Die europäische Datenschutzgrundverordnung (DSGVO) und der amerikanische CLOUD Act stehen sich gegenüber. Welche grundsätzlichen Pflichten haben Anbieter in Europa einerseits und in den USA andererseits zu erfüllen und welches Konfliktpotenzial bringt dies mit sich?
Dies ist der zweite Teil unserer Beitragsreihe zum Thema Datenschutz bei Cloud-Hosting-Anbietern in den USA und Europa. Hier geht es zu Teil 1.
I. Rechtliche Pflichten von Cloud-Hosting-Anbietern in Europa
Speisen Nutzer von Cloud-Hosting-Diensten personenbezogene Daten in die Cloud ein, sind sie nach der DSGVO weiterhin eigenständig für den Schutz dieser Daten verantwortlich und so grundsätzlich selbst gehalten, alle notwendigen Datenschutz- und Datensicherheitsmaßnahmen zu garantieren.
Cloud-Anbieter werden in Europa hinsichtlich der eingespeisten Daten nur als sogenannte Auftragsverarbeiter tätig, die bestimmte Datenverarbeitungen (etwa das Speichern, Kategorisieren und Bereithalten der Daten) weisungsgebunden für ihre Kunden übernehmen.
Datenverantwortliche dürfen gemäß Art. 28 DSGVO nur mit solchen Auftragsverarbeitern zusammenarbeiten, welche geeignete technische und organisatorische Maßnahmen für die Datensicherheit bereithalten. Daher sind Cloud-Anbieter stets verpflichtet, den typischen Risiken von cloud-basierten Datenverarbeitungen wirksam zu begegnen.
Dies erfordert die Einrichtung wirksamer Maßnahmen zur Verhinderung von:
- Datenverlust und Datenmanipulation
- Identitätsdiebstählen
- Unberechtigten Drittzugriffen
- Schutzlücken wegen vorübergehender Nichtverfügbarkeit
Auf technischer Seite müssen Cloud-Anbieter dafür insbesondere hinreichende Verschlüsselungs- und Anonymisierungsoptionen sowie Back-Up-Lösungen anbieten.
Gleichzeitig müssen Cloud-Anbieter sicherstellen, dass Kunden Ihre Kontrollrechte als Datenverantwortliche wahrnehmen können. Da eine Vor-Ort-Kontrolle oftmals nicht möglich ist, sind hier einsehbare Protokolle zum Datenmonitoring vorzuhalten, über welche Kunden Zugriff auf ihre Datenbestände erhalten und diese gegebenenfalls verändern können.
Zusätzlich ist über technische Wege zu gewährleisten, dass Kunden auf Antrag Betroffenenrechte umsetzen können. Betroffene, auch Datensubjekte genannt, sind Personen, deren personenbezogene Daten verarbeitet werden. Betroffene haben das Recht auf Datenauskünfte, Datenlöschungen, Datenberichtigungen und schließlich auch auf Datenübertragung im Falle eines Anbieterwechsels. Diese Abläufe muss der Cloud-Anbieter technisch ermöglichen.
Beachtet werden muss auch, dass es Cloud-Anbietern gemäß Art. 28 Abs. 2 DSGVO gesetzlich untersagt ist, ohne vorherige schriftliche Genehmigung mit weiteren Sub-Dienstleistern zusammenzuarbeiten, die mit eingespeisten Daten in Berührung kommen könnten.
Schließlich müssen Kunden nach Beendigung des Vertrages mit dem Cloud-Anbieter die Möglichkeit erhalten, eingebrachte Datensätze unwiederbringlich entfernen zu lassen und insbesondere eine Weiterverfügbarkeit sowie Zugriffsmöglichkeiten des Anbieters zu verhindern. Hier sind dem Kunden technische Maßnahmen zur Verfügung zu stellen, mit denen alle von ihm eingespeisten Daten nach seiner Wahl entweder gelöscht oder ihm zurückgegeben werden und vorhandene Kopien unwiederbringlich vernichtet werden.
In rechtlicher Hinsicht sind all diese Umstände spätestens im Zeitpunkt der erstmaligen Beanspruchung des Cloud-Hostings zu regeln. Dazu ist zwischen dem Cloud-Anbieter und jedem einzelnen Kunden ein spezifischer, verpflichtender „Vertrag über die Auftragsdatenverarbeitung“ abzuschließen.
