Firmen laufen Gefahr, durch die Nutzung von US-Cloud-Anbietern gegen EU-Recht zu verstoßen. Jetzt weiten die Aufsichtsbehörden ihre Ermittlungen aus. Hohe Bußgelder drohen.
Die Datenschutz-Aufsichtsbehörden in Deutschland wollen Unternehmen jetzt bundesweit wegen der Nutzung von US-Clouddiensten wie Amazon, Microsoft, Google ins Visier nehmen. Grundlage sollen mehrere Fragenkataloge sein, die aktuell von einer „Taskforce“ der Datenschutzkonferenz (DSK) der Länder und des Bundes erarbeitet werden.
„Ziel der Aktion ist die proaktive Ansprache von Unternehmen im Rahmen einer Stichprobe“, sagte der Hamburger Datenschützer Johannes Caspar dem Handelsblatt. Diese solle unabhängig von Beschwerden zu der Thematik erfolgen. Angesichts der „klaren Rechtslage“ müssten die Aufsichtsbehörden nicht einschlägige Beschwerden abwarten, sagte auch Baden-Württembergs Datenschützer Stefan Brink dem Handelsblatt.
Betroffene Unternehmen müssen demnach gegenüber den Aufsichtsbehörden begründen, auf welcher Grundlage sie US-Anbieter einsetzen. Fällt die Antwort nicht zufriedenstellend aus, wären die Firmen wohl gezwungen, den Anbieter zu wechseln.
Hintergrund ist ein Urteil des Europäischen Gerichtshofs (EuGH) zum EU-US-Datenschutzabkommen „Privacy Shield“ vom Juli 2020. Der EuGH hat seinerzeit die Rechtsgrundlagen für den Transfer personenbezogener Daten europäischer Bürger in die USA wegen ungenügenden Datenschutzes kassiert, weil die US-Geheimdienste weitgehenden Zugriff auf die bei US-Unternehmen gespeicherten Daten haben.
Viele US-Cloud-Dienste verstoßen damit gegen die europäische Datenschutz-Grundverordnung (DSGVO). Gegen Firmen, die die Dienste dennoch einsetzen, sind Bußgelder von bis zu 20 Millionen Euro möglich.
Office-Software, Videokonferenzdienste und Umfragetools
Der Datenschützer Caspar ist Co-Vorsitzender der DSK-„Taskforce“, die die Umsetzung des EuGH-Urteils für die deutschen Aufsichtsbehörden organisieren soll. Die Behörden gehen derzeit bereits Beschwerden über Webseiten-Betreiber nach, die Tracking-Tools einsetzen und Daten in die USA übermitteln. Weitere Beschwerden betreffen Unternehmen, die Software nutzen, die in den USA gehostet wird. Dabei handelt es sich unter anderem um Office-Software, Videokonferenzdienste und Umfragetools zur Mitarbeiterzufriedenheit.
Laut Caspar verlangt der EuGH von den Aufsichtsbehörden „unzweideutig, unrechtmäßige Datenübermittlungen auszusetzen“. „Diese Anforderung kann zunächst im Rahmen eines kooperativen Ansatzes erfüllt werden“, erläuterte er. Caspar hält auch Bußgelder für möglich, wenn die angeschriebenen Unternehmen keine konkreten Schritte unternähmen. „Denkbare Sanktionsmöglichkeiten sind förmliche Anordnungen bis hin zu Bußgeldern“, sagte er.
Der Datenschützer Brink sprach von einer „extremen“ Herausforderung für „sehr viele“ Unternehmen, der Rechtslage gerecht zu werden. „Das gilt insbesondere für jene Bereiche, bei denen US-Anbieter eine Monopolstellung haben oder marktbeherrschend sind“, sagte er.
Die Deutsche Bahn etwa hat sich im vergangenen Jahr entschieden, ihre eigenen Rechenzentren abzuschalten und die komplette IT in die Cloud zu verlagern. Nutznießer sind Amazon und Microsoft, die ihre Cloud-Dienste für die Bahn über das Internet zur Verfügung stellen. Aus Sicht der Bahn konnte kein europäischer Wettbewerber mit dem Angebot der US-Konzerne mithalten.
