DSGVO & Co.: Compliance beim Cloud-Speichern Hyperscaler-Nutzung nach dem Privacy Shield

Autor / Redakteur: Sven Schlotzhauer / Sarah Böttcher

Seit dem Ende des Privacy Shields tappen Unternehmen in Sachen transatlantischer Datenübermittlung im Dunkeln. Laufen Firmen Gefahr, ein Bußgeld zu kassieren, weil sie ihre Daten bei AWS und Co. speichern, auch wenn diese selbst in Europa bleiben?

Firmen zum Thema

Dürfen die Services der Hyperscaler rein rechtlich überhaupt noch genutzt werden?
Dürfen die Services der Hyperscaler rein rechtlich überhaupt noch genutzt werden?
(Bild: 1STunningART – stock.adobe.com)

Viel ist im vergangenen Sommer diskutiert worden über die Auswirkungen des sogenannten „Schrems II“-Urteils des Europäischen Gerichtshofs. Herr Schrems – ein österreichischer Datenschutzaktivist, der seit Jahren gegen die Datenverarbeitung des Facebook-Konzerns zu Felde zieht – äußerte unmittelbar nach dem Urteil, es sei „klar“, dass die USA ihre Überwachungsgesetze ernsthaft ändern müssten, wenn ihre Unternehmen weiterhin eine Rolle auf dem EU-Markt spielen wollten. Andere Stimmen bezeichneten das Urteil als realitätsfern und praktisch nicht umsetzbar.

Seitdem sind die US-Sicherheitsgesetze zwar nicht geändert worden, es liegen jedoch zahlreiche Stellungnahmen beispielsweise des Europäischen Datenschutzausschusses (EDSA) sowie verschiedener deutscher Datenschutzbehörden dazu vor. Der folgende Beitrag will auf dieser Basis eine Handlungsorientierung für Unternehmen bieten, die auf eine transatlantische Datenübermittlung dringend angewiesen sind.

Worum geht es?

Der Trend zum Cloud Computing ist ungebrochen; aus der täglichen Praxis vieler Unternehmen sind solche Dienste nicht mehr wegzudenken. Nachdem der EuGH mit seinem „UsedSoft“-Urteil 2012 den Markt für Gebraucht-Software liberalisiert hatte, nahm diese Entwicklung nochmals an Fahrt auf, weil „gemietete“ Software, die in einer Cloud betrieben wird, nicht ohne das Einverständnis des Lizenzgebers weiter übertragen werden kann, der Lizenzgeber also die volle Kontrolle über seine Endnutzer behält. Microsoft, Adobe, Salesforce, SAP, Oracle, Cisco, Google, IBM – die Liste derjenigen Unternehmen, die den SaaS-Markt beherrschen, enthält nur europäische „Ausreißer“. Schon der Sitz des Cloud-Anbieters in den USA zwingt jedoch jeden Anwender in der EU, sich mit der Frage auseinanderzusetzen, wie es der Cloud-Anbieter mit der Einhaltung des DSGVO-Standards hält. Bei der Prüfung empfiehlt sich folgende gestufte Vorgehensweise.

Vorfrage: Welche Daten sind betroffen?

Am Anfang steht die genaue Ermittlung des Sachverhalts. Welche Daten sind konkret von der Übermittlung beziehungsweise dem Zugriff betroffen? Sollte Ihr Unternehmen beispielsweise Fahrzeugteile entwickeln und seine CAD-Software und neu designten Produkte in der Cloud hosten, können Sie an dieser Stelle aufhören zu lesen: Unternehmensbezogene Daten spielen für Zwecke der DSGVO keine Rolle; ihre Übertragung bedarf keiner Rechtfertigung. Entscheidend ist, dass die Daten einen Personenbezug aufweisen. Gleiches gilt, wenn Unternehmen in der Lage sind, die in der Cloud befindlichen Daten zu verschlüsseln und damit zu anonymisieren. Denn in diesem Fall ist der Personenbezug ebenfalls aufgehoben.

Schritt 1: Sachverhaltsermittlung

Steht einmal fest, dass es sich um personenbezogene Daten handelt, sollten Unternehmen folgende Datenverarbeitungen prioritär betrachten: Daten von Kindern, besonders sensible Daten wie zum Beispiel Daten zur ethnischen Zugehörigkeit, Gesundheit, Religion oder Sexualität oder sonstige Daten mit besonderer Grundrechtsrelevanz wie Telekommunikations- oder Standortdaten. Gleiches gilt bei einer sehr hohen Anzahl oder bei großem Umfang der Datensätze.

