Schlagwort: transatlantischer Datentransfer

Drittstaatenübermittlung: Risiken bei der Nutzung von US-Cloud Anbietern – Datenschutzbehörden richten Task Force ein

17. Februar 2021

Immer wieder verlagern europäische Firmen ihre Daten auf die Server von US Konzernen und das obwohl der Europäische Gerichtshof im Juli letzten Jahres in dem sogenannten Schrems-II-Urteil das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat.

Problematisch an diesem Datentransfer und einer Zusammenarbeit mit US-Cloud-Diensten ist insbesondere, dass US-Geheimdienste einen umfangreichen Zugriff auf die bei den amerikanischen Unternehmen gespeicherten Daten haben – und dass auch dann, wenn die Daten in Europa gespeichert werden.

Derzeit ist ein Datentransfer daher nur dann datenschutzrechtlich unbedenklich, solange die beteiligten Unternehmen alternative Lösungen zur Aufrechterhaltung eines angemessenen Datenschutzniveaus verwenden, wie zum Beispiel EU-Standardvertragsklauseln nebst zusätzlicher Garantien. Diese müssen jedoch – im Gegensatz zu einem Transferabkommen – für jeden Verarbeitungsvertrag separat ausgehandelt werden. Dies ist nicht nur aufwendig, sondern in der Praxis auch nur schwer umsetzbar, da in den meisten Fällen mit Amazon, Microsoft oder Google kein individueller Verarbeitungsvertrag geschlossen wird. Aus diesem Grund wünschen sich sowohl Datenschützer als auch die Industrie ein neues Abkommen.

Ein solches ist bislang noch nicht in Sicht. Daher setzen zahlreiche deutsche Unternehmen weiter auf die Lösungen von US-Cloud-Anbietern oder steigen gerade erst auf diese um, statt sich von ihnen zu lösen.

Die deutschen Aufsichtsbehörden wollen nun härter durchgreifen und die Einhaltung der Bestimmungen der Datenschutzgrundverordnung stärker kontrollieren.

Wie das Handelsblatt berichtete, haben die Aufsichtsbehörden zur Cloud-Problematik eine spezielle Task Force eingerichtet. Dabei wollen sie stichprobenartig bundesweit Unternehmen auswählen, bei denen die Vermutung besteht, dass sie Dienstleister aus Drittstaaten verwenden. Die Task Force soll mit deutschen Unternehmen den Einsatz von US-Cloud-Diensten besprechen und gegebenenfalls Alternativen vorschlagen wie z.B. einen Wechsel des Anbieters oder eine Aussetzung der Datenübermittlung. Aber auch die Verhängung von Bußgeldern ist laut den Datenschutzbehörden dann angezeigt, wenn keine zufriedenstellende Lösung gefunden werden kann. Diese können bis zu 20 Mio. Euro betragen oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes.

Es bleibt daher abzuwarten, wie die Datenschutzbehörden im Rahmen ihrer Task Force vorgehen werden, welche Bußgelder verhängt werden und ab wann eine europäische Lösung für die Frage der Drittsaatenübermittlung gefunden wird.

EU-Kommission zögert beim Privacy Shield

25. Mai 2016

Der Nachfolger des Safe Harbor Abkommens, das EU-US Privacy Shield, hat von dem zuständigen Ausschluss der EU-Kommission nicht die erforderliche Angemessenheit bescheinigt bekommen.

Die Entscheidung über die Angemessenheit des Privacy Shields ist ein EU-interner Schritt im Gesetzgebungsverfahren des transatlantischen Abkommens. Mit der Bescheinigung der Angemessenheit soll erreicht werden, dass personenbezogene Daten von Europäern in den USA mit einem ausreichenden Schutzniveau verarbeitet und gespeichert werden. Die Ausschussmitglieder sehen jedoch noch Nachbesserungsbedarf. Insbesondere durch die umfassende Datenüberwachung der NSA wird in das Recht auf informationelle Selbstbestimmung unverhältnismäßig stark eingegriffen.

Das EU-US Privacy Shield, welches als den Datentransfern zwischen der EU und den USA regeln und legitimieren soll, wurde von Anfang an von Datenschützern stark kritisiert.

Nachdem nun die Angemessenheitsentscheidung nicht erteilt wurde, zeichnet sich einmal mehr ab, dass auch das EU-US Privacy Shield von dem EuGH überprüft werden wird.