Eine Frage, die wir häufig erhalten, lautet: “Ist eine Zertifizierung mit fair.digital auch möglich, wenn die Lösung bei Hosting-Unternehmen aus den USA betrieben wird?” In diesem Beitrag erklären wir, warum wir dies zum derzeitigen Zeitpunkt verneinen müssen.
Das Siegelkriterium “Die EU-DSGVO wird gemäß geltender Rechtsprechung unterstützt”
Das erste fair.digital-Kriterium erfordert, dass Cloud-Lösung in der EU gehostet werden müssen. Nun könnte man meinen, dass die fair.digital-Kriterien erfüllt sind, wenn man eine Lösung z.B. bei Amazon Web Services (AWS) in einem Rechenzentrum in Europa betreibt. Warum ist dies zu kurz gegriffen?
Das Siegelkriterium “Datenhoheit”
Eine weitere zentrale Anforderung von fair.digital besagt: “Eine Weitergabe von Nutzerdaten erfolgt nur mit expliziter Zustimmung.” Mit diesem Kriterium soll sichergestellt werden, dass die Nutzer die Hoheit über ihre Daten behalten und selbst entscheiden können, ob und wie diese genutzt werden können. Genau dies kann beim Betrieb bei US-Hostern nicht erfüllt werden – selbst wenn sich die Data Center in Europa befinden. Der Grund hierfür ist der sogenannte “Cloud Act”.
Der Cloud Act
Aktuell geltendes US-Recht verpflichtet in den USA ansässigen Unternehmen über den “Cloud Act” dazu, US-Behörden auch Zugriff auf Daten, die bei ausländischen Konzerngesellschaften liegen, zu gewähren. Konkret könnte z.B. das FBI Amazon dazu zwingen, Daten einzusehen, die auf AWS-Rechenzentren in Europa gespeichert sind. Diese Zugriffsmöglichkeit der US-Dienste auf Nutzerdaten steht damit offensichtlich im Widerspruch zu dem Siegelkriterium “Datenhoheit”.
Wiederholte Anfragen an den Datenschutzbeauftragten
In seiner Bewertung richtet sich der Verein fair.digital e.V. stets nach geltendem Recht. Daher ist es uns wichtig, fortlaufend Anfragen an die zuständigen deutschen Behörden zu stellen, welche Einschätzung hinsichtlich des Cloud Act sie derzeit vertreten. Die letzte Anfrage fand 2022 statt. Die Antwort des Bayerisches Landesamt für Datenschutzaufsicht lautete:
“Zur Ehrlichkeit gehört es aber auch zu sagen, dass es Szenarien von Übermittlungen personenbezogener Daten in die USA gibt, bei denen möglicherweise keine rechtskonformen Lösungen gemessen am EU-Datenschutzrecht möglich sind – hier sind vor allem Fälle in den Blick zu nehmen, in denen der Datenempfänger dem US-Gesetz FISA 702 unterliegt und aber gleichzeitig Zugriff (für die Funktionalität der Daten) auf (aus der EU übermittelte) personenbezogene Daten im Klartext benötigt – denn in diesen Fällen sind die Daten den Zugriffsrechten von US-Behörden nach FISA 702 unterworfen, und gemäß Aussage des Europäischen Gerichtshofs im Schrems-II-Urteil sind diese Zugriffsrechte gemessen am EU-Datenhschutzrecht in ihrem Ausmaß und wegen Fehlen von Rechtsschutz für EU-Bürger datenschutzrechtlich nicht akzeptabel.”
Es wird also nicht ausgeschlossen, dass Drittländer Zugang auf Daten erhalten können. Sollte sich an dieser Bewertung zukünftig etwas ändern bzw. der Cloud Act angepasst werden, wird auch fair.digital seine entsprechend aktualisieren.
Migrationsmöglichkeiten
Gemäß Datenschutzbeauftragten wäre ein Lösungsansatz, europäische Dienstleister zwischenzuschalten, sodass sich der US-Anbieter selbst aus seinem Rechenzentrum “aussperrt”. Dann würden Anfragen von US-Behörden ins Leere laufen. Ein solches Modell wurde z.B. von Microsoft und der Telekom umgesetzt und wäre auch fair.digital-verträglich.
Alternativ gibt es natürlich auch die Möglichkeit, eine fair.digital-Zertifizierung zu erhalten, indem man auf US-Hosting verzichtet. In Europa gibt es durchaus Anbieter, die ähnliches Hyperscaling ermöglichen. Einige unserer Vereinsmitglieder können bei der Migration nach Europa helfen. Sprechen Sie uns gerne an!