Die Cloud zwischen dem CLOUD Act und GAIA-X

Datenschutz in der EU und der Umgang damit in den USA – das passt nicht gut zusammen. Abkommen und Gesetze wie Patriot Act, CLOUD Act und Privacy Shield stehen auf der einen, die Datenschutz-Grundverordnung (DSGVO) auf der anderen Seite. Dazu kommt der Europäische Gerichtshof (EuGH), der regelmäßig die eine oder andere Vereinbarung für rechtswidrig erklärt. Unternehmen fällt es deshalb zunehmend schwer zu überblicken, was sie mit Daten machen dürfen und was nicht. Langfristig könnte das Projekt GAIA-X ein Weg aus der Misere sein. Doch der Reihe nach.

Der Corona-bedingte Rückzug zahlreicher Arbeitnehmer ins Homeoffice hat der Cloud-Nutzung ordentlich Auftrieb verschafft. Das stellt viele Arbeitgeber vor ein Dilemma. Denn seit dem Urteil des Europäischen Gerichtshofs in Luxemburg vom Sommer 2020 ist das Privacy-Shield-Abkommen zwischen der EU und den USA unwirksam. Das wiederum hat zur Folge, dass die Nutzung amerikanischer Cloud-Services juristisch in eine Grauzone rückt, oder genauer gesagt in ein Vakuum, da nun keinerlei Rechtsgrundlage mehr besteht.

„Die Frage lautet, wie kann man als Unternehmen Daten datenschutzkonform in die USA übermitteln“, erläutert Hajo Rauschhofer, Fachanwalt für IT-Recht. „Außerhalb der EU ist dies nur zulässig, wenn man in ein sicheres Drittland exportiert, weil dort ein angemessenes Datenschutzniveau besteht, oder Standarddatenschutzklauseln verwendet, deren Einhaltung sichergestellt werden kann. Zu den sicheren Drittländern existiert eine entsprechende Liste bei der EU-Kommission. Die USA gelten nicht als sicheres Drittland.“ Das Urteil besagt im Kern, dass die Übertragung personenbezogener europäischer Daten in die USA den Anforderungen der DSGVO nicht entspricht. Die europäischen Datenschutzstandards sind einzuhalten und durchzusetzen. Das ist gegenüber einem US-Unternehmen nicht möglich. Was sollen die hiesigen Unternehmen also tun? Wer nicht über geeignete Schutzmaßnahmen verfügt, soll laut dem European Data Protection Board (EDPB) den Cloud-Service aussetzen oder einstellen. Unternehmen haben in dieser rechtlichen Situation also die Wahl, die DSGVO zu verletzen, oder auf die Cloud-Services von US-Anbietern zu verzichten. Beides ist kein gangbarer Weg.

„Bei Privacy Shield handelte es sich um eine informelle Absprache zwischen der EU und den Vereinigten Staaten mit der Zusicherung der US-Regierung, den Angemessenheitsbeschlüssen zu entsprechen und Sicherheit beim Datenschutz zu gewährleisten“, so Rauschhofer. „Aber auch da hat sich herausgestellt, dass die Datenschutzkonformität nicht gewahrt wird. Der EuGH hat den Privacy Shield daher mit sofortiger Wirkung für unwirksam erklärt – mit der Folge, dass der Datenexport in die USA seitdem problematisch ist.“

Das Aus für den Privacy Shield ist nicht das Einzige, was die datenschutzrechtlichen Beziehungen zu den USA kompliziert gestaltet. Im Windschatten der Diskussionen haben die USA den CLOUD Act verabschiedet. CLOUD Act steht für Clarifying Lawful Overseas Use of Data Act. Er ermöglicht es den US-Behörden, von den Unternehmen Zugang zu den Daten zu fordern – auch dann, wenn sich die Server im Ausland befinden. Das läuft den Anforderungen der DSGVO diametral entgegen. Nach ihr dürfen personenbezogene Daten von EU-Bürgern nicht mehr in die USA gelangen. Das klingt realitätsfern. „Ich kann einem Unternehmen nicht ernsthaft sagen, ihr müsst jetzt euer Geschäftsmodell, das auf dem Datenaustausch mit US-Anbietern fußt, einstellen“, unterstreicht Rauschhofer.