Anschließend müssen die Umstände des Datentransfers genau geklärt werden: Wo werden die personenbezogenen Daten konkret gespeichert? Befindet sich die Cloud in der EU, und es ist nur ein Zugriff von außen denkbar, oder befinden sich die Daten tatsächlich physisch in Rechenzentren in den USA? Was ist eigentlich der Zweck der Übermittlung? Wer ist der ausländische Datenimporteur eigentlich – handelt es sich um ein Unternehmen oder eine Behörde? In welchem regulatorischen Umfeld und in welcher Branche bewegt er sich – gibt es ausländische Aufsichtsbehörden? Welche Rolle hat er bei dem Transfer – ist er Auftragsverarbeiter? Was besagen die Verträge zu diesem Thema? Gibt es eine sonstige Dokumentation? Die genannten Informationen sollten Unternehmen eigentlich bereits in ihrem Verzeichnis von Verarbeitungstätigkeiten finden. Sie sind Grundlage für die erforderliche Risikoabwägung.

Ein Beispiel: Mit der Feststellung, dass sich die Daten zwar in Rechenzentren eines US-amerikanischen Anbieters, aber auf europäischem Boden befinden, ist noch nichts gewonnen, weil der US-Anbieter dem Cloud Act unterliegt, der ihn zwingt, im Fall der Fälle auch Daten herauszugeben, die sich nicht in den USA befinden. Aus DSGVO-Sicht wiederum reicht die technische Möglichkeit des Zugriffs aus den USA heraus aus, um eine „Übermittlung“ anzunehmen, die einer Rechtfertigung bedarf. Es ist aber im Rahmen einer Risikoabwägung (und damit auch bei der Argumentation gegenüber der Aufsichtsbehörde) ein erheblicher Unterschied, ob der Verantwortliche eine europäische Cloud eines US-Anbieters beauftragt hat und darin sein ERP-System und angeschlossene Verkaufsplattform laufen lässt oder ob der Verantwortliche eine HR-Lösung wie SAP Success Factors, in der sensible Arbeitnehmerdaten gespeichert sein können, von vornherein in den USA hosten lässt. Das Speichern von „gewöhnlichen“ Daten bei AWS dürfte – je nach Aufsichtsbehörde – noch nicht sofort zu einer Untersagungsanordnung oder einem Bußgeld führen. Das dürfte anders aussehen, wenn eine Krankenkasse auf die Idee käme, ihre Kundendaten in die Cloud eines US-amerikanischen Anbieters zu stellen, ohne sich um den Speicherstandort zu kümmern oder um zusätzliche vertraglichen Garantien auch nur zu bemühen.

Schritt 2: Rechtliche Grundlage ermitteln und schaffen

Sind die Transfers in Drittländer identifiziert und dokumentiert, sollten Unternehmen zunächst vorrangig die Übermittlungen in die USA betrachten. Zwar lassen sich die Erkenntnisse aus dem „Schrems II“-Urteil ohne Weiteres auf andere Drittländer übertragen, jedoch dürfte in vielen dieser Länder die Überwachungslage unklarer sein als in den USA. Bei der Suche nach einer geeigneten Rechtsgrundlage gibt es diverse Optionen.

Vorab: Sollten Unternehmen feststellen, dass die Datenschutzerklärung auf ihrer Website noch auf das sogenannte Privacy Shield und eine entsprechende Zertifizierung des Datenempfängers verweist, sollte dies schnellstmöglich bereinigt werden, da das Privacy Shield als Rechtsgrundlage durch das „Schrems II“-Urteil unmittelbar weggefallen ist.

