um davon zu sprechen, dass die Region Autonomie über die digitale Infrastruktur erlangt, von der ein Großteil von US-Technologieunternehmen bereitgestellt wird. Aber hier scheint Google zu versuchen, eine alternative Version von „Souveränität“ zu entwickeln, indem es vorschlägt, dass allein technische Maßnahmen und Benutzerkonfigurationen der EU genügend Autonomie verschaffen können, unabhängig davon, ob die Technologie selbst immer noch von einem US-Riesen geliefert wird hofft, dass Kunden im Block weiterhin seine Werkzeuge kaufen.
„Europäische Unternehmen verlagern ihre Abläufe und Daten in zunehmender Zahl in die Cloud, um die Zusammenarbeit zu ermöglichen, den Geschäftswert zu steigern und auf hybrides Arbeiten umzusteigen. Die Cloud-Lösungen, die diese leistungsstarken Funktionen untermauern, müssen jedoch die kritischen Anforderungen eines Unternehmens an Sicherheit, Datenschutz und digitale Souveränität erfüllen. Wir hören oft von politischen Entscheidungsträgern und Wirtschaftsführern der Europäischen Union, dass die Gewährleistung der Souveränität ihrer Cloud-Daten durch Regionalisierung und zusätzliche Kontrollen über den administrativen Zugriff in dieser sich entwickelnden Landschaft von entscheidender Bedeutung ist“, heißt es in dem Blogbeitrag.
„Heute kündigen wir Sovereign Controls für Google Workspace an, die wird ab Ende 2022 digitale Souveränitätsfunktionen für Organisationen sowohl im öffentlichen als auch im privaten Sektor bereitstellen, um die Übertragung von Daten in die und aus der EU zu kontrollieren, zu begrenzen und zu überwachen, wobei zusätzliche Funktionen im Laufe des Jahres 2023 bereitgestellt werden. Dieses Engagement baut auf unseren bestehenden Funktionen für clientseitige Verschlüsselung, Datenregionen und Zugriffskontrollen auf.“
Welche zusätzlichen Funktionen hat Google jetzt angekündigt? Kurzfristig zeichnet sich eine Ausweitung der clientseitigen Verschlüsselung ab, die Google im vergangenen Sommer für Workspace angekündigt hat.
„Organisationen können sich dafür entscheiden, die clientseitige Verschlüsselung für alle ihre Benutzer durchgängig zu verwenden oder Regeln zu erstellen, die für bestimmte Benutzer, Organisationseinheiten oder gemeinsame Laufwerke gelten“, sagt Google. „Die clientseitige Verschlüsselung ist jetzt allgemein für Google Drive, Docs, Sheets und Slides verfügbar, und es ist geplant, die Funktionalität bis Ende 2022 auf Gmail, Google Calendar und Meet auszudehnen.“
Google kündigt auch eine Ausweitung der Datenortungskontrollen an – obwohl der Zeitrahmen für diese Funktionserweiterung langsamer ist und „bis Ende 2023“ kommen soll.
„Datenregionen ermöglichen es unseren Kunden bereits, den Speicherort ihrer abgedeckten Daten im Ruhezustand zu kontrollieren“, schreibt sie und fügt hinzu: „Wir werden diese Fähigkeit bis Ende 2023 durch eine erweiterte Abdeckung der Datenspeicherung und -verarbeitung in der Region verbessern eine Inland-Kopie.“
Es wird auch mehr Zugangskontrollen geben – um das zu erfüllen, was Google als „sich entwickelnde digitale Souveränitätsstandards“ bezeichnet.
Es heißt, diese eingehenden Zugriffskontrollen werden es Kunden ermöglichen:
- Beschränken und/oder genehmigen Sie den Zugriff auf den Google-Support durch Zugriffsgenehmigungen;
- Beschränken Sie den Kundensupport durch Access Management auf Support-Mitarbeiter in der EU;
- Gewährleisten Sie bei Bedarf rund um die Uhr Support durch Google Engineering-Mitarbeiter mit einer Remote-in-Virtual-Desktop-Infrastruktur;
- Generieren Sie „umfassende“ Log-Berichte über Datenzugriffe und Aktionen durch die Access Transparency-Funktion.
Aber auch diese zusätzlichen Kontrollen kommen erst Ende 2023.
Google fängt hier nicht bei null an – nachdem es die eingehenden Daten verfolgt hat “Kontrolle der Datenhoheit“ für EU-Benutzer im vergangenen Herbst, als auch darüber gesprochen wurde, Cloud-Dienste auf „Europas Bedingungen“.
Obwohl es natürlich Sache der Regulierungsbehörden des Blocks sein wird, zu beurteilen, ob das Angebot den erforderlichen Rechtsstandard für die betreffenden Datenströme erfüllt, um, äh, legal zu fließen.
Google argumentiert im Allgemeinen, dass hybrides Arbeiten eine gesetzliche Anforderung erschwert, „die Kontrolle über Daten zu behalten, wo immer sie sich befinden“ – bevor es seinen Ansatz einer „Cloud-nativen Architektur“ vorschlägt (es gibt an, dass Google Workspace „vollständig in einem Browser funktioniert, ohne dass Caches oder erforderlich sind installierte Software auf den Geräten der Mitarbeiter“) in Kombination mit einem kontextbewussten („Zero-Trust“) Sicherheitsansatz, der durch Geofencing von Benutzern und Geräten funktioniert, plus Kontrollen für Administratoren, damit sie Freigabegrenzen festlegen und Regeln definieren können, die die Benutzerkommunikation regeln hilft seinen Kunden, sich in diesen unruhigen rechtlichen Gewässern zurechtzufinden, während die Kernfunktionen der Software für die Zusammenarbeit weiterhin funktionieren.
Die Nutzung von Cloud-Diensten von in den USA ansässigen Unternehmen in der EU ist seit einigen Jahren von Rechtsunsicherheit umgeben – zuletzt seit Juli 2020, als das oberste Gericht des Blocks das Flaggschiff der Datenübertragungsvereinbarung EU-US Privacy Shield wegen eines fatalen Zusammenstoßes niederschlug zwischen US-Überwachungsrecht und EU-Datenschutzrechten.
In den vier Jahren seines Bestehens vereinfachte Privacy Shield den Datenexport von der EU in die USA mit einem Selbstzertifizierungssystem, um den Export personenbezogener Daten von Europäern zu genehmigen. Aber dieses Regime endete mit dem Streik des EuGH im Juli 2020.
Und obwohl das Gericht Datenexporte nicht vollständig verbot, erhöhte es die Komplexität der Verwendung anderer Übertragungsmechanismen (wie Standardvertragsklauseln) – und stellte klar, dass regionale Datenschutzbehörden verpflichtet sind, einzugreifen und Datenübertragungen auszusetzen, wenn dies der Fall ist glauben, dass die Informationen der Europäer an ein Ziel fließen, wo sie gefährdet sind. (Der EDPB hat daraufhin Leitlinien zu sogenannten „ergänzenden Maßnahmen“ herausgegeben, die dazu beitragen können, den Schutzstandard zu erhöhen, wie z. B. robuste Verschlüsselung.)
Die Tatsache, dass der EU-US-Datenschutzschild vom EuGH niedergeschlagen wurde, machte deutlich, dass die USA ein riskantes Ziel für EU-Daten sind – daher sind in den USA ansässige Cloud-Dienste seitdem im Rahmen.
Und obwohl dem Gerichtsurteil nicht unmittelbar Anordnungen zur Einstellung des Datenflusses folgten, haben die EU-Behörden in den letzten Monaten ihre Maßnahmen und Durchsetzungsmaßnahmen in Bezug auf die Datenübermittlung verstärkt. Der Europäische Datenschutzbeauftragte versetzte dem Europäischen Parlament Anfang dieses Jahres beispielsweise einen Schlag auf eine COVID-19-Testbuchungswebsite (die Google Analytics verwendete und Code für Stripe enthielt).
Andere spätere Entscheidungen von Datenverantwortlichen haben sich in ähnlicher Weise mit der Verwendung bestimmter Tools von Google befasst.
Das EuGH-Urteil folgte den Snowden-Enthüllungen des NSA-Whistleblowers Edward Snowden aus dem Jahr 2013 – der Einzelheiten über Massenüberwachungsprogramme der US-Regierung veröffentlichte, die kommerzielle digitale Dienste anzapfen –, die auch dazu führten, dass das frühere EU-US-Datenübertragungsabkommen, Safe Harbor, 2015 niedergeschlagen wurde durch eine frühere rechtliche Anfechtung.
