Schlagwort: Cloud Act

Privacyshield 2.0 – Bald eine neue Rechtsgrundlage für Datenübermittlungen in die USA?

31. März 2022

Am 25. März 2022 haben sich die Vereinigten Staaten und die Europäische Kommission mit einer gemeinsamen Erklärung im Grundsatz auf einen neuen transatlantischen Datenschutzrahmen geeinigt. Dieser soll möglicherweise bald den vom Europäischen Gerichtshof verworfenen Privacy-Shield-Rahmen ablösen.

Die Entscheidung ist das Ergebnis von mehr als einem Jahr intensiver Verhandlungen zwischen den USA und der EU. Die Hoffnungen sind groß, dass dieser neue Rahmen eine dauerhafte und rechtssichere Grundlage für den Datenverkehr zwischen der EU und den USA bildet.

Das Weiße Haus erklärte, dass der transatlantische Datenschutzrahmen “den transatlantischen Datenverkehr fördern und die Bedenken ausräumen wird, die der Gerichtshof der Europäischen Union geäußert hat, als er im Jahr 2020 die Angemessenheitsentscheidung der Kommission, die dem EU-US-Datenschutzschild zugrunde lag, für ungültig erklärte”.

Wie das Privacy Shield ist die Grundlage dieses neuen Rahmens die Selbstzertifizierung gegenüber dem US-Handelsministerium. Für Datenexporteure in der EU ist es dann von entscheidender Bedeutung sicherzustellen, dass ihre Datenimporteure in den USA nach dem neuen Rahmenwerk zertifiziert sind.

Durch den Rahmen soll außerdem neben einer effektiveren Aufsicht über die Geheimdienste ein mehrstufiges Rechtsbehelfssystem eingerichtet werden. Dieses schließt einen „Independent Data Protection Review Court“ ein, der die Befugnis haben soll, von EU-Bürgern erhobene Ansprüche gegen Überwachungsmaßnahmen der Geheimdienste zu beurteilen und erforderlichenfalls Abhilfemaßnahmen in rechtlich bindender Weise anzuordnen.

Aus mehreren Gründen steht diese Entscheidung jedoch auf wackeligen Beinen. Erstens handelt es sich bei der Entscheidung zunächst nur um eine politische Entscheidung im Grundsatz. Weder sind Details geklärt noch hat die Europäische Kommission den Prozess zu einer Angemessenheitsentscheidung anlaufen lassen. Entsprechend der Ankündigungen des Datenschutzaktivisten Max Schrems und noyb dürfte sich zudem auf Klagen vor den EU-Gerichten einzustellen sein. Es bleibt daher abzuwarten, ob dieser neue Rahmen den erhofften Abschluss zum Thema transatlantische Datenströme bringen wird. Bis dahin müssen Unternehmen weiterhin auf die Standardvertragsklauseln und zusätzliche Maßnahmen für ein angemessenes Datenschutzniveau setzen.

Google reagiert auf den Wegfall des Privacy Shield

30. September 2021

Seit Jahren steht Google in puncto Datenschutz in vielfacher Hinsicht unter Kritik. Nun sollen auch bei dem Tech-Riesen für die eigenen Cloud-Dienste die überarbeiteten Standarvertragsklauseln gelten. Im Zuge einer Aktualisierung der Datenschutzbedingungen habe man auch die neuen SCCs aufgenommen, teilte Google mit. Laut Google soll dies eine transparente Unterstützung der Cloud-Kunden bei der Einhaltung der geltenden europäischen Datenschutzgesetze und eine Vereinfachung der Prozesse gewährleisten.