Der CLOUD Act erlaubt Behörden (und Geheimdiensten) den Zugriff auf Daten, die TK-, E-Mail- oder Cloud-Anbieter im Ausland gespeichert haben. Dazu kommt: Der CLOUD Act betrifft keineswegs nur US-Unternehmen, sondern gilt für alle Unternehmen, die der US-Gerichtsbarkeit unterliegen. Der Arm der US-Justiz erreicht auch Unternehmen mit einer Zweigstelle oder einer Tochtergesellschaft in den USA. Einzelne US-Gerichte setzen noch einen drauf: Urteile besagen, dass sich der CLOUD Act sogar auf Nicht-US-Webseiten erstreckt, die in den USA genutzt werden.

„AWS, Microsoft und andere haben Server-Standorte in Europa. Sie sichern zu, sich gegen etwaige Anordnungen zu verteidigen“, führt Hajo Rauschhofer aus. „Man könnte nun der Meinung sein, in Europa zu hosten und sich gegen Anordnungen durch den CLOUD Act zur Wehr zu setzen, sollte ausreichen. In Frankreich hat das ein Gericht jüngst anders gesehen.“ Datenschutzausschüsse legen den Unternehmen nahe, auf europäische Anbieter auszuweichen. Doch die Cloud-Infrastrukturen von Amazon, Microsoft und Google sind eine Klasse für sich und kaum einzuholen.

Die DSGVO regelt in Artikel 48 die Übermittlung von Daten an Behörden und andere staatliche Stellen eines Drittlandes. Sie dürfen nur dann herausgegeben werden, wenn Rechtshilfeabkommen in Strafsachen oder ähnliche Übereinkünfte zwischen dem Drittland und der EU oder dem betreffenden Mitgliedstaat bestehen. Artikel 5 der DSGVO verlangt zudem weitere Rechtfertigungsgründe zur Übermittlung von Daten in Drittländer. „Ich kenne nahezu kein Unternehmen, das nicht in irgendeiner Form Daten in die USA exportiert“, betont Rauschhofer. „Ein solcher Export kann als Grundvoraussetzung allenfalls mithilfe der Standarddatenschutzklauseln und dem weiteren Erfordernis zusätzlicher Garantien erfolgen.“

Früher war es so: Wenn Unternehmen Daten in ein Drittland übertrugen, das nicht als sicheres Drittland galt, dann konnten sie mit Standarddatenschutzklauseln arbeiten, die vertraglich sicherstellten, dass die Rechte der informationellen Selbstbestimmung der betroffenen EU-Bürger nicht verletzt werden. Das Problem im Moment ist aber, dass die meisten Datenschutzbehörden sagen, das reicht überhaupt nicht aus. Man könne sich nicht vorstellen, wie diese Garantien wirksam eingehalten werden sollen, Stichwörter  Patriot Act, CLOUD Act et cetera.

„Microsoft und andere haben sich in Ergänzungen zu den Standarddatenschutzklauseln verpflichtet, gegen Anordnungen von Behörden vorzugehen. Durch den Wechsel der US-Administration ist vielleicht denkbar, dass die EU mit den USA ein Abkommen hinbekommt“, hofft Rauschhofer.

Die EU-Kommission stellt Standardvertragsklauseln oder, wie sie neuerdings heißen, Standarddatenschutzklauseln zur Verfügung, die Unternehmen die Umsetzung des Datenschutzes erleichtern sollen. In den Klauseln sind die nötigen Anforderungen für die DSGVO-konforme Übermittlung personenbezogener Daten in Drittländer geregelt. Unternehmen können ihre Verträge, etwa mit Cloud-Providern, damit ergänzen. Ob das ausreicht, bleibt ungewiss.