Kein Ausschlusskriterium

Datenschutz in der US-Cloud

Die Herkunft und der Standort eines Cloud-Anbieters gehören spätestens seit der Einführung der DSGVO zu den wichtigsten Kriterien bei der Wahl eines entsprechenden Dienstleisters. US-Angebote gelten dabei als besonders umstritten. Unter gewissen Voraussetzungen ist die Nutzung von bestimmten US-Diensten aber möglich.

Golden Gate Bridge über den Wolken

Die großen US-Cloud-Anbieter sind nach dem „EU-US-Privacy-Shield-Abkommen“ zertifiziert.

Bei den USA handelt es sich datenschutzrechtlich seitens  der EU um ein Drittland. Dies bedeutet, dass dort aus Sicht der EU-Kommission kein angemessenes Datenschutzniveau (vergleichbar mit dem Datenschutz in der Europäischen Union oder in anderen Ländern, wie beispielsweise der Schweiz oder Japan) existiert. Ein angemessenes Datenschutzniveau kann laut der EU-Kommission bei Unternehmen über zwei Wege erreicht werden: über das Privacy-Shield-Abkommen oder über sogenannte Standardvertragsklauseln zwischen den Vertragsparteien. 

Eine Frage der Zertifizierung

Das Privacy Shield ist ein Beschluss der Europäischen Kommission zum Datenschutzrecht, über den für die zertifizierten Unternehmen festgestellt werden kann, dass sie dem geforderten Schutzniveau der Europäischen Union entsprechen. Die großen US-Cloud-Anbieter wie etwa Microsoft, Google oder Amazon sind bereits nach dem „EU-US-Privacy-Shield-Abkommen“ zertifiziert. Trotzdem wird bezweifelt, dass für die Betroffenen und ihre personenbezogenen Daten wirklich ein ausreichendes Sicherheitsniveau gewährleistet werden kann. Somit steht das Privacy-Shield-Abkommen seit seinem Abschluss im Jahr 2016 in der Kritik.

Dies ist ein Artikel aus unserer Print-Ausgabe 5/2019. Bestellen Sie ein kostenfreies Probe-Abo.

Alternativ zur Privacy-Shield-Zertifizierung können mit einem US-Cloud-Anbieter die sogenannten „Standardvertragsklauseln“ abgeschlossen werden. Diese wurden im Jahr 2010 von der Europäischen Kommission beschlossen und gelten auch nach der Einführung der DSGVO. Der Abschluss eines Vertrags, der den unveränderten Wortlaut dieser Klauseln beinhaltet, gewährleistet ein ausreichendes Datenschutzniveau – auch mit einem US-Cloud-Anbieter.

Widersprüche zwischen EU- und US-Recht

Trotz der genannten Möglichkeiten stößt die Übertragung von Daten in US-Clouds unter Datenschützern auf erhebliche Kritik. Grund dafür ist der „Clarifying Lawful Overseas Use of Data Act“, passenderweise kurz „CLOUD-Act“ genannt. Dieser wurde von der amerikanischen Regierung im März 2018 unterzeichnet und soll den amerikanischen Behörden sogar den Zugriff auf Daten ermöglichen, die von amerikanischen IT-Dienstleistern außerhalb der USA gespeichert werden. Demnach können US-Unternehmen ohne gerichtlichen Beschluss von den Behörden dazu verpflichtet werden, die Daten ihrer Kunden herauszugeben. Dabei bedarf es nicht einmal der Information der betroffenen Kunden.

Nach der DSGVO dürfen Gerichtsurteile und Entscheidungen von Verwaltungsbehörden eines Drittlands, die die Herausgabe von personenbezogenen Daten fordern, nur dann anerkannt und umgesetzt werden, wenn sie auf ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland (hier USA) und dem Mitgliedsstaat basieren. Ein solches Rechtshilfeabkommen gibt es zum jetzigen Zeitpunkt nicht und dessen Verhandlung ist zurzeit nicht in Sicht. Vielmehr sieht der CLOUD-Act vor, dass die Entscheidung auch ohne ein solches Rechtshilfeabkommen von dem verpflichteten Unternehmen erfüllt werden muss.

Der betroffene US-Cloud-Anbieter steht damit vor der Wahl, entweder gegen den CLOUD-Act oder gegen die DSGVO zu verstoßen. Als Kunde des US-Cloud-Anbieters muss daher zumindest die theoretische Möglichkeit einkalkuliert werden, dass der US-Cloud-Anbieter durch den CLOUD-Act gegen die DSGVO verstößt und die Daten von Kunden, Mitarbeitern und anderen Betroffenen an die US-Behörden herausgibt. Für die Verantwortlichen Anwender verbleibt so zumindest ein theoretisches Risiko – auch wenn es sich eigentlich um eine völkerrechtliche Problematik zwischen der EU und den USA handelt. Dies gilt auch dann, wenn als Vertragspartner eine europäische Tochtergesellschaft des US-Cloud-Anbieters gewählt wird, wie bei der „europäischen Cloud“ von Microsoft. Denn durch ihr Weisungsrecht kann die US-Mutter ihren Einfluss geltend machen und auch die Herausgabe der Daten von der Tochter verlangen.

Auslaufmodell Datentreuhand?

Ein aus datenschutzrechtlicher Sicht äußerst sicheres Modell von Microsoft, die „Microsoft Deutschland Cloud“, wird Neukunden nicht mehr angeboten. Bei diesem Kooperationsmodell zwischen der Telekom und Microsoft diente die Telekom als Datentreuhänder. Microsoft bekam danach nur begrenzten Zugang auf die personenbezogenen Daten der Kunden, wenn dies von der Telekom gestattet wurde. Bei einem Auskunftsersuchen einer US-Behörde konnte daher der Zugriff durch die Telekom verhindert werden. Der neue Service von Microsoft, der Rechenzentren in Deutschland ohne das Treuhandmodell bietet, schützt nicht mehr vor diesem Durchgriff, bietet aber laut Microsoft einen von den Kunden gewünschten größeren Funktionsumfang. Bei diesem Modell handelt es sich letztendlich um eine Variante der europäischen Cloud. Microsoft argumentiert, dass so das europäische Datenschutzrecht eingehalten wird, was prinzipiell auch stimmt. Die theoretische Problematik des CLOUD-Acts wird damit allerdings nicht gelöst.

Derzeit können Cloud-Anbieter, die die Daten in sicheren Regionen wie der EU speichern, ohne Verstoß gegen die DSGVO genutzt werden. Gleiches gilt auch für US-Anbieter, wenn durch Maßnahmen wie die Privacy-Shield-Zertifizierung oder vorgegebene Vertragsklauseln ein angemessenes Datenschutzniveau erreicht wird. Bei Verträgen mit Anbietern von US-Muttergesellschaften oder der direkten Speicherung in den USA sollte man sich aber immer bewusst sein, dass die Daten, vor allem aufgrund des CLOUD-Acts, nicht absolut sicher sind.

Bildquelle: Getty Images/iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok