Die Datenschutzkonferenz (DSK) ist ein Gremium der Aufsichtsbehörden der Bundesländer und des Bundes. Sie hat nun eine Taskforce eingerichtet, um die Kontrolle von Unternehmen zu intensivieren. Konkret soll die Nutzung von US-Cloud einem anlasslosen Prüfverfahren unterzogen werden. Es gab bereits eine Vielzahl von Beschwerden bei den Aufsichtsbehörden bzgl. der Nutzung von amerikanischen Anbietern für Software und Cloud-Produkte. Jedoch wollen die Aufsichtsbehörden nicht mehr nur aufgrund von Beschwerden tätig werden, sondern proaktiv und stichprobenartig Prüfverfahren gegen Unternehmen einleiten.

Die Taskforce stelle verschiedene Fragenkataloge auf, die den ausgewählten Unternehmen zugestellt werden. „Ziel der Aktion ist die proaktive Ansprache von Unternehmen im Rahmen einer Stichprobe“, sagte der Hamburger Datenschützer Johannes Caspar dem Handelsblatt.

Die Unternehmen müssten dadurch begründen, auf welcher Rechtsgrundlage und mit welchen Absicherungen, sie diese Dienste nutzen würden. Sofern keine zufriedenstellenden Antworten vom Unternehmen gegeben würden, können Bußgelder verhängt und die Nutzung der Dienste untersagt werden, was einen Wechsel des Softwaresystems nach sich ziehen würde. Ein solcher Wechsel kann mit enormen Kosten für die Unternehmen verbunden sein.

Welche Unternehmen bzw. Clouds sind betroffen?

Vorrangig sind alle Unternehmen betroffen, die Cloud-System einsetzen, die in den USA betrieben werden bzw. bei denen die Daten in den USA verarbeitet werden oder Daten nicht vor dem Zugriff der amerikanischen Behörden geschützt sind. Dies können beispielsweise Microsoft365, Amazon Web Service (AWS) oder auch Dienste von Google (z.B: Google-Analytics, Google Drive) sein. Auch der Einsatz von amerikanischen Videokonferenzsystemen kann hierunterfallen.

Bereits in der Vergangenheit hatten deutsche Aufsichtsbehörden diverse Videokonferenzsysteme geprüft und sind bei vielen zu dem Ergebnis gekommen, dass diese nicht den Datenschutz-Anforderungen entsprechen würden.
Auch andere Systeme wie beispielsweise Microsoft365 stehen in der ständigen Kritik der Aufsichtsbehörden.

Unternehmer stellen gerne die Frage, warum werden die deutschen Unternehmen geprüft und mit Bußgeldern belegt anstatt die Anbieter der Software hierfür verantwortlich zu machen und zu einer datenschutzfreundlichen Einstellung zu bewegen?
Grundsätzlich ist das Unternehmen für die Verarbeitung seiner Daten verantwortlich und muss sicherstellen, dass die Anforderungen des Datenschutzes umgesetzt werden. Somit dürfte eine Software oder ein Cloud-Produkt nicht eingesetzt werden, wenn es nicht den gesetzlichen Anforderungen entspricht. Der baden-württembergische Datenschutzbeauftragte Stefan Brink sprach von hohen Anforderungen für sehr viele Unternehmen, um der Rechtslage gerecht werden zu können. Auch gestand er ein: „Das gilt insbesondere für jene Bereiche, bei denen US-Anbieter eine Monopolstellung haben oder marktbeherrschend sind“. Er sehe auch die Politik in der Verantwortung ein neues Abkommen mit der USA zu erzielen.
Der hamburgische Datenschutzbeauftragte Johannes Casper mahnte zudem, es müssten in Europa Bedingungen geschaffen werden, um europäische Lösungen zu entwickeln, die mit denen in der USA konkurrieren könnten.

Was ist das Problem bei amerikanischen Clouds?

Die amerikanischen Clouds und Software as a Service sind nicht prinzipiell das Problem. Vielmehr ist das amerikanische Rechtssystem bzw. der Gesetze und Verordnungen das Problem. Es gab bereits ein Abkommen zwischen der USA und der EU zum sicheren Datentransfer in die USA. Dieses wurde durch den EuGH gekippt. Mit der heißen Nadel wurde von der EU Kommission in Verhandlungen mit der USA der Privacy Shield ausgehandelt. Auch dieser wurde vorkurzem durch den EuGH gekippt. Somit gibt es nun kein Abkommen über die sichere Datenverarbeitung in den USA und diese gilt nun aus Datenschutz-Sicht als unsicheres Drittland.

Was ist bei einem Drittlandtransfer zu beachten?

Grundsätzlich erfordert der Transfer von Daten in ein Drittland (außerhalb der EU/ des EWR) zusätzliche formale Anforderungen. Es müssen beispielsweise Garantien ausgesprochen werden, die ein Datenschutzniveau ähnlichen dem europäischen sicherstellen.

Amerikanische Anbieter können jedoch kaum solche Garantien aussprechen, weil es amerikanische Gesetze, wie beispielsweise den Patriot Act oder den Cloud Act, gibt, die es amerikanischen Bundesbehörden erlauben ohne richterliche Anordnung(!) Einsicht in Daten nehmen zu können. Dies widerspricht der europäischen Rechtsauffassung. Da der amerikanische Anbieter der Software oder der Cloud oder des Videokonferenz-Systems keine Garantie aussprechen kann, dass einer amerikanischen Behörde die Einsichtnahme von Daten verwehrt wird, ist es schwerlich möglich ein entsprechendes Datenschutz-Niveau zu realisieren.

Nun haben diverse amerikanische Anbieter die Datenverarbeitung nach Irland verlegt, damit sie innerhalb der EU agieren, um diesen Problematiken aus dem Weg zu gehen. Jedoch gibt es von Fachleuten bedenken, dass dennoch ein Zugriff der amerikanischen Behörden möglich wäre und zudem keiner sicher sein könne, dass nicht doch Daten in die USA oder ein anderes Land außerhalb der EU transferiert würden.

Was können deutsche Unternehmen machen, um sich vor einem Bußgeld zu schützen?

Zunächst sollte jedes Unternehmen, dass Daten in die USA oder ein anderes Drittland transferiert, sich durch einen Datenschutzbeauftragten beraten lassen.

Grundsätzlich sollte auf den Einsatz der oben beschriebenen Anbieter verzichtet werden und europäische Systeme eingesetzt werden.

Wir suchen immer wieder Alternativen für unsere Mandanten, die genutzt werden können. HUBIT Internet bietet diese alternativen Dienste an. Dies sind beispielsweise die HUBIT-Cloud, mit der Daten über eine verschlüsselte Verbindung ausgetauscht werden können, HUBIT-Meet – ein Videokonferenzsystem, das in Deutschland gehostet wird – oder auch HUBIT-Analyse – ein Tool zur Analyse des der Webseitenbesucher.