Die Rolle des Cloud-Standorts für den Datenschutz



  • Nach dem Aus von Privacy Shield wird nun besonders auf den „Cloud-Standort“ geschaut. Doch reicht es eigentlich, wenn das Datacenter in der EU ist und scheinbar alle Datenschutzvorgaben eingehalten werden? Sind damit alle Datenübermittlungen in die USA, für die es keine Rechtsgrundlage gibt, ausgeschlossen?

    Klicken sie hier um den Artikel zu lesen



  • @admin Der Artikel hätte mehr auf die Begründung des EuGH eingehen müssen, warum das Privacy Shield nicht mehr gültig ist ... und dass dies ohne Übergangsfristen sofort gilt !
    Der wesentliche Punkt gegen einen rechtssicheren Datenexport zu den amerikanischen Cloud- und SaaS-Anbietern war, dass u.a. der US CLOUD Act nahezu beliebigen Zugriff amerikanischer Behörden (ohne richterlichen Beschluss und Kenntnis- oder Widerspruchsrecht des Datenexporteurs) auf europäische Rechenzentren erlaubt und damit auf die Daten unserer Bürger. Europäische Rechenzentrumsstandorte genügen also nicht. Auch die intransparente Übermittlung und Auswertung von Daten von europäischen RZ-Standorten in amerikanische Systeme bleibt ein ernstzunehmendes Problem ...
    Ausreden gibt es dabei nicht wirklich viele. Europäische Anbieter können den Bedarf decken und bieten Alternativen. Die Begründung an die Datenschutzbehörden, warum amerikanische Services tatsächlich und unbedingt benötigt werden, fällt da schwer und genügt eventuell den gesetzlichen Anforderungen nicht.
    Diese (Haftungs-) Risiken hätten durchaus näher ausgeführt werden können.



  • Hallo Herr Baumhaus, die Folgen des Cloud Act waren nicht die Begründung des EuGH. Vielmehr sagt der EuGH doch folgendes: dass die von der Kommission im Privacy-Shield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Behörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in dieses Drittland übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt sind, dass damit Anforderungen erfüllt würden, die den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Anforderungen der Sache nach gleichwertig wären, da die auf die amerikanischen Rechtsvorschriften gestützten Überwachungsprogramme nicht auf das zwingend erforderliche Maß beschränkt sind. (https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091de.pdf) Vielmehr sagt zum Beispiel der IAPP: Consequently, the Court of Justice of the European Union may have missed an opportunity to examine the impact of the CLOUD Act in its adequacy determination. (https://iapp.org/news/a/schrems-ii-requires-a-rethink-of-the-cloud-act/) Sie finden die Begründung des EuGH auch beim Europäischen Datenschutzausschuss: Der Gerichtshof vertrat die Auffassung, dass die Anforderungen des innerstaatlichen Rechts der USA und insbesondere bestimmter Programme, die den Zugriff aus Gründen der nationalen Sicherheit durch Behörden der USA zu personenbezogenen Daten ermöglichen, die aus der EU in die USA übermittelt werden, zu Einschränkungen des Schutzes personenbezogener Daten führen, die nicht in einer Weise beschränkt sind, dass sie den Anforderungen des EU-Rechts im Wesentlichen gleichwertig sind‚ und dass diese Rechtsvorschriften den betroffenen Personen keine Rechte einräumen, die gegen die US-Behörden gerichtlich geltend gemacht werden können (https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_faqs_schrems_ii_202007_adopted_de.pdf). Schöne Grüße!



  • @oliver-schonschek
    Guten Morgen Herr Schonscheck,
    danke für die ausführliche Antwort, aber zusammengefasst ist das Problem durch Cloud Act und vorherige Acts, dass die Zugriffshürden für amerikanische Behörden zu niedrig sind und dem Dateninhaber sämtliche Rechte vorenthalten werden, die innerhalb der EU gelten (DSGVO).
    Da die Rechtsnormen der USA auch Zugriff auf Daten außerhalb der USA erlauben, sind amerikanische Hyperscaler prinzipiell betroffen - egal, wo die Daten (vermeintlich) tatsächlich liegen.
    Ein wichtiger Nebenaspekt dabei ist, dass Sie mangels Kenntnis über den Datenabfluss die Fristen aus der DSGVO nicht einhalten können, also immer latent Bußgeld-gefährdet sind. Überhaupt ist die Rechtsunsicherheit das Hauptproblem. Selbst verschlüsselte Daten können Hinweise auf Personen geben 8z.B. über Dateinamen, aber auch Anmeldeprozeduren bei US-SaaS-Anbietern.
    Da die Datenschutzbehörden, nicht zuletzt auf Beschwerden von Schrems hin, derzeit genauer hinsehen, ist das Risiko für Bußgelder und Image auch nicht zu unterschätzen.
    Natürlich kann man Risiken in Kauf nehmen und kurzfristig ist eine Exit-Strategie sicherlich auch nicht umzusetzen. Aber die Aufforderung der Datenschütze ist, den Plan vorzubereiten und zu versuchen, die Standardvertragsklauseln rechtssicher zu verhandeln - ob und in wieweit das den Datenexporteuren wirklich möglich ist, steht dabei auf einem ganz anderen Blatt ...



  • Hallo Herr Baumhaus, besten Dank, die Probleme durch Cloud Act sind unbestritten. Mein Punkt ist: Privacy Shield und Cloud Act sind getrennt zu sehen, auch wenn sie zu gemeinsamen Problemen (kein angemessenes Datenschutzniveau) führen. Hätte der EuGH mit möglichen US-Zugriffen auf Rechenzentren in der EU argumentiert, dann wären Datenübermittlungen an US-Clouds, für die es kein EU Data Center gibt, scheinbar kein Problem. Vielmehr ist beides ein Problem: Die Übermittlung in eine US-Cloud ohne Rechtsgrundlage (Thema des Artikels) und der mögliche Zugriff nach Cloud Act auf Data Center von US-Anbietern in der EU. Wie mein Artikel besagt, müssen sämtliche Datenübermittlungen in die USA eine Rechtsgrundlage nach DSGVO haben, auch solche nach Cloud Act, versteht sich. Das war aber nicht der Gegenstand des Privacy-Shield-Urteils, wie man Ihrem ersten Kommentar hätte entnehmen können. Beste Grüße!



  • @admin Ist denn nicht die Hauptniederlassung des verantwortlichen Cloudanbieters die zentral wichtige Frage?

    Wenn ich einen Vertrag zur Auftragsverarbeitung gemäß Artikel 28 mit einem US-amerikanischen Anbieter abschließe, dann findet doch (rechtlich gesehen) der Drittland-Datentransfer statt. Egal, wo sich das Rechenzentrum befindet.

    Im obigen Beispiel ist dann ein US-amerikanisches Unternehmen mit der Datenverarbeitung beauftragt. Punkt.

    Soweit ich die DS-GVO kenne, so gibt es keinen Interpretationsspielraum dahingehend, dass dann noch der Ort der Datenverarbeitung eine Rolle spielt.

    Aus meiner Sicht spielt der Cloud-Standort also eine völlig untergeordnete Rolle. Wichtig ist allein die Firmierung des Vertragspartners.

    Etwas Anderes wäre es, wenn das EU-Rechenzentrum von einem EU-Treuhänder betrieben würde... dieses einzigartige Modell schafft Microsoft Ende 2021 übrigens wieder ab. Habe ich heute erfahren.

    (Nur aus Neugierde mal umgekehrt gefragt: Wie wäre es denn zu werten, wenn ein EU-Unternehmen ein Rechenzentrum in einem Drittland nutzte im Sinne von Server-Housing... wäre dies dann trotzdem ein Drittland-Datentransfer?)



  • @n-vollmer Hallo von meiner Seite, der Cloud-Standort spielt deshalb eine Rolle, weil der Standort darüber entscheidet, ob die DSGVO abhängig vom Standort von anderen Gesetzen und Regeln überlagert wird, sprich: Es gibt Länder und damit Standorte, die abweichend von der DSGVO und zwar nach ihren Gesetzen handeln, wodurch das Datenschutzniveau nicht mehr angemessen nach DSGVO sein kann. Die DSGVO selbst sieht den räumlichen Anwendungsbereich so: Artikel 3 Räumlicher Anwendungsbereich

    (1) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.

    (2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht

    a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
    b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt.
    

    (3) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt.

    Wenn aber in einem Drittstaat die DSGVO durch andere Gesetze "überlagert" wird, also nicht zur gewünschten Anwendung kommt, dann ist das Datenschutzniveau unzureichend. Beste Grüße!



  • @oliver-schonschek Hallo Herr Schonscheck, vielen Dank für Ihre ausführliche Antwort. Aber ich möchte nochmal präzisieren:

    Sie schrieben in Ihrem Artikel:

    "Damit ein Cloud-Dienst in Deutschland oder in der EU auch vollständig dort erbracht werden kann, müssen Hardware, Software und Services ohne eine Übermittlung personenbezogener Daten in das Drittland USA auskommen."

    Vielleicht habe ich die Überschrift "Cloud-Standort" falsch gedeutet...

    Sie gehen in Ihrem obigen Zitat wohl davon aus, dass es sich um einen EU-Anbieter handelt, der in der EU hostet.

    Mit meiner Anmerkung hatte ich aber auf einen US-Anbieter abgezielt, der einen EU-Standort nutzt.

    Und da, so meine ich, handelt es sich immer um eine Drittland-Übermittlung, weil der (verantwortliche) Auftagsverarbeiter nun einmal ein US-Amerikaner ist.

    Ich hake deswegen nach, weil ich Kunden habe, die meinen, dass allein ein EU-Rechenzentrum schon ausreicht, um als US-Amerikaner einen Drittland-Datentransfer zu vermeiden.

    Wie stehen Sie dazu? Reicht das aus?



  • Die Nutzung eines europäischen Standortes eines amerikanischen Anbieters ist in erster Linie (meiner Meinung nach) noch kein Datenexport außerhalb des DSGVO-Rechtsraumes. Im Hintergrund werden aber Daten gespiegelt, bewegt, analysiert und das in die amerikanischen Rechenzentren. Zudem erlaubt der US CLOUD Act den Zugriff auf diese Daten, so dass der Rechtsschutz der Daten nicht ausreicht, wie der EuGH entschieden hat. Wichtig war dem EuGH dabei das Schutzniveau. Also dass kein richterlicher Beschluss mit klar abgegrenzter Regelung existiert, wann Zugriff erlaubt ist (Behördenersuchen genügt). Als Datenexporteurer bekommen sie auch keine Information, haben kein Einsichts- oder Widerspruchsrecht.
    Alls das zusammen hat den Datenexport in die USA zu einem zumindest kritischen Vorgang gemacht.



  • @n-vollmer Hallo nochmals, wie der Artikel aussagt, reicht der Standort EU nicht, es muss immer ein angemessenes Datenschutzniveau sichergestellt sein. Für US-Anbieter mit Data Center in der EU haben wir das bekannte Problem Cloud Act, wie in den anderen Kommentaren bereits einmal diskutiert. Beste Grüße!


Log in to reply