Der Trend zur Nutzung von unterschiedlichsten Cloudlösungen reißt nicht ab: Von der einfachsten Form des Datastorage über den Bezug von "Software as a Service" bis hin zu innovativen Start-up-Lösungen, die auf Clouddiensten aufbauen, werden die Anwendungen laufend erweitert.

Die Vorteile liegen dabei klar in der hohen Skalierbarkeit, in geteilten Ressourcen und in damit einhergehender bedarfsgerechter Nutzung und Abrechnung. Am von US-Anbietern dominierten Markt kommen aber spätestens seit dem Fall des EU-US-Privacy-Shield-Abkommens durch den Europäischen Gerichtshof (EuGH) Zweifel auf, ob und in welchem Ausmaß Clouddienste datenschutzkonform genutzt werden können. Dabei kommt es in der Praxis auf die konkreten Regelungen und eine saubere Risikoabwägung an.

Auch wenn der Cloudprovider nicht selbst in den USA niedergelassen ist, greifen die europäischen Tochterunternehmen als Vertragspartner regelmäßig auf das Headquarter und/oder andere Subdienstleister mit Sitz in den USA zurück. Selbst dort, wo in der Praxis ein bestimmter Speicherort innerhalb der EU als Region oder Geolocation ausgewählt werden kann – oftmals auch als "data-at-rest" bezeichnet –, ist der Zugriff für US-Unternehmen in der Regel nicht ausgeschlossen.

Im Gegenteil ist das dort vorhandene Know-how meist unabdingbar, damit der Anbieter die vereinbarten Funktionen und Dienste auch tatsächlich erbringen kann. Ohne Einbeziehung von international verstreuten Subdienstleistern wäre der gewöhnlich vorausgesetzte und von den Kunden gewünschte Support rund um die Uhr gar nicht möglich. Eine autarke EU-Lösung führt daher – wenn überhaupt angeboten – regelmäßig zu höheren Preisen und/oder Einschränkungen der Funktionalität oder Verfügbarkeit.

Strenge Vorgaben

Datenschutzrechtlich sind daher in der Regel die strengen Vorgaben zum internationalen Datentransfer einzuhalten. Seit dem Wegfall des Privacy Shield ist das schwieriger geworden. Entscheidendes Kriterium für den Entfall der Gleichstellung von Datenempfängern in den USA waren die bekannten faktischen und unverhältnismäßigen Zugriffsmöglichkeiten nach US-Recht, gegen die EU-Bürgern keine wirksamen Rechtsbehelfe zustehen.

Allerdings wurde die zweitwichtigste Basis für den internationalen Datentransfer, die Standarddatenschutzklauseln (SCC), nicht per se aufgehoben. Die vom EuGH identifizierten Risiken gelten aber gleichermaßen für auf dieser Basis übermittelte Daten. Damit man sich weiter auf die SCC berufen kann, ist das Risiko durch vertragliche und technische Vorkehrungen zu mitigieren. Doch welche Maßnahmen können das sein?

Risikominimierung

Ende 2020 hat die Europäische Kommission einen neuen Entwurf für Standarddatenschutzklauseln erlassen. Parallel hat auch der Europäische Datenschutzausschuss Empfehlungen für die Absicherung von internationalen Datentransfers veröffentlicht. Beide sehen ein Bündel an potenziellen Maßnahmen zur Risikominimierung vor.

Je nach Art und Umfang der in der Cloud verarbeiteten Daten ist zu entscheiden, welche dieser Absicherungen im konkreten Fall sinnvoll und notwendig sind. Regelmäßig sind dies strengere Warn-, Informations- und Unterstützungspflichten des Providers sowie dessen Zusage, dass er Daten nur nach vorheriger Prüfung der (US-)Rechtsgrundlage und nach Ausschöpfen aller Rechtsmitteln herausgibt.

Kommt es zur Offenlegung von Daten, sollte ein Sonderkündigungsrecht greifen. Parallel können auch technische Maßnahmen Abhilfe schaffen: Bei bloßer Verarbeitung anonymisierter Daten greift die DSGVO nicht. Wo das in der Praxis kein praktikabler Lösungsansatz ist, kann durch Verschlüsselung der Daten das Risiko zumindest minimiert werden. Erhält der Cloudanbieter keinen Zugriff auf den Schlüssel, ist dies gleich viel effektiver.

Reaktion der Provider

Der Bedarf an vertraglicher Nachschärfung der datenschutzrechtlichen Grundlagen und Vertragsdokumente wurde vom Großteil der US-Cloudprovider mittlerweile erkannt. Die meisten bieten proaktiv, zumindest aber auf Nachfrage nicht nur vertragliche Beschränkungen, sondern auch technische "supplementary measures" an.

In der Praxis besteht aber regelmäßig Nachverhandlungsbedarf, um die geplante Auslagerung auf eine belastbare Rechtsgrundlage zu stützen. Das vor allem dann, wenn sensible Daten oder geschäftskritische Prozesse ausgelagert werden. In so einem Fall ist es darüber hinaus auch ratsam, die sonstigen datenschutzrechtlichen Vereinbarungen auf Anpassungsbedarf zu screenen.

Je nach Zugang des Anbieters bestehen oft nur unzureichende Steuerungsmöglichkeiten für Subdienstleister, eingeschränkte Auditrechte oder nur eine mangelhafte Unterstützung bei der Erfüllung von Betroffenenrechten.

Fazit: Der Einsatz von Clouddiensten ist auch nach dem Fall des Privacy Shield weder per se unzulässig noch pauschal mit einem unvertretbaren Risiko verbunden. Mangels rein europäischer Alternativen ist ein vollständiges Abgrenzen von US-Diensten auch rein faktisch gar nicht möglich.

Bis zur endgültigen politischen Lösung des EU-US-Datentransfers gibt es aktuell kein Patentrezept. Der strenger werdende Ansatz der Datenschutzbehörden und die Vielzahl der anhängigen Verfahren rund um den internationalen Datentransfer zeigen aber auch, dass bloßes Zuwarten zu wenig ist. Es ist vielmehr notwendig, die bestehenden Risiken abzuwägen und vertraglich auszugleichen. (Axel Anderl, Nino Tlapak, 23.5.2021)