Obwohl der Europäische Gerichtshof im Juli 2020 im sog. Schrems-II-Urteil das EU-US-Privacy Shield-Abkommen und somit die Rechtsgrundlage für Datentransfers in die USA für ungültig erklärt hat, nutzen nach wie vor viele europäische Unternehmen die Server von US Konzernen zur Speicherung personenbezogener Daten. Die Nutzung von US-Cloud-Diensten ist insbesondere deshalb bedenklich, da US-Geheimdienste weitreichende Zugriffsbefugnisse auf die bei den US-Unternehmen gespeicherten Daten haben. Dies gilt auch für solche Daten, die nicht in den USA, sondern in Europa gespeichert werden.
Da derzeit noch kein Nachfolger für das EU-US-Privacy Shield-Abkommen in Sicht ist, kann ein Datentransfer in die USA aktuell nur rechtskonform erfolgen, wenn die Einhaltung des angemessenen Datenschutzniveaus dadurch sichergestellt wird, dass neben dem Abschluss der EU-Standardvertragsklauseln zusätzliche Schutzmaßnahmen ergriffen werden (wir berichteten). Da diese jedoch im Rahmen des jeweiligen Auftragsverarbeitungsvertrages erst zwischen den beteiligten Unternehmern vereinbart werden müssen, bestehen hierbei oftmals praktische Schwierigkeiten, da in den meisten Fällen mit den beteiligten US-Unternehmen kein individueller Verarbeitungsvertrag geschlossen wird. Aus diesem Grund verzichten viele europäische Unternehmen auf die Vereinbarung zusätzlicher Schutzmaßnahmen, wodurch erhebliche Risiken für die betreffenden Daten entstehen.
Laut einem Bericht des Handelsblatts haben die deutschen Aufsichtsbehörden deshalb eine spezielle Task Force eingerichtet, die die Einhaltung der Vorschriften der Datenschutzgrundverordnung im Zusammenhang mit Cloud-Diensten stärker kontrollieren soll. Dabei sollen stichprobenartig bundesweit Unternehmen kontrolliert werden, bei denen der Verdacht besteht, dass sie Dienstleister aus Drittstaaten, insbesondere den USA, verwenden. Die Task Force soll dabei zunächst mit den betroffenen Unternehmen den Einsatz von US-Cloud-Diensten besprechen und – falls erforderlich – Alternativen vorschlagen wie z.B. einen Wechsel des Anbieters oder eine Aussetzung der Datenübermittlung. Sollte keine zufriedenstellende Lösung gefunden werden können, so kann laut den Datenschutzbehörden allerdings auch die Verhängung von Bußgeldern drohen.
Fazit
Es bleibt abzuwarten, wie die Datenschutzbehörden im Rahmen der Task Force zu US-Cloud-Anbietern konkret agieren werden, insbesondere inwieweit Bußgelder verhängt werden. Solange sich die Europäische Union und die Vereinigten Staaten noch nicht auf ein Nachfolgeabkommen geeinigt haben, sollten deutsche Unternehmen nach wie vor auf den Einsatz von US-Cloud-Anbietern ohne die Vereinbarung zusätzlicher Schutzmaßnahmen verzichten.