Datenräume in den USA und von US-Anbietern für europäische Unternehmen datenschutzwidrig

Der Europäische Datenschutzausschuss, das sogenannte European Data Protection Board (edpb), hat erneut den US Privacy Shield und den CLOUD Act für datenschutzwidrig erklärt und nochmals seine Einwände begründet. Der Ausschuss ist eine unabhängige europäische Einrichtung, die zur einheitlichen Anwendung der Datenschutzvorschriften in der gesamten Europäischen Union beiträgt und die Zusammenarbeit zwischen den EU-Datenschutzbehörden fördert. Er besteht aus Vertretern der nationalen Datenschutzbehörden und den Europäischen Datenschutzbeauftragten.

Datenschutz nach der Europäischen Datenschutzgrundverordnung nicht gewährleistet

Mit dem sogenannten US Privacy Shield war es bislang möglich, personenbezogene Daten aus der EU in die USA rechtssicher zu übermitteln. Eine wichtige Voraussetzung auch für Nutzer von US-amerikanischen Datenraum-Anbietern, wenn im Zuge von Due Diligence-Geschäften sensible Daten auf Datenraum-Clouds in den USA gelegt wurden. Das Problem: Zum Zwecke der nationalen Sicherheit dürfen US-Sicherheitskräfte wahllos auf die Inhalte zugreifen. Der Datenschutz nach der Europäischen Datenschutzgrundverordnung (EU-DSGVO) ist nicht mehr gewährleistet, die Ablage von personenbezogenen Daten ein Verstoß gegen die EU-DSGVO. Das zweite Problem: Der CLOUD Act. Dabei handelt sich um ein US-amerikanisches Gesetz, das amerikanische Internet-Firmen und IT-Dienstleister verpflichtet, den Zugriff auf alle gespeicherte Daten zu gewährleisten, auch wenn die Speicherung nicht in den USA erfolgt.

Nutzung amerikanischer Datenraum-Anbieter in Deutschland datenschutzwidrig?

In der Praxis hieße dies, dass Datenräume von US-amerikanischen Anbietern in Deutschland weder mit Serverstandort USA noch Serverstandort in Deutschland gemietet oder betrieben werden können. Der edpb bemängelt erneut, dass immer noch keine konkreten Zusicherungen seitens der USA vorlägen, dass die wahllose Erhebung und der Zugriff auf personenbezogene Daten zu Zwecken der nationalen Sicherheit ausgeschlossen seien. Auf der Grundlage der bisher vorliegenden Informationen kann der edpb derzeit nicht davon ausgehen, dass die Länderbeauftragten für den Datenschutz über ausreichende Befugnisse verfügen, um Verstöße zu ahnden und zu beheben. Darüber hinaus weist das Board darauf hin, dass die Überprüfung der Einhaltung der Grundsätze des US Privacy Shield nicht stark genug seien.

Cloud Act und Privacy Shield verstoßen gegen die EU-DSGVO

Nach Ansicht der edpb hat die Überprüfung des Privacy Shield ergeben, dass die Sicherheit europäischer Daten auf US-Rechnern nicht gegeben ist. Das könnte dazu führen, dass Europäische Gerichte den Datentransfer personenbezogener Daten in die USA und die Speicherung der Daten auf Servern US-amerikanischer Cloudanbieter auch offiziell verbieten. Nach Auffassung des Ausschusses verstoßen Cloud Act und Privacy Shield gegen die EU-DSGVO und sind somit datenschutzwidrig. Der edpb hat darüber hinaus Bedenken hinsichtlich der erforderlichen Kontrollen zur Einhaltung der Anforderungen für die Weitergabe, des Bedeutungsumfangs der Personaldaten und des Rezertifizierungsprozesses sowie hinsichtlich einer Liste alter Probleme, die nach der ersten gemeinsamen Überprüfung noch nicht behoben wurden, geäußert.

Über den edpb

Im Europäische Datenschutzausschuss sind auch die Aufsichtsbehörden der EWR-/EFTA-Staaten als Mitglieder vertreten, allerdings ohne Stimmrecht und ohne das Recht, zum Vorsitzenden oder zu stellvertretenden Vorsitzenden gewählt zu werden. Der edpb gründet sich auf die Datenschutz-Grundverordnung (DSGVO) und hat seinen Sitz in Brüssel. Die Europäische Kommission sowie – im Hinblick auf Angelegenheiten in Verbindung mit der DSGVO – die EFTA-Überwachungsbehörde sind berechtigt, ohne Stimmrecht an den Beratungen und Sitzungen des Ausschusses teilzunehmen. Der edpb besteht aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB). Die Aufsichtsbehörden der EWR-/EFTA-Staaten sind im Hinblick auf Angelegenheiten in Verbindung mit der DSGVO ebenfalls Mitglied, allerdings ohne Stimmrecht und ohne das Recht, zum Vorsitzenden oder zu stellvertretenden Vorsitzenden gewählt zu werden. Der EDSA gründet sich auf die Datenschutz-Grundverordnung (DSGVO) und hat seinen Sitz in Brüssel. Die Europäische Kommission sowie – im Hinblick auf Angelegenheiten in Verbindung mit der DSGVO – die EFTA-Überwachungsbehörde sind berechtigt, ohne Stimmrecht an den Beratungen und Sitzungen des Ausschusses teilzunehmen.