com!-Academy-Banner

Vorsicht bei der Nutzung von US-Cloud-Diensten

Widersprüche zur DSGVO

von - 05.11.2019
Europäischer Gerichtshof in Luxemburg
Europäischer Gerichtshof in Luxemburg: Das Urteil des Gerichts bezüglich Privacy Shield und Standardvertragsklauseln soll im Dezember gefällt werden.
(Quelle: Gerichtshof der Europäischen Union)
Die DSGVO regelt in Artikel 48 explizit die Herausgabe von Daten an Behörden und andere staatliche Stellen eines Drittlandes. Rechtlich dürfen Daten nur dann herausgegeben werden, wenn Rechtshilfeabkommen in Strafsachen oder eine ähnliche Übereinkunft zwischen dem Drittland und der EU oder dem betreffenden Mitgliedstaat bestehen. Daneben ist allerdings auch Artikel 5 der DSGVO von Bedeutung, der weitere Rechtfertigungsgründe zur Übermittlung von Daten in Drittländer verlangt.
Michael Scheffler von Bitglass führt aus, ein grundlegender Unterschied bestehe in der Rolle von Datenverarbeitungs- und Unternehmensstandort. Die DSGVO setze am Verarbeitungsstandort an und sehe strenge Richtlinien vor, wenn Daten in Regionen außerhalb ihres Geltungsbereichs übermittelt werden sollen. Der CLOUD Act hingegen beanspruche für sich ein Zugriffsrecht auf Daten von in den USA registrierten Firmen und zwar bezüglich all ihrer Verarbeitungsstandorte weltweit. „Die Schwierigkeit, die sich im Zusammenwirken von CLOUD Act und DSGVO ergibt, ist folgende: Der CLOUD Act ermächtigt die in seinen Geltungsbereich fallenden Unternehmen dazu, gegen die DSGVO zu handeln: Die Service­Anbieter sind nicht dazu verpflichtet, Betroffene über die Herausgabe der Daten an die US-Behörden in Kenntnis zu setzen. Gleichzeitig findet damit eine nicht vorschriftsmäßige Übermittlung von personenbezogenen Daten in ein Drittland statt. Außerdem sind lediglich die Service-Anbieter dazu berechtigt, gegen die Herausgabe Widerspruch einzulegen. All das verstößt gegen die Vorgaben der DSGVO.“
Eva-Maria Scheiter
Eva-Maria Scheiter
Managing Consultant GRC bei NTT Security
www.nttsecurity.com
Foto: NTT Security
„US-Behörden könnten an den Gerichten vorbei agieren und an personenbezogene Daten oder gar Betriebsgeheimnisse gelangen, ohne betroffene Personen oder Unternehmen darüber informieren zu müssen.“
Datenschützer sehen außerdem mit Besorgnis, dass der CLOUD Act kaum Vorgaben für den Zugriff der US-Behörden macht. Dies bringe Unternehmen in die Zwickmühle, die personenbezogene Daten in Cloud-Services hosten. Man könne ihnen gemäß der DSGVO vorwerfen, dass sie den Zugriff unbefugter Dritter und die unsachgemäße Übermittlung von Daten in Drittländer billigend in Kauf genommen hätten. Und es gibt noch einen verschärfenden Punkt: Der US-Präsident darf nach Belieben mit Staaten Abkommen zum erweiterten Datenabfluss schließen. Die Behörden dieser Staaten dürfen dann auch Daten von US-Cloud-Providern erhalten - ohne Gerichtsbeschluss.
Office 365 verboten
Nicht nur der CLOUD Act verursacht Ungemach, auch die DSGVO treibt seltsame Blüten. So hat der Landesdatenschutzbeauftragte von Hessen den Einsatz von Office 365 an Schulen für datenschutzrechtlich unzulässig erklärt. Bei Office 365 bestehe eine umfangreiche Übermittlung von Telemetrie-Daten an Microsoft in den USA. Es sei nicht abschließend geklärt, welche Inhalte übertragen werden. Auch eine Einwilligung der Betroffenen reiche nicht aus. Die Cloud-Lösungen von Apple oder Google seien für die Nutzung in Schulen ebenfalls nicht geeignet.
Nach intensiven Gesprächen mit Microsoft bleibt der Einsatz von bereits gekaufter Software bis auf Weiteres geduldet, solange sich die Schulen an gewisse Vorgaben halten. Die Überprüfung von Office 365 sei aber sehr komplex und noch nicht abgeschlossen. Am Ende könne immer noch das Urteil stehen, dass der Einsatz an Schulen grundsätzlich unzulässig sei. Auch die Datenschutzaufsicht der Niederlande DPA ist der Meinung, dass Microsoft gegen die Datenschutz-Grundverordnung der EU verstößt.
Verwandte Themen