Zunächst kommt eine Einwilligung des Betroffenen als Rechtsgrundlage in Frage. Jedem von uns wird täglich, in Form der sogenannten Cookie-Banner auf Websites, eine Einwilligung in die Übermittlung von Daten in unsichere Drittstaaten abverlangt. Betrachtet man die dahinterstehenden Erläuterungen, so befinden sich viele der Datenempfänger in den USA. Es könnte also überlegt werden, entsprechende Einwilligungstexte zu implementieren. Allerdings wird man zum Beispiel im Bereich des Arbeitsrechts schnell an Grenzen stoßen, denn hier wird die Freiwilligkeit der Einwilligung teilweise in Frage gestellt: Kann also ein angestellter Consultant eines global agierenden Beratungsunternehmens freiwillig seine Daten in eine von allen Landesgesellschaften betriebene Skill-Datenbank einspeisen, damit der Konzernverbund für bestimmte Aufgaben weltweit die geeignetsten Consultants identifizieren kann?

Geprüft werden kann weiter, ob sich die internationale Datenübermittlung auf einen Vertrag stützen lässt, der die Datenübermittlung erforderlich macht. Dann müsste dieser Vertrag entweder von der betroffenen Person selbst oder in ihrem Interesse geschlossen worden sein. Auch hier gilt: Im Einzelfall mag diese Rechtsgrundlage tragen. Für die massenhafte Verlagerung von Daten in die Cloud scheidet sie eher aus.

Schließlich könnte – wie bisher – der Abschluss der sogenannten Standardvertragsklauseln eine Option sein. Das EuGH-Urteil besagt jedoch, dass die zuständigen Aufsichtsbehörden Datentransfers ungeachtet des Vorhandenseins der Klauseln für unzulässig erklären und untersagen müssen, wenn sie diese für nicht ausreichend halten. Viele Aufsichtsbehörden sehen es in ihren ersten Stellungnahmen zwar weiter als möglich an, die Standardvertragsklauseln zu nutzen. Sie raten aber dazu, im Einzelnen zu prüfen, welchen Gesetzen der Datenempfänger in den USA in der speziellen Geschäftsbeziehung unterliegt und ob diese die mit den Standardvertragsklauseln gegebenen Garantien beeinträchtigen. Da die Standardvertragsklauseln die Sicherheitsbehörden des Drittlandes nicht binden können, stellen sie in den Fällen, in denen die Behörden nach dem Recht des Drittlandes befugt sind, in die Rechte der betroffenen Personen einzugreifen keinen angemessenen Schutz dar, wenn nicht die Vertragspartner zusätzliche Maßnahmen vorsehen. Diese „zusätzlichen Maßnahmen“ könnten nach Auffassung der Datenschutzbehörden beispielsweise in der Verschlüsselung oder Anonymisierung bestehen. Festzuhalten ist allerdings, dass in diesem Fall schon keine Standardvertragsklauseln mehr erforderlich sind, weil die DSGVO auf nicht personenbezogene Daten keine Anwendung findet (siehe oben).

Ist eine technische Lösung nicht möglich, so empfiehlt eine deutsche Aufsichtsbehörde mit bemerkenswerter Offenheit, wenigstens seinen „Willen zu rechtskonformen Handeln zu demonstrieren und zu dokumentieren“, indem man eine Ergänzung zu den Standardvertragsklauseln mit dem Cloud-Anbieter abschließt, welche zusätzliche Garantien vorsieht. Microsoft hat diesbezüglich im November 2020 einen Vorschlag vorgelegt, der wenigstens bei einem Teil der deutschen Aufsichtsbehörden auf ein positives Echo gestoßen ist. Wirklich empfehlenswert ist, im Rahmen einer Zusatzvereinbarung die von der baden-württembergischen Aufsichtsbehörde konkret angeregten Regelungen zu treffen und gleichzeitig im Rahmen einer Risikobewertung zu dokumentieren, warum man als Unternehmen zu dem Schluss gelangt ist, die Daten exportieren zu dürfen.

Schritt 3: Nach Alternativen suchen

Wenn die oben geschilderten Optionen sämtlich ausscheiden, weil zum Beispiel extrem sensible Daten betroffen sind oder der Datenimporteur keine zusätzlichen Regelungen treffen will, lässt sich die Datenübermittlung in die USA nicht rechtfertigen, und es muss mit einer Untersagung seitens der Behörden gerechnet werden. Dann sollte nochmals untersucht werden, ob die Übermittlung von personenbezogenen Daten in die USA tatsächlich zwingend ist beziehungsweise ob die Datenverarbeitung technisch ausschließlich innerhalb der EU stattfinden kann. Einige US-Anbieter arbeiten an derartigen Optionen oder bieten sie bereits an. Bei vielen Wartungsverträgen, die einen Remotezugriff des Anbieters vorsehen, kann geprüft werden, ob wirklich auf die Datenbank des Nutzers mit den Produktivdaten zugegriffen werden muss oder ob Wartungsmaßnahmen nicht auch ohne diesen Zugriff erfolgen können. Private Clouds werden nur für eine Minderheit von Anwendern eine (kostenträchtige) Option sein. Seitens der Politik sind Anstrengungen angekündigt, eine europäische Cloud-Struktur („Gaia-X“) aufzubauen, um sich von außereuropäischen Anbietern unabhängiger zu machen. Allerdings steckt diese Initiative noch in den Kinderschuhen.

