DSGVO versus CLOUD Act

Worauf man beim Cloud Computing achten sollte

LinkedInXingPocketWhatsAppFlipboard

Durch den US-CLOUD Act haben US-Behörden erleichterten Zugriff auf von Unternehmen im Ausland verarbeitete Daten. Allerdings nur dann, wenn es sich dabei um US-Unternehmen handelt oder diese einen ausreichenden Bezug zu den USA haben. 

Aus Sicht des EU-Rechts stößt der CLOUD Act auf Bedenken. Die herauszugebenden Daten sind nämlich durch die DSGVO geschützt. Was ist also künftig beim Cloud Computing zu beachten?

Anzeige

Neuerungen durch den US-CLOUD Act

Der “Clarifying Lawful Overseas Use of Data Act” (CLOUD Act) kann auf Cloud Computing-Dienste anwendbar sein. Er regelt, dass ein dem US-Recht unterstehender Anbieter elektronischer Kommunikations- oder Remote-Computing-Dienste (“US-Anbieter”), Daten in seiner Kontrolle offenlegen muss, wenn beispielsweise eine US-Behörde deren Herausgabe verlangt. Die Daten werden also so behandelt, als seien sie innerhalb der USA gespeichert. Anders als nach altem Recht, ist gerade kein Rechtshilfeabkommen mehr erforderlich. Der CLOUD Act sieht auch nur in engen Grenzen einen Widerspruchsmechanismus vor.

EU-Datenschutzrecht

Soweit es sich bei den betreffenden um personenbezogene Daten handelt, sind sie in der EU durch die Datenschutz-Grundverordnung (DSGVO) geschützt. Die DSGVO gilt aber nicht nur für Unternehmen mit Sitz in der EU oder dem Europäischem Wirtschaftsraum (EWR), sondern auch für Anbieter in Drittstaaten. Vorausgesetzt diese richten ihre Dienste auf den EWR aus. Also muss auch ein US-Anbieter, der seine Dienste innerhalb der EU anbietet und mit personenbezogenen Daten umgeht, die DSGVO einhalten.

Die DSGVO sieht vor, dass Daten aufgrund von Verwaltungs- und Gerichtsentscheidungen aus einem Nicht-EU-Staat zum Beispiel grundsätzlich mit der Einwilligung derjenigen Person, deren Daten übermittelt werden sollen, erfolgen kann. Eine solche Einwilligung muss jedoch informiert und freiwillig erfolgen. Oft weiß die betroffene Person jedoch nichts von der sie betreffenden Herausgabeanordnung (nicht informiert). Selbst wenn sie davon erfährt, kann von Freiwilligkeit bei einer Anordnung in der Regel nicht die Rede sein.

Darüber hinaus ist umstritten, ob selbst das sogenannte Privacy Shield (ein Selbstzertifizierungsmechanismus für US-Unternehmen, der die b2b-Übermittlung von Daten aus der EU rechtfertigt) oder Model Clauses (zwischen dem Kunden in der EU und dem US-Anbieter abzuschließende Standardvertragsklauseln der EU Kommission), eine Herausgabe an US-Behörden rechtfertigen können.

Die DSGVO bietet jedoch weitere Möglichkeiten Datenübermittlungen an Behörden in Drittstaaten zu rechtfertigen, beispielsweise das öffentliche Interesse der USA, das in einem Mitgliedsstaat oder der EU ausdrücklich anerkannt sein muss.

Greift allerdings keine dieser Möglichkeiten, ist die Herausgabe von Daten an US-Behörden nur auf Grundlage eines völkerrechtlichen Abkommens zulässig. Ein solches Abkommen für eine Herausgabe eines US-Anbieters direkt an eine US-Behörde, gibt es bisher nicht.

Die EU arbeitet mit Hochdruck an einem sogenannten Exekutivabkommen, das zum CLOUD Act passen soll. Unter Datenschützern ist allerdings umstritten, ob ein Abkommen den Anforderungen der DSGVO an ein Rechtshilfeabkommen überhaupt genügen würde. Wichtig wäre in diesem Zusammenhang in jedem Fall, dass die hohen Standards der DSGVO auch auf die US-Behörde übertragen würden. Die US-Behörde müsste die übermittelten Daten genauso schützen, als verblieben sie in der EU. Zum Beispiel müsste die US-Behörde verpflichtet sein, die Daten zu löschen, wenn der Zweck ihrer Verarbeitung entfallen ist.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

TO DOs für Unternehmen:

Fordert nun also beispielsweise eine US-Behörde einen US-Anbieter auf Grundlage des CLOUD Acts auf, in der EU gespeicherte Daten offenzulegen, kann sich ein US-Anbieter zwei konfligierenden Rechtsordnungen gegenübersehen. Die Abwägung hierfür ist komplex und ohne fachkundige Unterstützung fehleranfällig.

