Datenfestung Europa?
Von Dirk Bongardt
„Es ist kompliziert“ – das beschreibt den Beziehungsstatus zwischen der Europäischen Union und den Vereinigten Staaten ziemlich treffend – fraglos nicht erst seit der Ära Trump. Mit Unternehmen wie Microsoft, Google, Apple, Facebook oder Amazon sind die USA eine IT-Supermacht, an den Angeboten und Leistungen der Big Tech Companies kommt auch in der EU kaum ein Unternehmen vorbei.
Die Abhängigkeit von US-Diensten hat mit der Corona-Pandemie seit 2020 noch einmal zugenommen. Etliche der Online-Dienste, die sich für Homeschooling und Homeoffice eignen, stammen aus den USA, die bei der Nutzung transferierten Daten laufen über Server in Übersee oder unterliegen jedenfalls dem Cloud Act der US-Regierung.
Zwei Urteile forcieren Privacy-Auflagen
Zunächst wollte die EU-Kommission über Abkommen mit den USA sicherstellen, dass die bei Inanspruchnahme dieser Leistungen zu übermittelnden Daten rechtskonform den Atlantik überqueren können. „Safe Harbor“ hieß das erste derartige Abkommen, das der Europäische Gerichtshof (EuGH) aber im Oktober 2015 kippte. Geklagt hatte damals der österreichische Aktivist Max Schrems. Er wollte sich dagegen wehren, dass Facebook personenbezogene Daten an US-Geheimdienste weitergab.
Nach diesem Urteil handelte die EU-Kommission mit den USA ein neues, nicht weniger klangvoll benanntes Abkommen aus, den „Privacy Shield“. Mit dem als „Schrems II“ bekannten Urteil kassierte der EuGH im Juli 2020 auch dieses Abkommen. Für Unternehmen, die Datenaustausch mit US-Dienstleistern pflegen, sind die Zeiten dadurch noch einmal ein Stück komplizierter geworden.
Der EuGH stellte in seinem Urteil aber auch klar, dass Standardvertragsklauseln ein geeignetes Mittel sein könnten, um Datenschutzkonformität beim Datentransfer in Drittstaaten zu gewährleisten. Beim Datentransfer in Staaten, die nicht einem „Angemessenheitsbeschluss“ der EU-Kommission unterliegen, reichen Standardvertragsklauseln allein aber nicht aus: Hier verlangt der EuGH zusätzlich „geeignete Garantien“.
Teil 1 beginnt dort, wo der Datenschutz am wichtigsten ist: bei den Auftragsdatenverarbeitern für Kommunen. Dabei geht es auch gleich um die zentralen Vorgaben der Privacy Compliance. Teil 2 nimmt sich dann den deutschen Norden und Osten vor, um zu prüfen, welche Rechenzentren sich dort anbieten. Teil 3 berichtet mitten aus dem Digitalisierungskessel an Rhein und Ruhr, Teil 4 sichtet die Lage im deutschen Südwesten, bevor Teil 5 sich in Bayern umsieht. Auch ein Seitenblick nach Österreich und eine Übersicht über die dortigen Cloud-Anbieter sind bereits online, ebenso eine Vorschau auf das Projekt Gaia-X, das namentlich für den Mittelstand interessant sein könnte. Zur Frage der Datenhoheit könnten Zertifizierungen und nicht zuletzt Open Source gute Cloud-Antworten geben. Ein Extra-Beitrag widmet sich außerdem den Fragen der App-Portabilität.
Was sind „geeignete Garantien“?
Der Begriff der „geeigneten Garantien“ fällt in der DSGVO unter anderem in den Art. 44 bis 49, die die Übermittlung personenbezogener Daten in Länder außerhalb des europäischen Wirtschaftsraums regeln. Grundsätzlich gelten auch Standardvertragsklauseln als „geeignete Garantien“, wie sie in Art. 46 zu finden sind – aber eben nicht immer. Der Europäische Gerichtshof hat es den Datenschutzaufsichtsbehörden anheimgestellt, das im Einzelfall zu beurteilen.