Seitdem das sog. Privacy – Shield – Abkommen durch den Europäischen Gerichtshof mit seinem Urteil vom 16. Juli 2020 in der Rechtssache “Schrems II” aufgehoben wurde, steht fest, dass bei einer Datenübertragung in die USA aktuell keine ausreichende Sicherung und Rechtewahrung für EU-Bürger vorhanden ist. Das Gericht zeigte wiederholt auf, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act einen massenhaften Zugriff durch Sicherheitsbehörden wie die NSA oder das FBI erlauben. Der Clarifying Lawful Overseas Use of Data Act (CLOUD Act) enthält bei Vorliegen gewisser Voraussetzungen eine Verpflichtung zur Übermittlung auch außerhalb der USA gespeicherter Daten an US-Behörden. So können auch Daten europäischer Bürger ohne Weiteres in die Hände der US-Behörden gelangen, wenn diese sie bei einer amerikanischen Muttergesellschaft zB. einem Cloudanbieter herausverlangt. Dies steht allerdings im Widerspruch mit Art. 48 DSGVO und stellt europäische Unternehmen vor die Frage, ob sie Unternehmen mit Muttergesellschaft in den USA zur Auftragsverarbeitung überhaupt rechtskonform einsetzen können oder nicht zu europäischen Anbietern wechseln sollten.

Verbliebenes Instrument zum Schutz des europäischen Datenschutzniveaus sind die Standardvertragsklauseln (SCCs), die die Europäische Kommission am 04.06.2021 in neuer Version und angepasst an die erhöhten Anforderungen des “Schrems II- Urteils” veröffentlichte. Diese werden die aktuell noch gültigen SCCs, die unter der vorherigen Datenschutzrichtlinie 95/46 verabschiedet wurden, ersetzen. Die neuen SCCs legen sowohl Datenexporteuren als auch Datenimporteuren erweiterte Pflichten auf. Google ist nach Amazon Web Services und Azure von Microsoft der nächste große Cloudanbieter, der die neuen SCCs implementiert.

Bei ihrer Umsetzung könnten allerdings einige Punkte spannend werden. So ist nach Klausel 14 der Datenimporteur verpflichtet, umfangreiche Informationen bereitzustellen, durch die eine Bewertung des Risikos der Datenübermittlung im Einzelfall möglich wird. Insbesondere ist entscheidend, dass nicht nur das allgemeine Datenschutzniveau im Empfängerland bewertet wird, sondern das konkrete Schutzniveau für die konkret übertragenen Daten eingeschätzt werden muss. Das könnte bedeuten, dass – anders als bisher – Google im großen Umfang datenschutzrechtlich tätig werden und interne Prozesse offenlegen müsste.

Microsoft zieht EU-Datengrenze und verspricht damit eine Speicherung und Verarbeitung von Daten ausschließlich in der EU

7. Mai 2021

Microsoft kündigte in einem Blogbeitrag vom 6. Mai 2021 an, ab Ende 2022 personenbezogene Daten europäischer Kunden nur noch innerhalb der EU zu verarbeiten und speichern. Dies gelte, so Microsoft, für alle zentralen Cloud-Dienste von Microsoft, d.h. Azure, Microsoft 365 und Dynamics 365. Microsoft verspricht mit seinem “EU Data Boundary for the Microsoft Cloud”, d.h. einer EU-Datengrenze für seine Cloud-Lösungen, zukünftig keine Daten seiner Kunden mehr aus der EU heraus transferieren zu müssen. Das Angebot richte sich an Kunden aus dem öffentlichen Sektor und Unternehmenskunden, so der Konzern.

Damit reagiert Microsoft erneut auf das vom Europäischen Gerichtshof (EuGH) im Juli letzten Jahres ergangene Schrems-II-Urteil, dass das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat. Nach Ansicht des EuGH haben die USA kein mit der EU vergleichbares Datenschutzniveau. Begründet wird dies insbesondere damit, dass US-Geheimdienste aufgrund des US Gesetzes “Cloud Act” einen umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben.

Geplant ist laut Microsoft in den kommenden Monaten in einen engen Austausch mit seinen Kunden aber auch den Aufsichtsbehörden zu gehen, um damit den Vorschriften zum Schutz der Daten gerecht zu werden. Ob dieses Vorhaben gelingen wird, bleibt abzuwarten. Unklar bleibt auch noch, ob dadurch die Unsicherheiten bei einem Datentransfer zwischen Europa und den USA beseitigt werden kann. Zunächst ist weiterhin der Microsoft-Konzern rechtlich für die Clouddaten verantwortlich. Dies könne laut dem österreichischen Datenschutzaktivist Max Schrems nur dadurch behoben werden, “wenn eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben, erreicht würde” – so Schrems gegenüber der Deutschen Presse-Agentur.

