Cloud Computing nach Safe Harbor: Wie Cloud-Verträge ohne Safe Harbor aussehen

Dass Unternehmen in den USA Datenschutz nach EU-Recht garantieren könnten, hat der EuGH deutlich verneint, als er die Safe-Harbor-Grundsätze kippte. Jetzt ist es höchste Zeit, dass der Mittelstand seine Cloud-Dienste durch einen schriftlichen (!) Auftrag zur Auftragsdatenverarbeitung legalisiert.

Der EU sind die USA als Datenstandort zu unsicher

Von Dirk Bongardt

Kein sicherer Hafen in den USA: Das Urteil des Europäischen Gerichtshofs vom 6. Oktober 2015 hat für erhebliche Verunsicherung gesorgt. Adobe Creative Cloud, Google Drive und Dropbox werden europaweit von Millionen genutzt – auch im Mittelstand. Ist die Nutzung dieser Dienste ab sofort tabu? Womit müssen Unternehmen rechnen, wenn sie den regen Datenaustausch mit den USA nicht stoppen? Und wie ließe sich das überhaupt bewerkstelligen?

Welchen Zweck hatte die Safe-Harbor-Regelung?

Das Bundesdatenschutzgesetz verbietet es Unternehmen, personenbezogene Daten ohne Einverständnis der Betroffenen an Dritte weiterzugeben, es sei denn, es hat mit diesen Dritten einen „Auftragsdatenverarbeitungsvertrag“ gemäß § 11 BDSG geschlossen, in dem sich diese verpflichten, die Daten nicht für andere Zwecke zu nutzen und hinreichende technische und organisatorische Maßnahmen zu treffen, um die Daten zu schützen. Solche Verträge können nicht nur mit Unternehmen getroffen werden, die in der EU ansässig sind, sondern auch mit solchen getroffen, die die Daten in einem Land mit hinreichendem Datenschutzniveau verarbeiten.

Bitte beachten Sie: Die nationalen Datenschutzgesetze in der EU, also auch das BDSG, wurden zum 25. Mai 2018 durch die Bestimmungen der EU-Datenschutz-Grundverordnung ersetzt.

Die USA sind kein solches Land. Der Safe-Harbor-Beschluss 2000/520/EG ermöglichte es US-Unternehmen jedoch, sich zur Einhaltung der in der EU geltenden Datenschutzregeln zu verpflichten und auf einer Safe-Harbor-Liste einzutragen. Mit solchen US-Unternehmen durften in der EU ansässige Unternehmen dann ebenfalls Auftragsdatenverarbeitungsverträge abschließen.

Was ändert sich mit dem EuGH-Urteil?

Der Europäische Gerichtshof hatte sich mit der Beschwerde des Österreichers Max Schrems zu befassen, der – eigentlich – gegen die Datenschutzpraxis von Facebook zu Felde gezogen war. Facebook hat indes nie eine Safe-Harbor-Erklärung abgegeben und sieht sich deshalb von diesem Urteil nicht betroffen – vermutlich wider besseres Wissen. Die Richter rügen nämlich nicht nur die von der EU-Kommission geschaffene Safe-Harbor-Regelung, sondern erklären auch „dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, den Wesensgehalt des Grundrechts auf Achtung des Privatlebens verletzt.“ Damit sind im Besonderen die Regeln und Gesetze gemeint, die es US-Behörden gestatten, sich aus den Datenschätzen der dort beheimateten Internet-Dienste nach eigenem Ermessen zu bedienen. Und nach diesen Regeln muss auch Facebook spielen, Safe Harbor hin oder her. Rechtsanwalt Christian Solmecke interpretiert das Urteil entsprechend:

„Solange die US-Nachrichtendienste die Befugnis haben auf die Daten der EU-Bürger jederzeit zuzugreifen, ist der Datenschutz nach EU-Grundsätzen nicht gewährleistet. Einzig, wenn jeder einzelne Bürger sich mit dieser Praxis einverstanden erklärt, könnte ein wirksamer Datenschutz erzielt werden.“

Keine Cloud ohne Auftragsdatenverarbeitung

In der Unternehmenspraxis müsste es wohl nicht jeder einzelne EU-Bürger sein, aber immerhin jeder einzelne Kunde, Geschäftspartner, Interessent oder sonstiger Kontakt, dessen Daten an einen in den USA stehenden Server übertragen werden – bis hin zum Besucher der Website, wenn die Seitennutzung z.B. mithilfe von Google Analytics protokolliert würde.

Rechtsanwalt Thomas Schwenke konfrontiert besorgte Verantwortliche mit der Feststellung: „Für die meisten von Ihnen wird es sich jedoch kaum auswirken, da Sie auch vorher rechtswidrig gehandelt haben.“ Konkret stellt Schwenke darauf ab, dass viele EU-Unternehmen mit den US-Firmen, deren Dienste sie in Anspruch nehmen, ohnehin keine Verträge über eine Auftragsdatenverarbeitung geschlossen hatten:

„Das heißt, wenn Sie Social Plugins auf Ihrer Website einsetzen, Analysewerkzeuge aus den USA verwenden, Kundendaten in der Dropbox lagern oder Workflows Ihrer Mitarbeiter mit US-Tools optimieren, handelten Sie ohnehin in den meisten Fällen rechtswidrig und müssen sich nun überlegen, ob Sie wie bisher weiter machen wollen.“

Schonfrist bis Ende 2015 – außer bei Klage

Marit Hansen, Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, das seit Langem auf eine Überprüfung von Safe Harbor gedrängt hatte, verweist ebenfalls auf die grundsätzliche Bedeutung des Urteils:

„Unternehmen in Schleswig-Holstein, die personenbezogene Daten in die USA übermitteln, sollten ihre Verfahren schnellstmöglich überprüfen und Alternativen für eine Verarbeitung personenbezogener Daten in den USA erwägen. Dies gilt nicht nur für solche Übermittlungen, die sich bisher auf die Safe-Harbor-Grundsätze gestützt haben, sondern für sämtliche Übermittlungen in die USA.“

Die deutschen Datenschutzaufsichtsbehörden haben sich darauf verständigt, bis Ende Januar 2016 darüber zu entscheiden, ob die EU-Standardvertragsklauseln sowie die Binding Corporate Rules hinfällig sind. Bis dahin wollen sie gegen Unternehmen nicht gemeinsam vorgehen. Auf diese Schonfrist können sich Unternehmen allerdings unter Umständen nicht verlassen: Wenn Kunden oder Mitarbeiter sich bei den Aufsichtsbehörden beschweren – und das tun durchaus nicht wenige – dann werden die Behörden bereits jetzt aktiv.

Praktischer Tipp: Cloud-Dienste rechtssicher machen

  • Nutzen Sie Dienste, die in der EU beheimatet sind, oder US-Dienste, die eine Datenverarbeitung in der EU anbieten.
  • Schließen Sie Auftragsdatenverarbeitungsverträge mit allen Unternehmen, die in Ihrem Auftrag personenbezogene Daten verarbeiten! (Eine Mustervereinbarung gibt es im Datenschutz-Wiki des BfDI, die Anbieter haben aber in aller Regel eigene Vorlagen.)
  • Erläutern Sie in Ihrer Datenschutzerklärung detailliert, welche Daten Sie erheben, wie und wie lange Sie diese speichern und zu welchen Zwecken!
  • Holen Sie, wann immer realisierbar, das Einverständnis der Betroffenen ein – im Idealfall per Double-Opt-in – und bieten Sie eine einfache Möglichkeit, dieses Einverständnis zu widerrufen!

Judicial Redress Act: Gerichtsweg nach Wetterlage

Nach der ersten Enttäuschung über das Urteil (das allerdings schon lange abzusehen war) hat das US-Repräsentantenhaus pragmatisch reagiert: Mit dem Judicial Redress Act of 2015 hat der Kongress ein Gesetz vorgelegt, das Europäern das Recht einräumt, gegen Datenschutzverletzungen durch US-Behörden zu klagen. Unter europäischen Experten herrscht allerdings weitgehende Einigkeit darüber, dass es sich dabei um ein ziemlich stumpfes Schwert handelt: Die Entscheidung, welche Länder unter das Gesetz fallen, bleibt US-Ministerien vorbehalten – und die können diese Entscheidung auch jederzeit wieder revidieren. Dass US-Behörden wegen Datenschutzverstößen auf Basis dieses Gesetzes künftig in ernsthafte Bedrängnis geraten, ist deshalb nicht zu erwarten.

Ob die USA zu weiteren Zugeständnissen bereit sind, wird allgemein bezweifelt. Rechtsanwalt Christian Solmecke ist überzeugt, „dass der US Patriot Act – das Gesetz, das letztlich das Safe-Harbor-Abkommen unterlief – nicht außer Kraft gesetzt werden wird.“ Sieht man sich den genannten Judicial Redress Act genauer an, bestätigt das seine Einschätzung.

Fazit: Die USA bestehen auf Zugriff

Jahrelang hat sich der vorsichtige Mittelstand anhören müssen, dass er die Vorteile der Cloud nicht richtig begreife. Cloud-Services haben zwar unbestreitbare Vorteile, gerade für kleine und mittlere Unternehmen, aber das EuGH-Urteil hat gezeigt, dass die Sicherheitsbedenken nicht grundlos waren. Das sind sie auch weiterhin nicht.

Erstens gibt es keinen guten Grund anzunehmen, dass der nächste Beschluss der EU-Kommission vernünftiger ist. Zweitens zeichnet sich ab, dass sich das Problem des pauschalen Zugriffs durch US-Behörden auf die nächste Ebene verschiebt: Microsoft z.B. kämpft seit Ende 2013 gegen einen Beschluss gemäß dem Stored Communications Act auf die Herausgabe von E-Mail-Verkehr, der auf Servern in Dublin, also innerhalb der EU, gespeichert ist. Das Kernargument der New Yorker Richter: Microsoft ist ein Unternehmen mit Sitz in Redmond/USA, daher können US-Strafverfolger die Herausgabe der Daten verlangen. Wo Microsoft die Daten gespeichert habe, sei unbedeutend, entscheidend sei, dass Microsoft selbst aus den USA darauf Zugriff habe. Die Unternehmensanwälte haben bereits mit den möglichen wirtschaftspolitischen Folgen argumentiert und auf die „risks to U.S. industry and U.S.-EU relations“ hingewiesen. Wann über den Vollstreckungsbefehl und den Einspruch dagegen entschieden sein wird, ist momentan noch offen.

Dirk Bongardt-Quadrat.jpg

Dirk Bongardt hat vor Beginn seiner journalistischen Laufbahn zehn Jahre Erfahrung in verschiedenen Funktionen in Vertriebsabteilungen industrieller und mittelständischer Unternehmen gesammelt. Seit 2000 arbeitet er als freier Autor. Sein thematischer Schwerpunkt liegt auf praxisnahen Informationen rund um Gegenwarts- und Zukunftstechnologien, vorwiegend in den Bereichen Mobile und IT.


Dirk Bongardt, Tel.: 05262-6400216, mail@dirk-bongardt.de, netknowhow.de

Nützliche Links