Am wenigsten problematisch ist der Datentransfer in ein Drittland, wenn international tätige Unternehmen oder Konzerne Daten ausschließlich unternehmensintern transferieren. Dann genügen verbindliche interne Datenschutzvorschriften. Diese Regeln müssen einen Schutz bieten, der im Wesentlichen dem der DSGVO entspricht. Sie müssen für alle betroffenen Mitglieder der Unternehmensgruppe rechtlich bindend sein und den Personen, deren Daten verarbeitet werden, durchsetzbare Rechte gewähren. Hat die zuständige Aufsichtsbehörde die internen Datenschutzvorschriften genehmigt, kann das Unternehmen ohne weitere Auflagen Daten grenzüberschreitend transferieren.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Heise-Beilage „Privacy für Unternehmen – Cloud as a Service“. Einen Überblick mit freien Download-Links zu sämtlichen Heften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Wer Dritten seine Daten anvertraut, kann anstelle der Standardvertragsklauseln auch individuelle Vereinbarungen aushandeln. Diese Vereinbarungen muss die Aufsichtsbehörde allerdings ebenfalls genehmigen, bevor Daten fließen. Ebenso genehmigungspflichtig sind Datenübermittlungen auf Basis branchenspezifischer Verhaltensregeln. Voraussetzung: Sie sind mit verbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters versehen.
Compliance: Betroffen, was tun?
Die simpelste Möglichkeit, DSGVO-Verstöße beim Datentransfer in Drittländer zu vermeiden, ist noch nicht zur Sprache gekommen: Keine Daten in Drittländer transferieren. Bei Videokonferenzen nicht auf Zoom setzen, keine Daten in Amazon-Clouds transferieren, keine Collaboration-Werkzeuge von Google nutzen – das reicht eventuell schon. Ob und in welchem Umfang Unternehmen Daten mit den USA austauschen, ist den Verantwortlichen aber oft selbst nicht bewusst. Wer bei der Datenverarbeitung mit Diensten und Dienstleistern innerhalb der EU zusammenarbeitet, muss sich vergewissern, ob diese nicht eventuell Daten an Subunternehmen in den USA weitergeben.
Darüber hinaus kommt diese simple Möglichkeit für viele Unternehmen aber kaum infrage. So gibt es zu vielen in den USA beheimateten Diensten zwar Alternativen aus dem EU-Raum. Aber selten gleichwertige. Entweder der Funktionsumfang lässt zu wünschen übrig, oder die heimischen Dienste sind erheblich teurer, vielleicht ist auch die Handhabung umständlicher. Auf jeden Fall benötigen Mitarbeiter, die bislang mit einer der großen US-beheimateten Lösungen gearbeitet haben, Schulungen und/oder Einarbeitung, um auf eine andere Lösung umzusteigen. Und auch das Sicherheitsniveau – im Sinne von Betriebssicherheit ebenso wie im Sinne von Datensicherheit gegenüber unbefugten Dritten – ist mitunter sogar inhouse niedriger als bei der Kooperation mit einem US-Dienst.
Kommt keine Alternative in Betracht, gilt es, die Rechtsgrundlage zu prüfen, auf der das Unternehmen Daten transferieren kann. Also, wie oben genannt, Standardvertragsklauseln, frei ausgehandelte Vertragsklauseln, interne Datenschutzvorschriften, branchenspezifische Verhaltensregeln oder eine der Ausnahmen, die in Art. 49 genannt sind (siehe Kasten).
