Können Daten europäischer Unternehmen bedenkenlos bei US-Cloud-Anbietern gespeichert werden? Katharina Bisset empfiehlt, die Richtlinien des »European Data Privacy Board« zu beachten. Ein Expertinnenkommentar von Rechtsanwältin Katharina Bisset.
Am Weg in die Cloud kommt man heutzutage schwer an US-Providern vorbei. Spätestens seit der Schrems-II Entscheidung des EuGH Mitte 2020, in der das Privacy Shield aufgehoben wurde, stellte der EuGH auch fest, dass die Standardvertragsklauseln allein nicht ausreichen, wenn im Empfängerland kein angemessenes Datenschutzniveau besteht.
Da sich nunmehr immer mehr europäische Unternehmen die Frage stellen, ob eine Nutzung von US-Cloud-Anbietern überhaupt noch möglich ist, hat das EDPB (European Data Privacy Board) eine Guideline herausgegeben, wie Daten außerhalb des europäischen Wirtschaftsraums – nicht nur in die USA – übermittelt werden können.
1. Kenntnis der Datenverarbeitung: Werden Daten exportiert, muss man die Inhalte und allfällige weitere Empfänger (zum Beispiel Sub-Auftragsverarbeiter) genau kennen. Dies beinhaltet ein vollständiges Verzeichnis der Verarbeitungstätigkeiten, aber auch die Informationspflichten gegenüber den Betroffenen.
2. Rechtsgrundlage für den Export: Sollen Daten in ein Drittland übermittelt werden, muss dies auf einer Rechtsgrundlage (Art 44 ff DSGVO) basieren. Es sollte also beispielsweise überprüft werden, ob es für den Empfängerstaat einen Angemessenheitsbeschluss gibt, das Empfängerunternehmen beispielsweise genehmigten Binding Corporate Rules unterliegt, oder ob Daten auf Basis von Standardvertragsklauseln exportiert werden sollen.
3. Effektivität der Rechtsgrundlage: Nach der Schrems-II Entscheidung wurden beispielsweise vielmals Standardvertragsklauseln abgeschlossen. Diese reichen aber nicht aus, wenn im Empfängerland (wie in den USA) kein angemessener Schutz der Daten gewährleistet werden kann, weshalb die Effektivität der Rechtsgrundlage überprüft werden muss. In dem Fall müssen weitere Maßnahmen getroffen werden.
4. Zusätzliche Maßnahmen: Rein vertragliche Maßnahmen reichen meist nicht aus, da diese nicht vor behördlichen Zugriffen schützen. Maßnahmen sind zum Beispiel die Verschlüsselung der Daten ohne Zugriff des Anbieters oder ein Transfer ausschließlich pseudonymisierter Daten.
5. Implementierung der Maßnahmen: Diese Maßnahmen müssen auch technisch implementiert werden.
6. Prüfung der Maßnahmen: In regelmäßigen Abständen müssen die Maßnahmen überprüft werden.
Schlussendlich muss noch auf die Datenübermittlung im Einzelfall (Art 49 DSGVO) eingegangen werden. Hier muss klargestellt werden, dass diese Rechtsgrundlagen nur im Einzelfall herangezogen werden können. Diese sind zum Beispiel:
- Übermittlung auf Basis einer Einwilligung des Betroffenen inklusive Aufklärung über die Risiken
- Übermittlung zur Vertragserfüllung
- Verteidigung oder Geltendmachung von Rechtsansprüchen
Als Alternative wird nunmehr immer wieder von US-Anbietern angeboten, dass Daten auf EU-Servern von europäischen Tochterunternehmen verarbeitet werden. Hier gibt es aber auch ein Restrisiko. Auf Grund der geltenden rechtlichen Rahmenbedingungen ist es für US-Behörden im Einzelfall auch möglich, auf Daten von Tochterunternehmen mit Sitz in der EU zuzugreifen, selbst dann, wenn sich die Daten auf europäischen Servern befinden.
In der Praxis bedeutet das, dass jedenfalls europäische Alternativen zu US-Anbietern geprüft werden sollten. Werden US-Anbieter gewählt, sollten jedenfalls die technischen und vertraglichen Rahmenbedingungen im Detail geprüft und weitere Maßnahmen getroffen werden.
Illustration: Katharina Bisset