Nichthandeln ist keine Option

Teilweise hat sich in der deutschen Wirtschaft angesichts der teils realitätsfernen Vorgaben der DSGVO ein gewisser Fatalismus breit gemacht: Man werde ohnehin niemals alle Regelungen einhalten können. Das „Schrems II“-Urteil war hier nur ein weiterer Baustein. Allerdings ist gerade im Bereich des transatlantischen Datenaustauschs solch Fatalismus nicht angezeigt: Während eine vielleicht nicht hundertprozentig verständliche oder sogar lückenhafte Datenschutzerklärung auf einer Website vielleicht für die Datenschutzbehörden hinnehmbar ist und nur eine Nachbesserungsaufforderung auslöst, gelten im Bereich der Datenübermittlung schlicht andere Maßstäbe: Wer hier die Augen verschließt und nicht einmal demonstrieren kann, sich mit „Schrems II“ und den Folgen auseinandergesetzt zu haben, wird selbst bei den konstruktiveren und gesprächsbereiten Aufsichtsbehörden nicht mehr auf Gnade hoffen dürfen. Fälle wie der von 1&1 (900.000 Euro) oder der AOK Baden-Württemberg (1,2 Millionen Euro) zeigen, dass die Datenschutzbehörden selbst bei eher banalen Datenschutzverstößen nun Bußgelder in enormer Höhe verhängen.

Neue Ansätze der Biden-Regierung?

Große Hoffnungen werden in der Wirtschaft aktuell mit dem Regierungswechsel in den USA verbunden. Der Vizepräsidentin Kamala Harris sowie dem Gesundheitsminister Xavier Becerra werden wegen ihrer Tätigkeiten für den Bundesstaat Kalifornien nachgesagt, sie könnten im Bereich des Datenschutzes zu Lösungen beitragen. Kalifornien hatte als einer der ersten US-amerikanischen Bundesstaaten Datenschutzgesetze erlassen, die sich wenigstens teilweise der DSGVO annähern. Dass die Hoffnungen von Herrn Schrems nach einer Änderung der US-Sicherheitsgesetze in Erfüllung gehen könnten, erscheint trotzdem unwahrscheinlich. Dagegen spricht, dass die entsprechenden Gesetze zum Teil seit 2001 existieren und auch während der Amtszeit von Barack Obama und seines damaligen Vizepräsidenten Joe Biden nicht geändert oder anders praktiziert wurden – bekanntlich wurde dem deutschen Wunsch nach einem „No-Spy-Abkommen“ im Anschluss an die Aufdeckung des Ausspähens der Bundeskanzlerin von US-amerikanischer Seite eine Absage erteilt.

Ausblick

Der erste Evaluierungsbericht zur DSGVO aus dem Jahr 2020 feiert diese als „zeitgemäß“. Sie habe die meisten ihrer Ziele erreicht und stärke die Rechte der Bürgerinnen und Bürger. Angesichts solcher Aussagen sollten sich Unternehmen wenig Hoffnung machen, dass auf gesetzgeberischer Ebene Einsicht einkehrt.

So bleibt nur die Hoffnung, dass es der EU-Kommission gelingt, der transatlantischen Datenübermittlung mit der Neuauflage von Standardvertragsklauseln einen neuen – verlässlichen – rechtlichen Rahmen zu geben.

Über den Autor
Sven Schlotzhauer ist Fachanwalt für IT-Recht und Partner der Sozietät von Boetticher in München. Er berät regelmäßig US-amerikanische Cloud-Anbieter oder Plattform-Betreiber und ist auf Fragen des IT-Rechts, des eCommerce und des Datenschutzrechts spezialisiert.

(ID:47264542)