Ausnahmen für bestimmte Fälle
Art. 49 DSGVO benennt eine Reihe von Ausnahmen, die Unternehmen einen Datentransfer in ein Drittland erlauben, auch wenn weder ein „Angemessenheitsbeschluss“ der EU-Kommission besteht, noch „geeignete Garantien“ existieren. Aber Vorsicht: Die Datenschutzaufsichtsbehörden sind gehalten, diese Ausnahmetatbestände sehr eng zu fassen:
- Einwilligung der betroffenen Person
- Erforderlichkeit zur Vertragserfüllung
- Wichtige Gründe des öffentlichen Interesses
- Verfolgung von Rechtsansprüchen
- Schutz lebenswichtiger Interessen
- Wahrung zwingender berechtigter Interessen
Diese Ausnahmetatbestände sind für jeden Einzelfall zu prüfen und sind als Rechtsgrundlage für einen kontinuierlichen Datenaustausch mit Unternehmen in Drittländern ungeeignet.
Sind die rechtlichen Grundlagen geklärt, muss man bei den in Drittländern beheimateten Unternehmen in Erfahrung bringen, ob diese „geeignete Garantien“ gewähren, sodass von einer Datenverarbeitung mit vergleichbaren Rechten und Sicherheiten ausgegangen werden kann, wie sie die DSGVO bietet.
Dabei können neben vertraglichen auch technische Aspekte zum Tragen kommen. So verpflichten der Cloud Act und andere Gesetze in den USA dort ansässige Unternehmen unter Umständen, ihren Behörden personenbezogene Daten zur Verfügung zu stellen. Enthält der Vertrag eine Zusicherung zur Prüfung und Abwehr solcher Anfragen oder zumindest eine Zusicherung der Informationen über Behördenanfragen, ist dann noch zu bewerten, wie sensibel die Informationen sind, an die die Behörden schlimmstenfalls gelangen könnten. Eine Ende-zu-Ende-Verschlüsselung ohne Hintertüren könnte einen solchen Datenzugriff verhindern. Alle technischen wie organisatorischen Maßnahmen erfordern letztlich ein Maß an Vertrauen zwischen den Vertragspartnern. Das wiederum können die Datenverarbeiter außerhalb der EU durch regelmäßige Audits unabhängiger Zertifizierer zusätzlich erhöhen.
Vorzugsbehandlung für Großbritannien
Anders als die USA hat Großbritannien seinerzeit die DSGVO mit verabschiedet und noch vor vollzogenem Brexit die Regelungen mit dem Data Protection Act 2018 in nationales Recht überführt. Die EU-Kommission hat Großbritannien deshalb Ende Juni 2021 ein „angemessenes Datenschutzniveau“ bescheinigt. Unternehmen, die Daten nach Großbritannien transferieren müssen oder wollen, müssen deshalb nichts anderes beachten als bei Dienstleistern in der Europäischen Union.
Allerdings hat die EU-Kommission diesen Beschluss gegen die Kritik von Datenschützern und auch gegen massive Widerstände aus dem EU-Parlament gefasst. So wird der britischen Regierung vorgeworfen, ihren Geheimdiensten massenhaften Zugang zu personenbezogenen Daten von EU-Bürgern zu gewähren und eine Kontrolle durch unabhängige Gerichte zu verhindern. Kritiker befürchten deshalb, auch dieser Beschluss werde früher oder später vom Europäischen Gerichtshof kassiert, analog zu Safe Harbor und Privacy Shield. Doch vorerst herrscht Rechtssicherheit.
Dirk Bongardt hat vor Beginn seiner journalistischen Laufbahn zehn Jahre Erfahrung in verschiedenen Funktionen in Vertriebsabteilungen industrieller und mittelständischer Unternehmen gesammelt. Seit 2000 arbeitet er als freier Autor. Sein thematischer Schwerpunkt liegt auf praxisnahen Informationen rund um Gegenwarts- und Zukunftstechnologien, vorwiegend in den Bereichen Mobile und IT.
Dirk Bongardt, Tel.: 05262-6400216, mail@dirk-bongardt.de, netknowhow.de