Datenschutz und die USA - US Clouds und Tools. Wie gehe ich mit dem Datentransfer in Drittländer um?

Wenn in Deutschland, ja, der gesamten EU, von Datenschutz gesprochen wird, so ist dieses Thema stets mit den USA verbunden. Manchmal stehen die fragwürdigen Praxen der amerikanischen Geheimdienste im Vordergrund, manchmal wie Technologiefirmen wie Google, Amazon oder Microsoft nach Daten gieren. Letzteres zumindest schien durch das Safe Harbour Abkommen und später durch das Privacy Shield Abkommen auf akzeptable Maße eingeschränkt zu sein.

Dann jedoch folgten die Urteile Schrems I und II des EuGH: Mit diesen beiden bahnbrechenden Urteilen erklärte das Gericht zuerst das Safe Harbour Abkommen und dann auch dessen Nachfolger Privacy Shield für nichtig, da sie gegen die erst kurz zuvor erlassene DSGVO verstießen. Der extrem weite Zugriff der US Geheimdienste auf ausländische Nutzerdaten mache es den amerikanischen Firmen unmöglich, europäische Datenschutzstandards einzuhalten, so der EuGH. Internationale Verhandlungen mit dem Ziel, ein neues Datenschutzabkommen zu etablieren, sind bislang gescheitert. Stattdessen wurden die sog. Standardvertragsklauseln ins Leben gerufen. Das sind von den Datenschutzbehörden genehmigte Vertragsklauseln, die die Sicherheit der Daten europäischer Nutzer auf amerikanischen Servern durch zusätzliche Maßnahmen und Kontrollen garantieren sollen. Zwar hat der EuGH diese Lösung nicht für illegal befunden, aber dafür angezweifelt. Selbst die umfassendsten Vertragsklauseln nützen nichts, sollten amerikanische Nachrichtendienste an Daten wollen, so die Richter.

Studie zeigt Probleme auf

Soweit also die juristische Seite der Problematik. Es war ein langer Weg bis heute, doch zumindest vorübergehend scheint es eine verlässliche Lösung zu geben.

Leider ist die Praxis nicht ganz so einfach: Es gibt eine Vielfalt von Regulationen zu beachten, so viele, dass ein schneller Blick ins Internet gefolgt vom Herunterladen und Ausfüllen einiger Dokumente und Vorlagen nicht mehr ausreicht, mit dem Gesetz im Einklang zu stehen. Es gilt mehr zu beachten, als dass die Kunden eine Einwilligung unterschreiben und eine vermeintlich vollständige Datenschutzerklärung gelesen haben, insbesondere wenn Länder außerhalb der EU (wie die USA) involviert sind.

Wie schwierig es ist, die Vorgaben einzuhalten, zeigt eine kürzlich erschienene Studie des Zentrums für Europäische Politik: In ihrer 70 seitigen Analyse kommt die Autorin Anja Hoffmann zu dem Schluss, dass zahlreiche Unternehmen noch immer gegen die Bestimmungen der DSGVO zum Datentransfer in Drittländer verstoßen. Das meist involvierte Land ist wenig überraschend die USA. Die Datenschutzabkommen mögen nicht mehr gelten und die juristische Lage ist kompliziert, das ändert aber nichts an den Bedürfnissen der Wirtschaft. Die großen Tech Konzerne und ihre Tools bleiben weiterhin konkurrenzlos, eine Alternative zu finden ist nicht leicht. Besonders problematisch erweisen sich dabei die verschiedenen Cloud Services, beispielsweise Amazon AWS oder Microsoft Azure. Doch welche Möglichkeiten bleiben damit für Unternehmen überhaupt, legal und effizient ihre Dienste anzubieten?

Eigene Rechenzentren sind keine Lösung

Die klassische Antwort auf diese Frage sind eigene Server: Von einem einzigen Heimserver im Büro bis hin zu gigantischen, speziell gebauten Rechenzentren scheint es Lösungen für kleine und große Unternehmen zu geben. Allerdings gibt es auch Nachteile, beispielsweise vergleichsweise hohe Kosten und aufwendige Wartung. Auch sind eigene Systeme deutlich anfälliger für Störungen und somit unzuverlässiger, von der komplexen Handhabung im Alltag ganz zu schweigen. Wie schwerwiegend diese Nachteile sind, zeigt sich daran, dass die Deutsche Bahn zuletzt ankündigte, ihre eigenen Rechenzentren aufzugeben und komplett auf US Cloud Dienste umzusteigen. Laut Stellungnahme der Bahn könne kein europäischer Mitbewerber mit der „hohen Flexibilität und Verfügbarkeit höherwertiger Services“ von Amazon und Microsoft mithalten. 

Wenn sich also schon Großkonzerne in öffentlicher Hand für amerikanische Lösungen entscheiden, welche Alternativen kann es noch geben?

