Privacy Shield Datentransfer und personenbezogene Datenverarbeitung in US-Clouds

von Niroshann Andreas George

Worauf Unternehmen künftig achten sollten

Die Gefahr durch Datentransfer und personenbezogene Datenverarbeitung in US-Clouds

Immer größere Datenmengen, insbesondere personenbezogene Daten, werden in der Cloud bei US-Anbietern abgelegt und verarbeitet. Der EU-US Privacy Shield, eine informelle Absprache zwischen der EU und den USA auf dem Gebiet des Datenschutzrechts, wurde am 16.07.2020 vom EuGH für ungültig erklärt. Für deutsche sowie europäische Unternehmen bedeutet dies, dass Cloud-Anbieter aus den Vereinigten Staaten künftig keinen angemessenen Schutz mehr bei der Übertragung und Verarbeitung von personenbezogenen Daten in US-Clouds gem. Art. 45 DSGVO gewährleisten können. Aufgrund dieser regulatorischen Differenzen und der Monopolstellung von US-Cloud-Anbietern auf dem Markt, ist ein einheitlicher Rechtsrahmen langfristig auf europäischer Ebene erforderlich. Weiter ist zu beachten, dass die einzelnen Bundesländer in Deutschland eigenständig agierende Datenschutzbehörden haben, die die DSGVO unterschiedlich auslegen. Daher wäre eine einheitliche Regelung auf Bundesebene für den Anfang wünschenswert, um die Nutzung von US-Cloud Anbietern zumindest in Deutschland einheitlich zu regeln. Eine solche Regelung würde vor allem dem deutschen Mittelstand, der bereits heute größtenteils US-Cloud-Services nutzt, zugutekommen. 

Welchen Herausforderungen müssen sich Unternehmen weiterhin stellen? 

Aufgrund der Tatsache, dass bis heute (Stand: 24/02/2022) kein vergleichbares Rahmenabkommen zwischen der EU und den USA geschaffen wurde, müssen Verantwortliche und Auftragsverarbeitende weiterhin jeden Fall einzeln prüfen. Nur so ist es möglich bei Datentransfers und bei der Bearbeitung von personenbezogenen Daten in die USA ein angemessenes Schutzniveau zu garantieren. Darüber hinaus kann diese Herausforderung zugleich auch als eine Möglichkeit für Unternehmen angesehen werden, das Verhältnis von erforderlichem Datentransfer in die USA und das Datenschutzniveau neu auszurichten. Weiter stehen Unternehmen vor der Herausforderung verstärkt auf neue Verschlüsselungstechnologien zu setzen, um den Datentransfer in US-Clouds weiterhin sicher zu gestalten. Alternativ stünde ihnen noch die Möglichkeit offen, die entsprechenden Daten nur noch innerhalb der europäischen Union zu speichern und zu verarbeiten. AWS und Microsoft haben beispielsweise ihre Cloud Produkte diesbezüglich entsprechend angepasst, um ihren europäischen Kunden weiterhin ein stabiles und datenschutzkonformes Cloud Computing zu ermöglichen. 

AWS und Microsoft weiterhin für Unternehmen sicher 

Microsoft wird ab Ende 2022 personenbezogene Daten europäischer Kunden nur noch in der europäischen Union speichern und verarbeiten. Laut Microsoft soll diese Umstellung für alle zentralen Cloud-Dienste (Azure, MS 365 und Dynamics 365) gelten. Mit dem sog. „EU DATA BOUNDARY“ bietet Microsoft Kunden aus der Privatwirtschaft sowie dem öffentlichen Sektor eine sog. EU-Datengrenze für seine Cloud-Lösungen an. Darüber hinaus will Microsoft das Problem des CLOUD ACT dadurch lösen, dass Kunden die Verschlüsselung ihrer Daten selbst konfigurieren und insbesondere kontrollieren und damit vor einem unzulässigen Zugriff durch staatliche Stellen schützen.  

AWS hat ebenfalls mit AWS AVV (Auftragsverarbeitungsvertrag/ DATA PROCESSING ADDENDUM) Gegenmaßnahmen ergriffen. So werden beispielsweise mit AWS AVV Anfragen von Strafverfolgungsbehörden seitens AWS angefochten, wenn die betreffende Anfrage mit europäischem Recht nicht vereinbar ist. Im Falle einer gerichtlichen Anordnung Kundendaten offenzulegen, verpflichtet sich AWS seinen Kunden gegenüber lediglich die Mindestmenge an Daten offenzulegen, die zur Erfüllung der Anfrage erforderlich ist. Ohne den Privacy Shield müssen Kunden den Cloud Anbietern vertrauen, dass sie die sog. Standardvertrags-Klauseln (STANDARD Contractual Clauses /SCC) weiterhin einhalten. Den Kunden steht hier lediglich die Möglichkeit offen, die jeweiligen Anbieter zu kontaktieren und sich über etwaige Datentransfers und Verarbeitung ihrer personenbezogenen Daten in Drittländer zu erkundigen, um auf der sicheren Seite zu sein. Positiv ist zumindest, dass sowohl AWS als auch Microsoft seit 2020 sich für ihre Kunden aktiv, sogar in gerichtlichen Auseinandersetzungen bis in die höchsten Instanzen, einsetzen. Beide Anbieter haben bisher keiner staatlichen Stelle direkten, ungehinderten Zugang zu den Daten ihrer Kunden gewährt. AWS und Microsoft kommen behördlichen Forderungen bzgl. der Herausgabe von Daten zudem nur nach, wenn ein rechtmäßiges Verfahren eingeleitet wurde und sie dazu gezwungen werden. Wenn die Anbieter den Eindruck erhalten, dass die behördlichen Anfragen oder Anordnungen nicht rechtmäßig sind, werden sie routinemäßig abgelehnt oder angefochten. Beide Anbieter informieren dabei ihre Kunden über die jeweiligen Maßnahmen. Trotz der Entscheidung des EuGHs, müssen die Teilnehmer des EU-US Privacy Shield weiterhin ihren Verpflichtungen aus den Rahmenbedingungen nachkommen. Die Rahmenbedingungen sprechen den Kunden bspw. das Recht auf Löschung oder Berichtigung ihrer Daten zu. 

Handlungsempfehlungen wie Unternehmen vorgehen sollten 

Zunächst sollten betroffene Unternehmen entsprechende Datentransfers mit US-Bezug ausfindig machen, angemessen dokumentieren und letztlich eine Strategie, aufgrund einer Risikoanalyse, für den Datentransfer aufstellen und anschließend umsetzen. Zudem sollten Unternehmen den Einsatz technischer Maßnahmen, wie z. B. eine Anonymisierung, Pseudonymisierung in Kombination mit einer entsprechenden Verschlüsselungstechnologie prüfen. Im Anschluss daran muss weiter sichergestellt werden, dass diese technischen Schutzmaßnahmen nicht ohne weiteres im Ausland umgangen werden können. Darüber hinaus ist es im Sinne der datenschutzrechtlichen Compliance für sämtliche Datentransfers in EU-Drittländer eine Haftungsvereinbarung mit den Datenempfänger vertraglich abzuschließen. Eine solche vertragliche Vereinbarung bietet deutschen Unternehmen beispielsweise den Vorteil als Datenübermittler sich von der Haftung für Schäden freistellen zu lassen. Dies ist insbesondere mit Blick auf den sog. CLOUD ACT (Clarifying Lawful Overseas Use of Data Act) nicht zu vernachlässigen. Das Gesetz verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. Daher sollten sich deutsche sowie im europäischen Ausland ansässige Unternehmen stets um eine vertragliche Regelung bemühen, die den Umgang mit Anfragen und Maßnahmen von US-Sicherheitsbehörden eindeutig klärt. 

Fazit und Ausblick

Die Entscheidung des EuGHs bringt für die Praxis nach wie vor viele Herausforderungen mit sich. Aufgrund eines fehlenden transatlantischen Abkommens mit der USA werden Unternehmen auch künftig bei der Übertragung und Verarbeitung von personenbezogenen Daten in die USA sorgfältig die technischen Sicherheitsmechanismen prüfen müssen. Vertragliche Vereinbarungen, die den Umgang mit personenbezogenen Daten in den USA für Datenempfänger festlegen, spielen heute eine übergeordnete Rolle. Unternehmen und Kunden aus dem öffentlichen Sektor müssen die Rechtslage in den kommenden Jahren aufmerksam verfolgen, um sich auf Änderungen einzustellen. AWS und Microsoft sind aber weiterhin zuverlässige Partner bei der Übertragung und Verarbeitung von personenbezogenen Daten in die US-Clouds. Langfristig muss die EU mit den USA neue Rahmenbedingungen für den Datenaustausch schaffen, damit internationale Datentransfer rechtssicher durchgeführt werden können. Stabile Rahmenbedingungen für den internationalen Datenaustausch sind langfristig für das Wirtschaftswachstum in der EU und in den USA unabdingbar. 

Haben Sie weitere Fragen zum Datenschutz in der Cloud? 

Gern stehen Ihnen unsere Cloud-Experten für ein erstes, unverbindliches Beratungsgespräch zur Verfügung. Wir freuen uns darauf, mit Ihnen gemeinsam eine datenschutzkonforme Cloud-Lösung für Ihr Unternehmen zu entwickeln. 

Starten wir gemeinsam in die Zukunft.

Unsicher, wohin die digitale Reise bei Ihnen führen soll? Unsere Expert*innen stehen Ihnen gerne unverbindlich für Ihre Fragen zur Verfügung!

Einfach das nebenstehende Formular ausfüllen und wir melden uns umgehend bei Ihnen.