US-Clouds: Datenschutzbehörden schauen jetzt genauer hin
Dünnes Eis
Standardisierte Cloud-Services von US-Unternehmen wie Microsoft, Amazon oder Google erfreuen sich – nicht erst seit Beginn der Pandemie – in deutschen Unternehmen großer Beliebtheit. Dass die Auftraggeber damit in vielen Fällen europäisches Datenschutzrecht unterlaufen, ist ein offenes Geheimnis. Wurde dieses Verhalten seitens der deutschen Aufsichtsbehörden bislang selten verfolgt und sanktioniert, könnte sich das jetzt ändern.
Zur Erinnerung: Im Juli des vergangenen Jahres hat der Europäische Gerichtshof das Datenschutzabkommen Privacy Shield, das als Basis für den Austausch personenbezogener Daten zwischen Europa und den USA galt, gekippt. Die Nutzung von US-Cloud-Diensten für die sogenannte Auftragsdatenverarbeitung ist für deutsche Unternehmen seitdem risikobehaftet, da damit unter Umständen europäische Schutzstandards wie die Datenschutzgrundverordnung (DSGVo) unterlaufen werden. Grund ist der mögliche Datenzugriff durch US-amerikanische Sicherheitsbehörden, die auf Basis des Patriot Acts bei „begründetem Verdacht“ auf die Server US-amerikanischer Hyperscaler zugreifen dürfen. Dabei macht es keinen Unterschied, ob sich der Server in den USA, Europa oder Deutschland befindet.
Datenrechtlich unbedenklich ist der Rückgriff auf die Cloud-Services US-amerikanischer Anbieter nur dann, wenn die beteiligten Unternehmen „alternative Lösungen zur Aufrechterhaltung eines angemessenen Datenschutzniveaus verwenden, beispielsweise EU-Standardklauseln nebst zusätzlicher Garantien. Diese müssen – im Gegensatz zu einem Transferabkommen – für jeden Verarbeitungsvertrag separat ausgehandelt werden“ (Quelle: www.datenschutzticker.de, Kinast Rechtsanwälte). Vorgaben, die in der IT-Praxis ausgesprochen selten Beachtung finden.
Gegen das bisher weitgehend unbeachtete Treiben selbst großer deutscher Konzerne, wollen die Aufsichtsbehörden hierzulande jetzt verschärft vorgehen. Wie das Handelsblatt kürzlich berichtete, haben sie eine länderübergreifende Task Force eingerichtet, die stichprobenartig die Auftragsverarbeitung, die deutscher Unternehmen über Dienstleister aus Drittstaaten abwickeln, untersuchen soll. Das Spektrum der angekündigten Maßnahmen reicht von bindenden Hinweisen, wie dem unverzüglichen Wechsel des Anbieters, bis zur Verhängung von massiven Bußgeldern.
Dass Datenschutzverstöße weder von Bürgern noch von Behörden immer seltener „toleriert“ werden, zeigt exemplarisch der Tätigkeitsbericht Datenschutz 2020, den der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink kürzlich vorstellte. Demnach wurden in seinem Bundesland im Jahr 2020 Bußgelder in Höhe von rund 1,6 Millionen Euro erlassen, so viel wie noch nie. Die Zahl der Beschwerden steigt von rund 3800 im Jahr 2019 auf rund 4800 im Jahr 2020.
Um die bestehende Unsicherheit sowohl bei den Unternehmen, als auch auf Seiten der Auftragsverarbeitenden zu beenden, fordern laut Handelsblatt Industrieverbände wie BDI und BGA die EU-Kommission auf, umgehend ein Nachfolgeabkommen zum Privacy Shield mit der neuen US-Regierung auszuhandeln. Bis es soweit ist, gilt es für Unternehmen bei der Wahl ihrer Cloud-Provider genauer hinzuschauen und sich sicherheitshalber an der Redewendung „Bleibe im Lande und nähre dich redlich“ zu orientieren. Das heißt, der Cloud Anbieter sollte sowohl seinen Firmensitz, als auch sein Rechenzentrum in Deutschland haben, seine Dienste auf eigenen Servern im deutschen Rechenzentrum bereitstellen und somit dem deutschen Datenschutz und deutschem Recht unterliegen.
Wir von united hoster erfüllen diese Anforderungen. Sprechen Sie uns an. Unsere Experten beraten Sie gerne.