Ist Nutzung von US Cloud-Anbietern Verstoß gegen europäisches Recht?
Data Privacy von Ioannis Dimas
Die Nutzung von US-Cloud-Anbietern ist seit dem Urteil Schrems II durch den EUGH höchstrichterlich verboten. Viele deutsche Unternehmen wissen nicht, dass ihnen mit der weiteren Nutzung hohe Strafen und Bußgelder drohen.
Wie kürzlich durch das Handelsblatt berichtet, schauen nun die Aufsichtsbehörden genauer in die Unternehmen und prüfen den Einsatz der Dienste ohne Verdachtsmoment. Unternehmen müssen sich nun erklären, warum sie entsprechende Cloud-Dienste verwenden und warum keine gesetzeskonforme Alternative genutzt werden kann.
US-Konzerne nehmen zwischenzeitlich mit ihren Cloud-Diensten einen großen Marktanteil am Weltmarkt ein, wenn sie nicht sogar schon eine Monopolstellung besitzen. Dazu gehören zum Beispiel die Konzerne Apple, Amazon, Microsoft, Facebook, Google uvm. Die deutschen Datenschutz-Aufsichtsbehörden kontrollieren daher aktuell nach dem EUGH-Urteil vom 20. Juli 2020 Unternehmen zu der Nutzung von z.B. Amazon, Microsoft, Google uvm. als US-Cloud-Anbieter. Auch Software im Bereich Videokonferenz (bspw. MS Teams) oder Tracking Tools (Adwords) sind betroffen. Die Dienste dieser Anbieter verstoßen gegen die DS-GVO, da nicht zweifelsfrei sichergestellt ist, dass die Daten in den USA nicht anderweitig genutzt werden. Insbesondere durch das Heimatschutzgesetz haben staatliche Stellen (wie z. B. Geheimdienste) Zugriff auf alle Daten die US-Unternehmen verarbeiten. Über Anfragen von staatlichen Stellen dürfen Unternehmen nicht sprechen.
Die Kontrollen der Unternehmen erfolgen stichprobenartig unter anderem durch die Aufsichtsbehörden der jeweiligen Bundesländer und jedes Unternehmen kann befragt werden. Hierfür hat die Datenschutzkonferenz (DSK) einen standardisierten Fragenkatalog erstellt, den die Unternehmen zu beantworten haben. In dieser Kontrolle werden Unternehmen zu der Nutzung von US Cloud-Anbietern befragt und es wird eine Begründung gefordert, warum das Unternehmen die Dienste dieser Anbieter nutzt. Wenn die Nutzung nicht begründet ist oder es keine ausreichende Antwort gibt, drohen Sanktionen und Strafen bis zu 20 Millionen Euro oder 4% des jährlichen Umsatzes und eine Untersagung des jeweiligen Dienstes.
Unternehmen müssen für die Kontrollen der Aufsichtsbehörden unter anderem folgendes nachweisen:
1. Nachweis über die Prüfung der Datenübertragungen der Anbieter. Auch der ausgeschlossene Zugriff Dritter auf die Daten muss nachgewiesen werden. Wichtig für die Analyse einer sicheren Datenübermittlung sind nicht nur die Vorgänge der Übermittlung sondern auch die Verarbeitung der Daten. So gibt es Anbieter, die Daten in der EU speichern aber diese auch in die USA transferieren und dort weiterverarbeiten. Auch Tochterunternehmen US-Amerikanischer Firmen, die Ihren Sitz in der EU haben und hier Daten verarbeiten, müssen einer genauen Prüfung unterzogen werden. Denn entscheidend ist nicht nur der Datenstandort, sondern der Sitz der Muttergesellschaft.
2. Einholung von Einwilligungen aller beteiligter Personen der Kommunikation, deren Daten in die USA übermittelt werden.
3. Vollständige Anonymisierung der Daten vor der Übermittlung.
4. Anwendung von Standarddatenschutzklauseln
Diese Nachweise zu erbringen, ist in den meisten Fällen nahezu unmöglich. Stellen wir uns vor, dass Sie von Kunden, Mitarbeitern oder Lieferanten die Einwilligung zur Weitergabe der Daten an eine US-Cloud schriftlich einholen müssen, bevor Sie den Dienst wie bspw. MS Teams nutzen können. Ein weiteres Problem ist die Durchsetzung des Widerrufs eines Betroffenen. Daher ist der einzige rechtlich haltbare Weg die Nutzung von Diensten, die von Unternehmen aus der EU innerhalb der EU erbracht werden.
Im Whitepaper der OSB Alliance – Bundesverband für digitale Souveränität e.V erhalten Sie detaillierte Informationen und Do‘s und Dont‘s zur rechtlich zulässigen Datenübertragung.
Die Politik ist zwar bei dem Thema aufgefordert, eine neue Lösung mit der USA für die Datenübertragung zu finden, um die hohen Ansprüche an den Datenschutz in der EU aufrecht zu erhalten, es ist jedoch nicht zu erwarten, dass die USA hier von ihren binnenpolitischen rechtlichen Regelungen derart abweichen wird, damit durch einen Angemessenheitsbeschluss der EU-Kommission die USA als sicheres Drittland eingestuft werden kann. Eine Lösung zwischen der EU und der USA ist mit dem Safe-Harbor Abkommen und dem Privacy Shield schon zweimal, bedingt durch die selbe Rechtshaltung der USA gescheitert. Wichtig wäre es daher, die eigenen europäischen Anbieter durch die Politik zu stärken.
Zwar hat der Datenschutzbeauftragte von Baden-Württemberg, Dr. Stefan Brink, mitgeteilt, dass seine Behörde den Weg geht, keinen Datentransfer zu untersagen solang die Nutzung begründet ist und bewiesen werden kann, dass kein Alternativanbieter aus der EU für die Datenverarbeitung geeignet ist. Dennoch müssen sich Unternehmen nun Alternativen überlegen.
Details zu dem Thema finden Sie in dem Artikel des Handelsblattes.
Um sich vor Strafen zu schützen und die Datensicherheit im Unternehmen zu gewähren, empfehlen wir Ihnen, auf deutsche oder europäische Dienstleistungen umzusteigen. Open-Source Produkte bieten die beste Transparenz, da der Quellcode offen gelegt ist. Im Gegensatz ist bei Closed-Source Software keine Transparenz möglich. Nutzer können bei Open-Source selber prüfen und entscheiden wie die Daten verarbeitet werden.
Wenn wir Sie zu dem Thema beraten können oder Sie alternative Produkte suchen, melden Sie sich gerne bei uns. Wir bieten in jeder Produktsparte sichere Lösungen für Ihr Unternehmen an. Auch beraten wir Sie gerne wenn es um Datenschutz-Themen geht.