Datentransfer in die US-Cloud: EuGH muss erneut entscheiden
@istock.com/PavelS - Wie rechtssicher ist der Weg persönlicher Daten über den Atlantik? Posted on von Cloud Computing | Sicherheit

Datentransfer in die US-Cloud: EuGH muss erneut entscheiden

Der rechtssichere Datenaustausch mit Cloudservern außerhalb Europas bleibt ein Problem: Ein Abkommen nach dem anderen wurde angefochten. Derzeit sind Standardvertragsklauseln der EU zur Auftragsdatenverbeitung die einzig belastbare Alternative. Doch um die wird nun auch gestritten.

Seit dem Aus des Safe-Harbour-Abkommens im Oktober 2015 übermitteln Internetfirmen wie Google, Facebook oder Amazon die Daten ihrer Nutzer über den Atlantik auf Grundlage der EU-Standardvertragsklauseln. Die juristischen Sprachregeln für Anwenderverträge erwiesen sich als praktikable Alternative zum eigentlichen Nachfolger für Safe Harbour, „Privacy Shield“, der selbst wieder gekippt wurde. Aber auch die Standardvertragsklauseln stehen nun auf dem Prüfstand.

Ein David torpedierte den Safe Harbour

Initiator der Verfahren ist der österreichische Datenschutzaktivist Max Schrems. Der dreißigjährige Jurist hatte in einem ersten Verfahren wegen der Weitergabe von Daten durch Facebook Irland die Annullierung des Safe-Harbour-Abkommens vor dem Europäischen Gerichtshof (EuGH) erstritten.

Die Nachfolgeregelung Privacy Shield brauchte zu lange, um als nahtloser Ersatz zu wirken. Viele Unternehmen wichen daher auf die vertragliche Lösung aus, nämlich ihre Datentransfers mithilfe der so genannten EU-Standardvertragsklauseln zu regeln.

Privacy Shield hat das Placet der EU-Kommission, ist aber angezählt

Inzwischen hatte die EU-Kommission dem neuen Abkommen Privacy Shield zwar bescheinigt, dass US-Unternehmen, die sich ihm unterwerfen, EU-datenschutzkonform handeln, woraufhin sich bereits viele US-Unternehmen dem Abkommen unterworfen haben.

Aber auch gegen dieses Abkommen wurden in der Zwischenzeit Nichtigkeitsklagen vor dem Gericht der Europäischen Union (EuG) eingereicht mit der Folge, dass es in letzter Instanz vom EuGH gekippt werden kann.

Bleiben also die Standardvertragsklauseln

Aber auch diese hielt Max Schrems für ungeeignet, um die Weitergabe von Daten europäischer Bürger in die USA ausreichend vor dem Zugriff staatlicher Behörden zu schützen.

Er forderte die irischen Datenschutzbehörden auf, Facebook auf Basis von Artikel 4 des Kommissionsbeschlusses zu Standardvertragsklauseln (2010/87/EU) den Datentransfer zu untersagen. Die Behörde legte den Fall dem irischen High Court vor, der wiederum leitete die Causa – wie allgemein erwartet – Anfang Oktober 2017 an den EuGH weiter. Nach Ansicht des High Court sei eine einheitliche Regelung der Datenschutzvorgaben in der Europäischen Union dringend erforderlich. Mit einem Urteil des EuGH dürfte innerhalb von zwei Jahren zu rechnen sein.

Welche Auswirkungen hat die EU-Datenschutzgrundverordnung?

Zuvor, im Mai 2018, tritt aber die Datenschutzgrundverordnung (DSGVO) in Kraft, und diese macht die Frage nach den rechtlichen Grundlagen für die internationalen Datentransfers keineswegs obsolet. Ganz im Gegenteil: Die Verordnung regelt explizit in Art.46, dass Standardvertragsklauseln ein geeignetes Mittel darstellen, um ein angemessenes Datenschutzniveau bei Datentransfers in ein unsicheres Drittland zu garantieren.

Sollte der EuGH aber ein weiteres Mal zu dem Schluss kommen, dass auch dieses Instrument die Privatsphäre der EU-Bürger nicht ausreichend schützt, stehen viele Unternehmen vor einem großen Problem. Sie können keine Server mit Standort im EU-Ausland mehr nutzen.

Es ist den Unternehmen, die regelmäßig Daten ins EU-Ausland transferieren, zu empfehlen, die aktuelle Entwicklung in diesem Fall zu verfolgen, um rechtzeitig geeignete Maßnahmen zu treffen. Letzten Endes wäre das Problem im US-Datenverkehr erst gelöst, wenn US-Firmen ihre Rechenzentren auf EU-Firmentöchter auslagern würden, die nicht dem US-Recht unterliegen und auch keinen Zugriff der US-Muttergesellschaft zulassen.

Es ist allerdings auch davon auszugehen, dass selbst bei einer negativen Entscheidung des EuGH für deutsche Unternehmen kurzfristig Alternativen bereitstehen. Denn die EU-Kommission wird in diesem Fall bestrebt sein, schnellstmöglich rechtskonforme EU-Standardvertragsklausel nachzuliefern.

Der Autor

Dr. Hans Markus Wulf Dr. Hans Markus Wulf ist Fachanwalt für IT-Recht und Partner bei SKW Schwarz in Hamburg. Als Mitglied des Fachbereiches IT & Digital Business vermittelt er Fachwissen über Technologieprojekte, digitale Medienprodukte und soziale Netzwerke und unterstützt die Mandanten beim wirksamen Einsatz dieser Themen in der Praxis. Dr. Wulf ist zugleich Geschäftsführer der SCHLUTIUS Data Privacy & Compliance GmbH, die spezialisierte Beratung zum Datenschutz bietet und für ihre Kunden externe Datenschutzbeauftragte stellt.

 

zurück zur Startseite

Kommentar

Wenn Sie die E-Mail-Adresse eingeben, die Sie bei Twitter oder Gravatar verwenden, erscheint Ihr Bild neben dem Kommentar.

mit * gekennzeichnete Felder sind Pflichtfelder. Sie erhalten zur Freischaltung ihres Kommentars eine E-Mail. Ihre E-Mail-Adresse wird nicht veröffentlicht.