Microsoft verweist diesbezüglich auf seine Nutzer selbst. Diese könnten bereits jetzt durch die Verwendung von kundenverwalteten Schlüsseln, die Verschlüsselung ihrer Daten selbst konfigurieren und insbesondere kontrollieren und damit vor einem unzulässigen Zugriff durch staatliche Stellen schützen.

Die Aufsichtsbehörden haben sich zu dem Plan von Microsoft noch nicht geäußert. Vielmehr haben diese erst vor kurzem eine Task-Force eingerichtet, um den Risiken bei der Nutzung von Cloud-Diensten entgegenzuwirken.

Ausschuss des EU Parlaments kritisiert Privacy Shield

14. Juni 2018

Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments hat Anfang der Woche einen Resolutionsvorschlag mit knapper Mehrheit verabschiedet, in dem die Vereinbarkeit des Privacy Shields mit europäischen Datenschutzstandards stark kritisiert wird (wir berichteten). Damit appelliert der Ausschuss an die EU Kommission den Druck auf die US-Regierung zu erhöhen.

Der Privacy Shield ist ein Übereinkommen bezüglich datenschutzrechtlicher Anforderungen im Rahmen von Datentransfer zwischen den USA und der EU. Seit 2016 ermöglicht diese Übereinkunft offiziell die datenschutzkonforme Übermittlung von Daten aus EU-Ländern in die USA. In dem Resolutionvorschlag wird die EU-Kommission dazu aufgefordert, darauf zu achten, dass US-Behörden die bereits bestehenden Bedingungen des Privacy Shields erfüllen und dass die neuen Datenschutzbestimmungen der DSGVO eingehalten werden. Ein Kritikpunkt ist, dass immer noch keine Ombudsperson seitens der USA benannt wurde, an die sich EU-Bürger im Falle von Beschwerden wenden können. Des Weiteren wird der in den USA im März verabschiedete „Cloud Act“ kritisiert, der den Zugriff von US-Behörden auf im Ausland gespeicherte Daten über bilaterale Abkommen regeln soll.

Der Ausschuss schlägt dem EU Parlament vor, die EU Kommission dazu aufzufordern den Privacy Shield zu überarbeiten und andernfalls die Übereinkunft ab dem 1. September auszusetzen.  Das EU Pralament wird voraussichtlich im Juli darüber beraten. Die finale Resolution ist für die Kommission jedoch nicht verbindlich.

US-Regierung beantragt Microsoft-Fall zu den Akten zu legen

4. April 2018

In den USA ist vor wenigen Tagen der “Cloud Act” (Clarifying Lawful Overseas Use of Data Act) durch die Unterschrift des Präsidenten Trump in Kraft getreten. Der Cloud Act regelt, dass US-Ermittler Zugriff auf Daten bekommen sollen, die auf Servern außerhalb der USA liegen. Dafür können bilaterale Abkommen geschlossen werden, die die Ermittler ermächtigen, direkt den Cloud-Anbieter zu kontaktieren.

Im Zuge dessen hat das US-Justizministerium beim US Supreme Court beantragt den dort anhängigen Fall, United States of America vs. Microsoft Corporation (New York Search Warrant Case) für erledigt zu erklären. Der Fall stammt aus dem Jahr 2013 und ist seit dem hoch umstritten.

Es geht um die Frage, ob Microsoft personenbezogene Daten, die außerhalb der USA, hier auf Servern in Irland, gespeichert sind, an US-Behörden herausgeben muss. Grundlage dafür war ein Durchsuchungsbeschluss eines Bundesbezirksgerichts in New York, der Microsoft zur Herausgabe verpflichten sollte. Dagegen klagte der Unternehmensriese. Ein Urteil war eigentlich für Juni diesen Jahres erwartet worden, jetzt könnte die Sache allerdings vor einer Entscheidung zu den Akten gelegt werden.

Der oberste Prozessvertreter der US-Regierung, Noel J. Francisco beantragte beim Supreme Court, unter Verweis auf den Cloud Act, dass die Auseinandersetzung zwischen Microsoft und den USA hinfällig ist und nicht mehr weiter verhandelt werden muss. Ein neuerlicher Durchsuchungsbeschluss, gestützt auf den Cloud Act, wurde Microsoft bereits übersandt.