Berechtigung zur Offenlegung prüfen!

Prüfen Sie zunächst, ob eine Regelung des Kapitel 5 der DSGVO die Offenlegung rechtfertigt. Möglicherweise müssen weitere Anforderungen beachtet werden. Wenn eine Offenlegung davon nicht mehr als gedeckt angesehen werden kann, wird das bis zum Ende dieses Jahres geplante Durchführungsabkommen zwischen EU und USA für mehr Rechtssicherheit sorgen.

Entwicklung von Modell-Konstellationen beobachten!

Es ist nicht abschließend geklärt, ob ein Treuhand-Modell, wie es Microsoft bis vor Kurzem anbot vor einer Herausgabepflicht schützt. Bei einem derartigen Modell schaltet der US-Anbieter ein zweites Unternehmen ein, das die Daten treuhänderisch für ihn in Deutschland verarbeitet. Ob ein US-Gericht dabei jedoch fehlende Kontrolle über die Daten annehmen würde, ist offen. Obgleich sich die Situation vertraglich nur schwer einfangen lässt, ist zudem Folgendes denkbar:

  • Vertraglich für Transparenz sorgen!
    Im Vertrag sollte vereinbart werden, dass der US-Anbieter dem Kunden eine Herausgabeanordnung aus den USA mitteilen muss. Weil eine Anordnung jedoch nicht selten mit der Verpflichtung zur Geheimhaltung verbunden ist, bieten manche US-Anbieter alternative Informationsmechanismen, zum Beispiel Zähler, die bei jeder Herausgabeanordnung auf “Null” gesetzt werden. Das Privacy Shield empfiehlt zudem US-Anbietern (freiwillige) Transparenzberichte zu erstellen. Auch diese können zumindest retrospektiv Licht ins Dunkel bringen.
  • Datenverarbeitung im Vertrag örtlich beschränken!
    Unternehmen sollten sich außerdem darüber klar werden, ob sie den Ort der Datenverarbeitung vertraglich beschränken wollen und können. Eine solche vertragliche Regelung wird zum Teil in Zertifizierungskatalogen gefordert, wie beispielsweise dem Katalog der DSGVO-Zertifizierung des AUDITOR-Forschungsprojekts. So sieht der AUDITOR-Katalog beispielsweise vor, dass die Parteien eines Cloud-Vertrages vertraglich vereinbaren müssen, dass der Cloud-Anbieter Veränderungen des Ortes der Datenverarbeitung mitteilen muss und wesentliche Änderungen den Cloud-Kunden sogar zur Kündigung berechtigen.
  • Speicherort monitoren!
    Durch spezifische Monitoring-Mechanismen kann der Speicherort von Daten überwacht und eingegrenzt werden.
  • Strenge Datensicherungsmaßnahmen vereinbaren!
    Der CLOUD Act stellt auf Kontrolle, Gewahrsam und Obhut des US-Anbieters ab. Deshalb ist zu prüfen, ob die Daten durch technische Maßnahmen geschützt werden können, die dafür sorgen, dass ein Unternehmen (selbst) keine Kontrolle über die jeweiligen Daten hat, zum Beispiel durch Versiegelung der Cloud.
  • Nachweismöglichkeiten schaffen!
    Die bereits erwähnte AUDITOR-Zertifizierung von Cloud Computing-Angeboten soll in eine DIN-Norm übersetzt werden und birgt bei Marktreife Potential, Aufsichtsbehörden als Nachweis zu dienen. Der US-Anbieter kann eine solche Zertifizierung vorlegen und damit seine Verordnungskonformität einfacher nachweisen.

Johanna HofmannJohanna M. Hofmann ist Rechtsanwältin für IT- und Datenschutzrecht in der Wirtschaftskanzlei CMS in Deutschland. Sie promoviert zu Fragen der dynamischen datenschutz- und datensicherheitsrechtlichen Zertifizierung von Cloud-Computing.
 


Anzeige

Weitere Artikel

DSA: Verbraucherzentrale mahnt Modehändler Shein ab
Beyond the Cookie – Lösungsansätze für Marketingstrategien
ProdHaftRL: Was umfasst die EU-Produkthaftungsrichtlinie?
AI Act: KI-Managementsystem nach ISO 42001 zu empfehlen
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.