Amerikanischer Anbieter, europäischer Standort

Eine recht unbekannte Lösung ist die Inanspruchnahme amerikanischer Cloud Dienste, deren Server sich innerhalb der EU befinden. Dies ist leider nicht bei allen Anbietern möglich, jedoch nimmt ihre Zahl beständig zu. Da diese Server sich innerhalb der EU befinden, unterliegen sie der DSGVO in vollem Umfang und die dort durchgeführte Datenverarbeitung weist keinen Drittstaat Bezug auf. Außerdem sind sie (zumindest juristisch) außerhalb der Reichweite von US Geheimdiensten. Auch einige technische Vorteile lassen sich erkennen, so ist die Verbindung beispielsweise häufig besser, müssen die Daten doch nicht erst den Atlantik durchqueren.

Leider lassen sich jedoch nicht alle Datenverarbeitungsprozesse in die EU verlegen; Die Gründe dafür sind vielfältig. Häufig ist das eigene Team bereits an den Umgang mit einem bestimmten Tool gewöhnt, manchmal braucht man ein bestimmtes Add-In, das nicht für alle Plattformen verfügbar ist und oft ist es einfach ein Kostenpunkt. Was also tun, wenn man auf amerikanische Tools angewiesen ist?

Und wenn es keine Alternative gibt?

In einem solchen Fall gilt es zuerst, Informationen über die aktuelle Rechtslage und den jeweiligen Anbieter einzuholen. Der europäische Binnenmarkt ist von extremer Bedeutung für die großen Tech Konzerne, daher haben viele der Cloud Anbieter Bemühungen unternommen, ihren Zugang zu diesem Markt aufrecht zu erhalten: Manche haben, wie oben beschrieben, europäische Server etabliert. Viele haben sich bei der Europäischen Kommission zertifiziert. Transatlantische Konzerne haben die Möglichkeit zum Erlassen konzerninterner Datenschutzvorschriften genutzt. Es gibt einige, wenn auch schwierige Möglichkeiten.

Dass ein Vertragspartner/Anbieter von Diensten angibt, Daten im Einklang mit der DSGVO zu verarbeiten, bedeutet allerdings keineswegs, dass dies der Fall ist. Die sich schnell ändernde und insbesondere für Bürger von Drittstaaten häufig schwer nachzuvollziehende Rechtslage sorgt für viel Unsicherheit.

Diese Unsicherheit könnte jetzt zu massiven Problemen führen: Die deutschen Datenschutz-Aufsichtsbehörden wollen ab jetzt Unternehmen bundesweit ins Visier nehmen. Augenmerk soll auf der Nutzung von US-Cloud Diensten wie Amazon, Microsoft und Google liegen. Als Grundlage werden nach Angaben der Behörden mehrere Fragenkataloge dienen, die aktuell von einer „Taskforce“ der Datenschutzkonferenz (DSK) des Bundes und der Länder erarbeitet werden. Diese Fragen sollen im Rahmen von Stichproben genutzt werden, um Unternehmen proaktiv anzusprechen. Die Betroffenen müssen dabei offenlegen, welche Dienste sie auf Basis welcher Rechtsgrundlagen benutzen. Können die Unternehmen die Fragen der Behörden nicht zufriedenstellend beantworten, so müssen sie den Anbieter wechseln. Darüber hinaus können Bußgelder bis zu einer Höhe von 20 Mio. Euro verhängt werden, ein empfindlicher Schlag für Unternehmen.

Externe Datenschutzbeauftragte

Begründet wird dieser Schritt mit der „klaren und eindeutigen Rechtslage“. So klar und eindeutig ist die Rechtslage jedoch lediglich für Fachleute. Für alle anderen ist es nahezu unmöglich einzuschätzen, wann eine Datenverarbeitung rechtens ist, und wann nicht. Darüber hinaus sind Datenverarbeitungen überall: Office-Software, Videokonferenz Dienste, Umfragetools, … Heutzutage enthält nahezu jeder Vorgang eine Datenverarbeitung. Selbst geschulte Fachleute haben Schwierigkeiten, den Überblick zu behalten. Die so entstandene zusätzliche Belastung ist oft zu viel für ein Unternehmen, um sie allein zu tragen. Daher wenden sich mehr und mehr Unternehmen an sog. externe Datenschutzbeauftragte. Jeden Tag beschäftigen diese sich mit dem aktuellen Datenschutzrecht, behalten Entwicklungen im Auge und bringen so eine große Menge an Wissen und Erfahrung mit, von denen Unternehmen profitieren können. 

Wir bei heyData haben lange Erfahrung als externe Datenschutzbeauftragte. Was uns von unseren Mitbewerbern unterscheidet, ist unser Einsatz von Legal Tech. Durch die hochmoderne Kombination von digitaler Technologie mit Recht können wir günstiger, gründlicher und schneller Arbeiten.