US-Cloud-Dienste: Fehlende Rechtsgrundlage in der EU

Der Beschluss der Europäischen Kommission zur Übermittlung personenbezogener Daten in die USA (Privacy Shield) wurde im Juli 2020 von dem Europäischen Gerichtshof (EuGH) für unwirksam erklärt. Jetzt stehen Unternehmen ohne eine Rechtsgrundlage da, wenn sie US-Cloud-Dienste wie Amazon und Microsoft nutzen.

Ein Blick in die Historie des Privacy Shield

Der österreichische Jurist Maximilian Schrems hat es sich zur Aufgabe gemacht, Datenschutzrechte durchzusetzen. Deswegen beantragte er vor der irischen Datenschutzbehörde, alle Datenübermittlungen von der nationalen Facebook-Tochter an den Mutterkonzern in den USA auszusetzen. Der Erfolg zeigte sich in Form eines Beschlusses des Europäischen Gerichtshofs (EuGH) im Jahr 2020: Der transatlantische “Privacy Shield”, der als Rechtsgrundlage für den Transfer personenbezogener Daten europäischer Bürger in die USA galt, wurde für nichtig erklärt und erhielt den Beinamen “Schrems II-Urteil”. Begründet wurde diese Entscheidung mit den datenschutzrechtlich ungenügenden US-amerikanischen Gesetzen, die beispielweise ihren Sicherheitsbehörden die Überwachung ausländischer Kommunikation gestatten.¹

Mit dem Schrems II-Urteil soll der Datentransfer in die USA und andere Drittländer also unterbunden werden. Konkret bedeutet das, dass z.B. Dienstleistungen von Microsoft, Zoom etc. nicht mehr genutzt werden dürfen, wenn diese die Daten auf Servern in den EU-Mitgliedstaaten nicht wirksam vor dem Zugriff der US-Behörden schützen. Zusätzlich wurde vonseiten des Europäischen Gerichthofs festgelegt, dass bei Datenübermittlungen in die USA Standardvertragsklauseln grundsätzlich nicht ausreichen und mit zusätzlich verbindlichen Datenschutzvorschriften gesichert werden müssen. Damit soll für die übermittelten Daten ein gleichwertiges Datenschutzniveau wie in der EU garantieren werden.²

Die Schlüsselrolle für die Durchsetzung des Beschlusses des Europäischen Gerichtshofs (EuGH) tragen die Aufsichtsbehörden. Der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann kündigte schon Mitte 2021 ein schärferes Vorgehen an, um Verstöße in Unternehmen und öffentliche Stellen vorzubeugen und gegebenenfalls mit Bußgeldern zu rügen. Das “Schrems II-Urteil” betreffe als Grundsatzentscheidung nämlich “fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis”³. Diese übermitteln die personenbezogenen Daten oftmals unbewusst in Länder außerhalb der EU und müssen daher verstärkt über das Schrems II-Urteil informiert werden, damit sich etwas ändert.

Obwohl Kontrollen der Aufsichtsbehörden anstehen und die Rechtsgrundlage nicht mehr vorhanden ist, nutzen zahlreich deutsche Firmen noch immer US-Cloud-Dienste im täglichen Routinegeschäft. Der Vizepräsident des SPD-Wirtschaftsforums, Matthias Machnig, sagte daher gegenüber dem Handelsblatt: „Ein Hauptanliegen der neuen Bundesregierung muss sein, sich auf europäischer und internationaler Ebene mit Nachdruck für einen rechtssicheren und DSGVO-konformen Datentransfer einzusetzen, der Innovation ermöglicht. Hierzu gehören ein Nachfolgeabkommen für das EU-US-Privacy-Shield sowie regulatorische Übergangslösungen, bis ein neues Abkommen in Kraft treten kann“.⁴

Auf den ersten Blick scheinen die Datenschutzrechte der EU-Bürger mit dem Urteil gestärkt zu werden. Praktisch ist dies jedoch erst dann der Fall, wenn Unternehmen den Datentransfer auch wirklich einstellen und in Drittländer exportierte Daten vertraglich an europäisches Recht binden. Es wird sich zeigen, welche Schritte von politischer Seite ergriffen werden, um diesen Fall endlich zu bewahrheiten.

Quellen: