Die Folgen des Schrems II-Urteils für Datenübertragungen in die USA (wir berichteten) beschäftigen nach wie vor die Aufsichtsbehörden. In einer kürzlich veröffentlichten Stellungnahme bewertet der Landesbeauftragte für Datenschutz und Informationssicherheit Mecklenburg-Vorpommern, Heinz Müller, die Nutzung von US-Cloud-Diensten weiterhin kritisch.
„Eine Vielzahl der in diesem Land genutzten Betriebssysteme, Büro-Anwendungen oder auch Videokonferenzlösungen lässt sich nicht betreiben, ohne dass personenbezogene Daten an Dritte abfließen. Für diese Datenabflüsse gibt es keine hinreichende Rechtsgrundlage.“
Bereits im Juli 2020 habe der Europäische Gerichtshof (EuGH) in seinem Urteil zum so genannten Privacy Shield eine wesentliche Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA für unwirksam erklärt. „Betroffen sind davon unter anderem Produkte der Firma Microsoft“, sagt Müller. Eine rechtskonforme Nutzung dieser Produkte allein auf der Basis von Standarddatenschutzklauseln sei aber aufgrund der vom EuGH aufgestellten Grundsätze nicht möglich. Ohne weitere Sicherungsmaßnahmen würden personenbezogene Daten an Server mit Standort in den USA übermittelt. Dort sähen diverse Vorschriften die Herausgabe der Daten an Behörden und Geheimdienste vor, ohne dass den Betroffenen hinreichende Rechtsschutzmöglichkeiten zur Verfügung stünden.
Kann die Übermittlung personenbezogener Daten nicht unterbunden werden oder ist sie für die Nutzung einer Anwendung oder eines Dienstes funktionsnotwendig, so ist nach Ansicht des Landesdatenschutzbeauftragten durch geeignete Maßnahmen sicherzustellen, dass entweder der Personenbezug aufgelöst (z.B. durch Anonymisierung) oder die Daten nach dem Stand der Technik verschlüsselt werden. Wenn das nicht geht, ist die Verarbeitung einzustellen oder ein alternatives Produkt einzusetzen, welches die Anforderungen der Datenschutz-Grundverordnung erfüllt.
„Das mag für viele nun überraschend kommen, aber die Probleme, vor denen wir stehen, sind seit langem bekannt. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder hat schon im Jahr 2015 auf die Gefahren hingewiesen, die sich aus dem zunehmenden Angebot cloudgestützter Betriebssysteme und Anwendungen ergeben. Da sich die großen Anbieter in dieser Hinsicht nicht zu bewegen scheinen, bleibt letztlich nur der Rückgriff auf Open-Source-Produkte, um den Datenschutz […] zu wahren.“
Fazit
Die aktuelle Situation ist für Nutzer von US-Cloud-Diensten nach wie vor unbefriedigend, da noch immer keine Lösung des Problems in Sicht ist. Aus datenschutzrechtlicher Sicht ist die Nutzung von US-Cloud-Diensten weiterhin kritisch zu sehen. Sollte eine Verschlüsselung oder die Anonymisierung der betreffenden Daten nicht möglich sein, so sollte nach wie vor auf den Einsatz derartiger Produkte verzichtet werden.
Stand: 23.03.2021