Bisherige Datenabkommen mit den USA sind gescheitert
Die Deutsche Bank nutzt für ihre IT-Systeme die Google-Cloud. Datenschutzprobleme sieht das Institut nicht. „Die IT-Infrastruktur einer Bank unterliegt strengen Vorschriften“, sagte ein Konzernsprecher kürzlich. Dazu zähle Verschlüsselung. Daten von europäischen Kunden würden zudem in Europa gespeichert und der Zugriff auf Daten sei strengen Regeln unterworfen.
Dessen ungeachtet sieht Datenschützer Brink nun die Politik in der Verantwortung, für die Datenübermittlung in die USA eine rechtssichere Lösung zu finden. „Die Politik ist aufgefordert, das Problem durch Aushandlung eines neuen Datentransfer-Abkommens mit den USA zu entschärfen und dazu beizutragen, dass durch die Förderung europäischer Alternativangebote die Vormachtstellung der USA und Chinas nicht weiter zunimmt“, sagte er. „Denn wir werden unsere hohen Standards in Sachen Datenschutz nur dann bewahren können, wenn wir eine gewisse Autarkie auf dem digitalen Markt erreichen und erhalten.“
Ob eine Lösung aus dem gegenwärtigen Dilemma gefunden wird, ist indes ungewiss. Um den Datenaustausch mit den USA auf eine solide Grundlage zu stellen, hat die EU nun schon zwei Mal versucht, ein Abkommen mit den USA über die Rahmenbedingungen abzuschließen: zuerst das Safe-Harbor-Abkommen und nur vier Monate nach dessen Scheitern vor dem EuGH das Privacy Shield, das ebenso scheiterte. Einen solchen „Quick Fix“, der wieder scheitert, kann sich die EU-Kommission nun nicht mehr erlauben.
Was es bräuchte, wäre ein Abkommen, das verlässlich regelt, dass Daten von EU-Bürgern genauso behandelt werden wie jene von US-Bürgern – also vom Auslandsgeheimdienst nicht erfasst werden dürfen. Solche Abkommen sind aber sehr selten, nicht einmal zwischen den EU-Staaten sind sie üblich.
USA wollen ihre Tech-Konzerne schützen
Allerdings ändert sich die Einstellung in den USA gerade. Denn es sind nicht länger nur US-Firmen, die Daten aus der ganzen Welt verarbeiten. Die Amerikaner machen auch die Erfahrung, dass ihre sensiblen Daten im Ausland gespeichert werden. So versuchte der damalige Präsident Donald Trump, die chinesische App Tiktok aus seinem Land zu verbannen. Die Datenschutzsorgen anderer Länder werden so möglicherweise nachvollziehbarer.
Die US-Regierung sorgt sich außerdem um das Europa-Geschäft ihrer IT-Firmen. Handelsministerin Gina Raimondo sagte schon vor ihrer Ernennung, sie werde sicherstellen, dass es ein Nachfolgeabkommen für Privacy Shield gebe, das die Interessen amerikanischer Unternehmen schütze.
Raimondo sprach Ende März mit EU-Justizkommissar Didier Reynders darüber, wie eine Regelung aussehen könne. Die Verhandlungen dazu sollten nun intensiviert werden, hieß es nach dem Gespräch nur. Ausgang offen. Eine Sprecherin der Kommission betonte aber, dass jedwede Vereinbarung mit den USA die Vorgaben des EuGH voll berücksichtigen müsse.
Was dies konkret bedeutet, bringt Datenschützer Caspar auf den Punkt. „Klar ist, am Ende kann das Kernproblem ausufernder staatlicher Massenüberwachung in einzelnen Drittstaaten nicht durch die datenexportierenden Unternehmen gelöst werden“, sagte der Hamburger Behördenchef. Der Schlüssel, soweit es um einen Transfer in die USA gehe, liege in den US-Sicherheitsgesetzen. „Die europäische Politik ist gefordert, bei der neuen US-Administration auf einen grundlegenden Konzeptwechsel zu drängen.“
Gleichzeitig, mahnte Caspar, müssten Bedingungen innerhalb Europas geschaffen werden, um heimische IT-Lösungen zu entwickeln, die mit denen von Dienstleistern in Übersee konkurrenzfähig seien. „Insoweit bietet die Entscheidung des EuGH letztlich eine Chance auch für die Idee der digitalen Souveränität in Europa.“