Datenexporteure aus dem Europäischen Wirtschaftsraum (EWR) müssen sich – allgemein gesprochen – an die Vorgaben der Datenschutzgrundverordnung (DSGVO) halten. Betroffen davon sind allerdings auch europäische Unternehmen, die Cloud-Service-Provider aus den USA nutzen. Dabei haben sie zu gewährleisten, dass bei der Datenverarbeitung im Drittland ein angemessenes Datenschutzniveau herrscht, das jenem im EWR im Wesentlichen gleichwertig ist.

Dass dies in den USA, unter anderem aufgrund umfassender Überwachungsmöglichkeiten und fehlendem Rechtsschutz für betroffene Personen grundsätzlich nicht der Fall ist, dürfte spätestens seit den beiden Schrems-Entscheidungen des Europäischen Gerichtshofs (EuGH) klar sein. In der Praxis wird darum in der Regel versucht, durch die Vereinbarung von Standardvertragsklauseln und allfälliger zusätzlicher Garantien ein solches angemessenes Schutzniveau zu erreichen.

Über die Frage, ob und wie ein solches angemessenes Datenschutzniveau in den USA genau erreicht werden kann, können Datenschützer trefflich diskutieren. Der Europäische Datenschutzausschuss hat hier unverbindliche Empfehlungen abgegeben, jedoch hängen die konkret erforderlichen Maßnahmen vom Einzelfall ab. Beurteilen muss dies immer der Datenexporteur (meist der Verantwortliche) mittels eines sogenannten "Transfer Impact Assessment".

Zugriffe durch US-Behörden?

Dabei stellt sich die Frage, inwieweit man die Art der übermittelten Daten und das konkrete Risiko eines Zugriffs durch US-Behörden auf diese Daten bei der Beurteilung mit einbeziehen darf. Auch die Europäische Kommission hat festgehalten, dass bei einer solchen Beurteilung die "besonderen Umständen der Übermittlung wie Inhalt und Dauer des Vertrags, Art der zu übermittelnden Daten, Art des Empfängers, Zweck der Verarbeitung" zu berücksichtigen sind. Die Einbeziehung solcher individuellen Umstände würde dazu führen, dass die Übermittlung von zum Beispiel IP-Adressen oder Logfiles (Protokolldateien) allein deswegen zulässig sein könnte, weil das Risiko von konkreten Zugriffen durch US-Behörden für die Betroffenen vergleichsweise gering wäre.

Dieser risikobasierte Ansatz war schon bisher kontrovers und wurde nun von der Datenschutzbehörde erstinstanzlich explizit abgelehnt. Während diese restriktive Interpretation von Praktikern bereits befürchtet wurde, kam sie bei der Verwendung von Standardvertragsklauseln bislang dennoch häufig zur Anwendung.

Praktische Konsequenzen

Dieser restriktive Zugang zu internationalen Datentransfers hat zur Konsequenz, dass die Rechtmäßigkeit der Nutzung der meisten US Cloud-Service Provider fraglich ist, da de facto keine ausreichenden Maßnahmen zum Schutz der personenbezogenen Daten gewährleistet werden können: Die gängigsten vertraglichen, technischen und organisatorischen zusätzlichen Maßnahmen hat die Datenschutzbehörde für ineffektiv erklärt. Gleichzeitig werden effektive Schutzmaßnahmen, insbesondere von kleineren Providern, oft nicht angeboten, führen zu hohen Kosten oder zu einem Leistungsverlust des Services. Selbst Anwendungen, die minimale personenbezogene Daten verarbeiten (zum Beispiel bei Logging, Support, etc) sind davon umfasst.

Bei einem Verstoß gegen die Bestimmungen zu internationalen Datentransfers drohen Geldbußen bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Zur konkreten Berechnung von Bußgeldern hat der Europäische Datenschutzausschuss vor einigen Wochen einen Entwurf für Leitlinien veröffentlicht.

To-do’s für Unternehmen

Grundsätzlich sollten Datenexporteure ihre Verarbeitungstätigkeiten und Anbieter überprüfen sowie allenfalls einen Umstieg auf EWR-Alternativen erwägen. In manchen Szenarien kann eine Ano- oder Pseudonymisierung vor der Übermittlung an den Cloud-Service Provider eine effektive Maßnahme darstellen. Verschlüsselungssysteme, bei denen der Schlüssel beim Datenexporteur im EWR verbleibt (BYOK-Systeme), können unter Umständen ebenfalls effektive Maßnahmen darstellen. In Einzelfällen kann auch eine Einwilligung zum Datentransfer eingeholt werden. Deren genauer Anwendungsbereich ist jedoch auch noch nicht klar ausjudiziert und in der Praxis aus diversen Gründen oft schwer umsetzbar. (Axel Thoß, Arne Greiner, Florian Hauenstein, 26.5.2022)