Vorsicht bei der Nutzung von US-Cloud-Diensten
Privacy Shield
In den Diskussionen um den CLOUD Act taucht immer wieder der Privacy Shield auf, der Nachfolger des Safe-Harbor-Abkommens, das 2015 infolge einer Klage gegen Facebook vom Europäischen Gerichtshof (EuGH) in Luxemburg für nichtig erklärt wurde. Gemäss der DSGVO dürfen personenbezogene Daten nur dann in ein Drittland übermittelt werden, wenn dort ein angemessenes Schutzniveau sichergestellt ist. Der Datenschutz in den USA gilt allerdings nicht als angemessen. Die DSGVO sieht aber auch vor, dass Übermittlungen in ein Drittland dann zulässig sind, wenn durch einen Beschluss der Europäischen Kommission festgestellt worden ist, dass das Schutzniveau ausreichend ist. Der Privacy Shield soll eben dieses Schutzniveau gewährleisten.
"Privacy Shield regelt die DSGVO-konforme Übermittlung von personenbezogenen Daten von EU-Bürgern in die USA", erklärt Scheffler. "Es handelt sich allerdings nicht um ein allgemein verbindliches Abkommen, sondern um die Möglichkeit einer freiwilligen Selbstzertifizierung für US-Unternehmen. Die Unternehmen, die sich nach den Vorgaben des Privacy Shield zertifizieren lassen, bieten EU-Bürgern unter anderem die Möglichkeit, über nationale Datenschutzbehörden oder eine unabhängige Stelle in den USA eine Beschwerde einzureichen."
Aus für Standardvertragsklauseln
Sogenannte Standardvertragsklauseln oder Standarddatenschutzklauseln werden von der EU-Kommission bereitgestellt und sollen Unternehmen die Umsetzung des Datenschutzes erleichtern. "In den Klauseln sind beispielsweise die nötigen Anforderungen an das Datenschutzniveau für die DSGVO-konforme Übermittlung personenbezogener Daten in Drittländer geregelt", so Michael Scheffler. "Unternehmen können diese einfach ihren Verträgen mit Auftragsdatenverarbeitern hinzufügen. Beispielsweise können sie für die Kooperation mit US-Unternehmen zum Einsatz kommen, die sich nicht nach den Vorgaben eines bilateralen Abkommens wie dem Privacy Shield haben zertifizieren lassen. Damit ist sichergestellt, dass die Datenverarbeitung auch bei internationalen Partnern DSGVO-konform erfolgt."
Wenn Cloud-Anbieter die Standardvertragsklauseln unterzeichnet haben, dann sind sie rechtlich bindend. Problematisch ist jedoch, dass der CLOUD Act ihnen zugesteht, niemanden über die Herausgabe unterrichten zu müssen. Werden Vertragspartner und Aufsichtsbehörden über die Herausgabe im Unklaren gelassen, muss man natürlich auch keinerlei Konsequenzen befürchten. "Wenn man es so betrachtet, wäre es bequemer, sich einfach an den CLOUD Act zu halten. Die DSGVO wird damit zu einer Art zahnlosem Tiger degradiert und dies ist der wesentliche Punkt, warum der CLOUD Act zu Recht kritisch diskutiert wird." Es liegt am EuGH zu entscheiden, ob der Privacy Shield und die viel genutzten Standardvertragsklauseln weiterhin gültig bleiben oder aber durch ein neues Verfahren ersetzt werden müssen.
Der Digitalverband Bitkom zeigt sich besorgt. Sollten diese Klauseln nicht mehr rechtens sein, stünden viele Unternehmen vor einem Datenchaos. Nicht nur der Zusammenarbeit mit ausländischen Unternehmen drohten massive Einschränkungen. Selbst der Datenaustausch zwischen einer Firmenzentrale innerhalb der EU und dem Tochterunternehmen im Ausland gerate dann in Gefahr.
Hintergrund des Gerichtsverfahrens am EuGH ist eine Beschwerde des Juristen Max Schrems gegen Facebook Irland bei der irischen Data Protection Commission (DPC). Facebook erklärte, für die Übermittlung von personenbezogenen Daten an seine US-Konzernmutter Standardvertragsklauseln zu nutzen.
Wie im Zuge der Enthüllungen von Edward Snowden bekannt wurde, erhalten US-Geheimdienste ungehindert Zugriff auf die Daten von Facebook. Schrems fordert daher, dass Facebook Irland davon abgehalten werden müsse, Daten europäischer Bürger an seine Konzernmutter in die USA zu übermitteln. Die DPC verklagte daraufhin Schrems und Facebook, um vor dem EuGH ein Grundsatzurteil in dieser Sache zu erwirken. Das Verfahren muss unter anderem klären, ob die Daten europäischer Bürger durch Mechanismen wie Standardvertragsklauseln und Privacy Shield ausreichend geschützt sind. Es geht in diesem Fall also um die standardmässige Übermittlung von Daten durch Unternehmen wie Facebook an die Geheimdienste. Beim CLOUD Act hingegen erfolgt eine Herausgabe der Daten nur auf Anfrage im Rahmen eines Strafermittlungsverfahrens.
Scheffler erläutert, es bestehe die Möglichkeit, dass Standardvertragsklauseln und Privacy Shield dasselbe Schicksal ereile wie das Safe-Harbor-Abkommen. "Sie könnten für nichtig erklärt werden, was die Übermittlung von Daten in EU-Drittstaaten grundlegend verändern würde. Doch das sind derzeit lediglich Spekulationen." Ein Urteil wird noch vor Jahresende erwartet. Es könnte jedoch ein Berufungsverfahren folgen, was den Prozess weiter in die Länge zöge.