Eine Besonderheit ist abschließend zu beachten, wenn Daten aus der Cloud außerhalb des Europäischen Wirtschaftsraums gespeichert oder dorthin vom Anbieter übermittelt werden. Dies ist nicht ohne weiteres möglich, sondern bedarf einer ausdrücklichen Rechtsgrundlage für jedes Drittland. Für Datenübermittlungen in die USA ist etwa eine Zertifizierung des Anbieters im US-EU-Privacy Shield erforderlich, welche das Einhalten des europäischen Datenschutzniveaus in den USA gewährleistet. Daneben bestehen für manche Drittländer sogenannte Angemessenheitsbeschlüsse der EU-Kommission. Schließlich können Datentransfers ins außereuropäische Ausland auch über die Unterzeichnung von Standardvertragsklauseln gerechtfertigt werden. Diese werden von der EU-Kommission bereitgestellt.
II. Konfliktpotenzial: Rechtliche Pflichten von Cloud-Hosting-Anbietern in den USA
In den USA existieren keine einheitlichen gesetzlichen Datenschutzstandards für Cloud-Anbieter. Vielmehr können Unternehmen im Bereich des Cloud-Hostings weitgehend selbst festlegen, inwieweit sie datenschutzrechtlichen Bedenken ihrer Kunden begegnen wollen (sog. Compliance). Dies hat vor allem Auswirkungen auf die Übermittlung von cloud-basierten Daten von Europa aus in die USA, weil hier gemäß der DSGVO zu gewährleisten ist, dass das europäische Datenschutzrecht mit all seinen Facetten (etwa der Abschluss eines Auftragsverarbeitungsvertrages mit dem amerikanischen Cloud-Anbieter) eingehalten wird.
Im März 2018 ist mit einem neuen US-amerikanischen Rechtsakt ein weiteres Problem für US-amerikanische Cloud-Anbieter hinzugekommen. Unter der Regierung von Donald Trump wurde der sogenannte CLOUD Act erlassen, der unter anderem Cloud-Anbieter zur weitgehenden Offenlegung von Daten (personenbezogene Daten sowie Wirtschaftsinformationen und Telemetriedaten) gegenüber US-Behörden verpflichtet. Nach dem Gesetz sind US-Unternehmen, die Daten im Ausland verarbeiten, immer dem US-Recht unterworfen und infolgedessen dazu verpflichtet, die in ihrer Obhut befindlichen Daten den US-Behörden auf Anfrage offenzulegen. Die Notwendigkeit eines Gerichtsbeschlusses besteht hier nicht.
Diese Rechtspflicht von Cloud-Anbietern steht seitdem in einem unlösbaren Widerspruch zur DSGVO. Deren Art. 48 verbietet nämlich die Übermittlung von personenbezogenen Daten an Behörden eines Drittlandes, solange kein Rechtshilfeabkommen mit dem Drittland besteht. Ein solches ist mit den USA nie abgeschlossen worden und wird bislang auch nicht verhandelt.
US-Cloudanbieter, die auch Europäer zu ihren Kunden zählen, stehen damit vor einem Dilemma: Entweder sie verstoßen mit dem Nachkommen der Übermittlungsaufforderung einer US-Behörde gegen die DSGVO und setzen sich damit der Gefahr empfindlicher Bußgelder aus, oder sie widersetzen sich der behördlichen Aufforderungen und akzeptieren die Konsequenzen nach US-Recht.
Um diesem Dilemma zu entgehen, wird zwar teilweise eine vollständige Datenverschlüsselung von personenbezogenen Daten bei der Übermittlung an US-Behörden vorgeschlagen. US-Behörden sind allerdings nach dem CLOUD Act befugt, Datensätze auch in unverschlüsselter Form anzufordern oder diese selbst zu entschlüsseln.
Dieser Beitrag enstand in Zusammenarbeit mit der IT-Recht Kanzlei München. Es folgt:
Teil 3: Rechte der Kunden (natürliche Personen) nach US-Recht, Europäischem Recht und deutschem Recht
Sie können erst kommentieren, wenn Sie unseren Datenschutzbestimmungen und den Cookies zugestimmt haben. Aus Datenschutzrechtlichen Gründen dürfen wir andernfalls keine personenbezogenen Daten von Ihnen aufzeichnen.
Klicken Sie dazu einfach unten im Browser Fenster auf den blauen Button Akzeptieren. Nach dem Neuladen der Seite können Sie Ihr Kommentar schreiben.