Datenschutz-Folgeabschätzung bei der Nutzung von US-Cloud-Diensten

Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Bremen Frau Dr. Imke Sommer veröffentlichte am 06.04.2021 eine neue Blacklist für Datenschutz-Folgeabschätzungen im Sinne des Art. 35 Abs. 4 DSGVO. Die Behörde hält darin eine Datenschutz-Folgeabschätzung bei der Nutzung von US-Cloud-Diensten für erforderlich.

Hintergrund

Gemäß Art. 35 Abs. 4 Satz 1 DSGVO veröffentlichen die Aufsichtsbehörden Listen der Verarbeitungsvorgänge, für die eine Datenschutz-Folgeabschätzung (DS-FA) zwingend durchzuführen ist (sog. Blacklist). Viele Aufsichtsbehörden, ebenso wie die Datenschutzkonferenz des Bundes und der Länder (DSK), hatten deshalb bereits unmittelbar nach Einführung der DSGVO im Jahr 2018 solche Blacklists erstellt. Die bremische Aufsichtsbehörde hatte bislang lediglich eine Liste für den nicht-öffentlichen Bereich vorgelegt. Für den öffentlichen Bereich holte sie dies nun nach.

DS-FA bei US-Cloud-Diensten

Zwar deckt sich die nun veröffentlichte Liste in vielen Punkten mit bereits vorhandenen Listen anderer Aufsichtsbehörden und der DSK, allerdings werden auch mehrere aktuelle Themen angesprochen, die bei den anderen Listen aufgrund ihres Alters bislang keine Erwähnung fanden. Hierzu gehört insbesondere die Nutzung von US-Cloud-Diensten.

Die einschlägige Verarbeitungstätigkeit, für die eine DS-FA stets erforderlich ist, wird in Ziffer 6 der Liste – zugegeben etwas umständlich – wie folgt definiert:

Verarbeitung von Daten gemäß Artikel 9 Absatz 1 und 10 DSGVO und von anderen Daten, die dem Sozial-, einem Berufs-oder besonderen Amtsgeheimnis unterliegen, durch Auftragsverarbeiter, denen von einem Gericht oder einer Verwaltungsbehörde eines Drittlands die Pflicht auferlegt werden kann, diese Daten zu übermitteln oder offenzulegen, ohne dass eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat besteht, da die auferlegte Pflicht zur Offenlegung gemäß Artikel 48 DSGVO nicht anerkannt werden darf .

Zieht man die Beschreibung der typischen Einsatzfelder hinzu, wird deutlicher, was gemeint ist:

Verarbeitung von Sozial- oder Gesundheitsdaten in der Cloud eines Drittlandes ohne Gewährleistung von Artikel 48 DSGVO. Nutzen von cloudbasierten Diensten im Rahmen der Verarbeitung von Sozial-oder Gesundheitsdaten ohne Gewährleistung von Artikel 48 DSGVO.

Die Ziffer 6 der Liste zielt somit auf den Einsatz von Auftragnehmern ab, die sensible Daten verarbeiten und drittstaatliche Gerichte oder Behörden die Offenlegung der betreffenden Daten anordnen können. Diese Konstellation liegt insbesondere bei Datenübertragungen an US-Dienstleister vor, da US-Behörden umfassende Zugriffsbefugnisse auf deren Daten haben. Der Europäische Gerichtshof (EuGH) hatte deshalb im sog. Schrems II-Urteil Datenübertragungen in die USA nur dann als datenschutzkonform angesehen, wenn geeignete zusätzliche Schutzmaßnahmen ergriffen werden (wir berichteten).

Zu beachten ist hierbei auch, dass nicht nur die in den USA befindlichen Daten der US-Unternehmen von den behördlichen Zugriffsbefugnissen betroffen sind, sondern auch solche, die außerhalb der USA, beispielsweise auf europäischen Servern liegen. Aufgrund des sog. CLOUD-Acts können somit auch europäische Tochterunternehmen zur Herausgabe verpflichtet werden.

Sobald ein US-Dienstleister – sei es als direkter Vertragspartner oder Subunternehmer – mit der Verarbeitung von sensiblen Daten beauftragt werden soll, ist demnach eine Datenschutz-Folgeabschätzung erforderlich.

Fazit

Zwar ist die nun veröffentlichte Blacklist ausdrücklich für den öffentlichen Bereich bestimmt, jedoch verdeutlicht sie dennoch, die Ansicht der LfDI Bremen, dass eine Datenschutz-Folgeabschätzung bei der Nutzung von US-Cloud-Diensten (derzeit) erforderlich ist. Dieser Umstand spielt demnach auch für nicht-öffentliche Unternehmen ein Rolle. Vor dem Einsatz eines US-Dienstleisters für die Verarbeitung von Sozial- oder Gesundheitsdaten sollte demnach zwingend eine Datenschutz-Folgeabschätzung durchgeführt werden.

Stand: 28.04.2021