Nachdem sich der Landesbeauftragte für Datenschutz und Informationssicherheit (LfDI) Mecklenburg-Vorpommern, Heinz Müller, vor Kurzem kritisch zur Nutzung von US-Cloud-Diensten geäußert hatte (wir berichteten), machen die deutschen Aufsichtsbehörden jetzt offenbar ernst: Wie aus einem Artikel des Handelsblatts hervorgeht, wollen die Behörden Unternehmen künftig wegen der Nutzung von US-Cloud-Diensten wie Amazon, Microsoft oder Google verstärkt ins Visier nehmen. Deutschen Unternehmen drohen somit verstärkte Kontrollen wegen US-Cloud-Diensten, die zum Einsatz kommen.
„Ziel der Aktion ist die proaktive Ansprache von Unternehmen im Rahmen einer Stichprobe“ – Prof. Dr. Johannes Caspar, hamburgischer Beauftragter für Datenschutz und Informationssicherheit
Die Kontrolle der Unternehmen soll dabei unabhängig von etwaigen Beschwerden erfolgen. Auch der Landesbeauftragte für Datenschutz und Informationssicherheit (LfDI) Baden-Württemberg, Dr. Stefan Brink, sei der Ansicht, dass die Aufsichtsbehörden angesichts der „klaren Rechtslage“ einschlägige Beschwerden nicht erst abwarten müssen.
Bei einer entsprechenden Kontrolle sollen die betreffenden Unternehmen anhand von Fragenkatalogen, die aktuell von einer „Taskforce“ der Datenschutzkonferenz (DSK) der Länder und des Bundes erarbeitet werden, Auskunft über den Einsatz von US-Anbietern erteilen. In diesem Zusammenhang sollen die betroffenen Unternehmen gegenüber den Aufsichtsbehörden auch begründen, auf welcher Grundlage sie US-Anbieter einsetzen.
Hintergrund
Seit dem sog. Schrems II-Urteil, mit dem der EuGH das EU-US-Privacy Shield-Abkommen für ungültig erklärt hat, ist eine rechtskonforme Datenübertragung aus der Europäischen Union in die USA aufgrund der umfassenden Zugriffsbefugnisse der US-Behörden derzeit nicht möglich.
Fazit
Deutsche Unternehmen sollten sich darauf gefasst machen, in naher Zukunft Post von den Aufsichtsbehörden zu erhalten. Um im Bedarfsfall eine stichhaltige Begründung für den Einsatz von US-Cloud-Diensten liefern zu können, sollten die betreffenden Unternehmen den Einsatz der jeweiligen US-Anbieter nochmals einer datenschutzrechtlichen Prüfung zu unterziehen. Dies umfasst insbesondere auch die Erforderlichkeit zusätzlicher Schutzmaßnahmen, da die Behörde den Einsatz der US-Anbieter anderenfalls als unzulässig bewerten könnte, wie erst kürzlich im Fall von Mailchimp (wir berichteten) geschehen. Sollte die rechtskonforme Nutzung eines US-Cloud-Dienstes nicht möglich sein, so sollte – soweit möglich – stattdessen ein europäischer Dienstleister beauftragt werden. Darüber hinaus sollte geprüft werden, ob die durchgeführte Prüfung hinreichend dokumentiert ist. Hält die Behörde die jeweilige Begründung nämlich für unzureichend, oder kann die vorgenommene Prüfung nicht hinreichend nachgewiesen werden, können im Einzelfall hohe Bußgelder drohen.
Stand: 20.04.2021