Während also die EU und die USA angekündigt haben, diesen März eine politische Einigung über einen Ersatz für das Privacy Shield zu erzielen, wird ein dritter Versuch, dieselbe rechtliche Spaltung zu überbrücken, zweifellos vor einem neuen Gerichtsverfahren stehen. Und die Chancen, dass Privacy Shield 2.0 die Einschätzung des EuGH überlebt, stehen ziemlich schlecht, da eine grundlegende Reform des US-Überwachungsgesetzes scheitert (die nicht auf dem Tisch zu liegen scheint).
All dies lässt die Strategie von Google, seinen Kunden in der EU ein wachsendes Bündel technischer und organisatorischer Maßnahmen (wie clientseitige Verschlüsselung, Datenlokalisierung und andere maßgeschneiderte Kontrollen wie EU-basierter technischer Support) anzubieten, wie einen vernünftigen Versuch erscheinen Finden Sie einen Weg, um kritische Geschäftsdatenströme in den Augen der EU-Regulierungsbehörden zu sichern und zukunftssicher zu machen, unabhängig von politischen Vereinbarungen auf dem Papier. (Obwohl in seinem Blogbeitrag auch darauf hingewiesen wird, dass Google Cloud „Schutzmaßnahmen vornehmen“, die vom neuen EU-Datenübertragungsrahmen angeboten werden, der verfügbar ist, „sobald er implementiert ist“ (ein Ereignis, das wahrscheinlich noch mehrere Monate entfernt ist).)
„Wir sind weiterhin bestrebt, unsere Kunden in Europa und auf der ganzen Welt mit leistungsstarken technischen Lösungen auszustatten, die ihnen helfen, sich an eine sich schnell entwickelnde regulatorische Landschaft anzupassen und auf dem Laufenden zu bleiben. Wir haben Google Workspace so konzipiert und aufgebaut, dass es auf einer sicheren Grundlage arbeitet und Funktionen bereitstellt, mit denen unsere Nutzer geschützt, ihre Daten geschützt und ihre Informationen privat bleiben. Digitale Souveränität ist der Kern unserer laufenden Mission in Europa und anderswo und ein Leitprinzip, auf das sich Kunden jetzt und in Zukunft verlassen können“, fügt Google hinzu.
Diskussion über die Ankündigung des Technologieriesen Dr. Lukasz Olejnikein unabhängiger Cybersicherheitsforscher und -berater mit Sitz in Europa, beschreibt die neueste Entwicklung als „eine interessante Weiterentwicklung eines Produkts und einer Dienstleistung“, die er als mit ziemlicher Sicherheit durch EU-Recht und -Politik motiviert einschätzt.
„Es scheint direkt die Empfehlungen von EDPB zu unterstützen, die auch meine widerspiegeln vorherige Analyse. Insbesondere die Unterstützung bei der Verwendung eines bestimmten technischen und organisatorischen Setups“, schlägt er vor. „Was die technische Seite betrifft, so muss die Verarbeitung durch clientseitige Verschlüsselung unterstützt werden, sodass die Schlüssel niemals die Räumlichkeiten eines in der EU ansässigen Unternehmens verlassen. Clientseitige Verschlüsselungsfunktion ist bereits von Workspace angeboten. Heute könnte es immer noch als etwas umständlich angesehen werden – und es ist unklar, ob die neue Steuerung etwas einfacher machen würde. Lass es uns hoffen. Neu scheint jedoch diese All-in-One-Steuerung zu sein.“
„Der Ausbau von Rechenzentren im Inland ist eine erwartete Entwicklung, aber eine zusätzliche, die das EuGH-Urteil stützen würde“, sagt er uns und fügt hinzu: „Was noch fehlt, ist eine einfach zu handhabende und anwendbare Verwaltung des Zugriffs auf Daten . Wie die Daten in Google Docs. Heutzutage ist es zum Beispiel alles andere als einfach, alle freigegebenen Dokumente einfach aufzulisten, um einige Freigabekonfigurationen zu entfernen. Zu erwarten, dass die Leute dies Datei für Datei für einzelne Dateien tun, ist bei weitem nicht in großem Maßstab brauchbar. Dies sollte vereinfacht werden, nicht auf Basis einzelner Dateien. Es scheint, dass – vielleicht! — die neue Access Control-Funktion kann hier Abhilfe schaffen? Wie es in der Praxis funktioniert, bleibt abzuwarten.“