Vorsicht bei der Nutzung von US-Cloud-Diensten

Widersprüche zur DSGVO

Europäischer Gerichtshof in Luxemburg: Das Urteil des Gerichts bezüglich Privacy Shield und Standardvertragsklauseln soll im Dezember gefällt werden.
Quelle: Gerichtshof der Europäischen Union
Die DSGVO regelt in Artikel 48 explizit die Herausgabe von Daten an Behörden und andere staatliche Stellen eines Drittlandes. Rechtlich dürfen Daten nur dann herausgegeben werden, wenn Rechtshilfeabkommen in Strafsachen oder eine ähnliche Übereinkunft zwischen dem Drittland und der EU oder dem betreffenden Mitgliedstaat bestehen. Daneben ist allerdings auch Artikel 5 der DSGVO von Bedeutung, der weitere Rechtfertigungsgründe zur Übermittlung von Daten in Drittländer verlangt.
Michael Scheffler von Bitglass führt aus, ein grundlegender Unterschied bestehe in der Rolle von Datenverarbeitungs- und Unternehmensstandort. Die DSGVO setze am Verarbeitungsstandort an und sehe strenge Richtlinien vor, wenn Daten in Regionen außerhalb ihres Geltungsbereichs übermittelt werden sollen. Der CLOUD Act hingegen beanspruche für sich ein Zugriffsrecht auf Daten von in den USA registrierten Firmen und zwar bezüglich all ihrer Verarbeitungsstandorte weltweit. "Die Schwierigkeit, die sich im Zusammenwirken von CLOUD Act und DSGVO ergibt, ist folgende: Der CLOUD Act ermächtigt die in seinen Geltungsbereich fallenden Unternehmen dazu, gegen die DSGVO zu handeln: Die Service­Anbieter sind nicht dazu verpflichtet, Betroffene über die Herausgabe der Daten an die US-Behörden in Kenntnis zu setzen. Gleichzeitig findet damit eine nicht vorschriftsmäßige Übermittlung von personenbezogenen Daten in ein Drittland statt. Außerdem sind lediglich die Service-Anbieter dazu berechtigt, gegen die Herausgabe Widerspruch einzulegen. All das verstößt gegen die Vorgaben der DSGVO."
Datenschützer sehen außerdem mit Besorgnis, dass der CLOUD Act kaum Vorgaben für den Zugriff der US-Behörden macht. Dies bringe Unternehmen in die Zwickmühle, die personenbezogene Daten in Cloud-Services hosten. Man könne ihnen gemäß der DSGVO vorwerfen, dass sie den Zugriff unbefugter Dritter und die unsachgemäße Übermittlung von Daten in Drittländer billigend in Kauf genommen hätten. Und es gibt noch einen verschärfenden Punkt: Der US-Präsident darf nach Belieben mit Staaten Abkommen zum erweiterten Datenabfluss schließen. Die Behörden dieser Staaten dürfen dann auch Daten von US-Cloud-Providern erhalten - ohne Gerichtsbeschluss.



Das könnte Sie auch interessieren