Datenübermittlung in die Cloud

Was Brexit und Privacy Shield gemeinsam haben

| Autor / Redakteur: Oliver Schonschek / Florian Karlstetter

Datenübermittlung in die Cloud: Privacy Shield alleine reicht nicht.
Datenübermittlung in die Cloud: Privacy Shield alleine reicht nicht. (Bild: © Alex - Fotolia.com)

Die Übermittlung personenbezogener Daten in Drittstaaten darf nur unter definierten Voraussetzungen erfolgen. Was mit Privacy Shield versucht wird, ist eine spezielle Lösung für die USA. Letztlich müssen aber alle Datenübermittlungen ins Nicht-EU-Ausland geregelt werden.

Das Privacy Shield löst das Safe Harbour-Abkommen aus dem Jahr 2000 ab, das durch den EuGH im Oktober letzten Jahres für ungültig erklärt worden war, teilte das Bundesinnenministerium mit. Privacy Shield sei von großer wirtschaftlicher Bedeutung, indem es die Grundlage für den millionenfachen transatlantischen Datenaustausch zwischen der EU und den USA schaffe.

Viele Datenschützer sehen dies anders. Die Deutsche Vereinigung für Datenschutz e.V. (DVD) zum Beispiel bedauerte die Entscheidung der Europäischen Kommission, den EU-US-Datenschutzschild (Privacy Shield) als ausreichende Sicherheit für angemessenen Datenschutz anzunehmen. „Es ist nur eine Frage der Zeit, bis dieser ‚Schutzschild‘ vor dem Europäischen Gerichtshof landet“, erklärte Werner Hülsmann (pdf), stellv. Vorsitzender der DVD.

Doch selbst wenn der Europäische Gerichtshof (EuGH) zu dem Schluss käme, Privacy Shield genüge den Anforderungen, können Nutzer von Cloud Computing nicht generell aufatmen. Zwar sind viele wichtige Cloud-Provider in den USA, aber bei weitem nicht alle. Neben dem asiatischen Raum ist es zum Beispiel Großbritannien, das für das Cloud-Business durchaus eine Bedeutung hat. Hier kommt nun der Brexit ins Spiel.

Datenübermittlung in und außerhalb des EU/EWR-Raumes

Verlässt Großbritannien die Europäische Union, kann man sich nicht mehr ohne weiteres darauf berufen, dass Datenübermittlungen an Stellen, die in Staaten des Europäischen Wirtschaftsraumes ansässig sind, aus Datenschutzsicht keine besonderen Probleme bereiten (§ 4b Abs. 1 Nr. 1 und 2 BDSG). Stattdessen greifen dann andere Vorgaben aus dem BDSG, das bis Mai 2018 (Datenschutz-Grundverordnung der EU) weiterhin Gültigkeit behält.

Die Aufsichtsbehörden für den Datenschutz haben in einer Entschließung (pdf) beschrieben, wie bei der geplanten Datenübermittlung in einen Drittstaat vorzugehen ist: Es ist zuerst sicherzustellen, dass die Datenübermittlung durch eine Einwilligung der betroffenen Person oder eine Rechtsvorschrift gerechtfertigt ist. Zweitens ist zu prüfen, ob im Ausland ein angemessenes Datenschutzniveau besteht (oder die Ausnahmen nach § 4c BDSG vorliegen). Die Datenübermittlung ist nur zulässig, wenn auf beiden Stufen ein positives Prüfungsergebnis vorliegt, so die Aufsichtsbehörden.

Ergänzendes zum Thema
 
Special "Rechtssicheres Cloud Computing"

Auf das Datenschutzniveau kommt es an

Ziel der Prüfung ist es immer festzustellen, ob im Zielland ein angemessenes Datenschutzniveau besteht und damit ein Datenschutz, der dem aus dem Absenderland (wie Deutschland) gleichkommt. Unternehmen müssen dies nicht selbst prüfen, wenn es eine sogenannte Angemessenheitsentscheidung der EU-Kommission gibt, die EU-Kommission also feststellt, dass es in dem Zielland ein angemessenes Datenschutzniveau gibt. Genau dies ist auf Basis des Privacy Shield für die USA geschehen. Weitere Länder, für die es eine Angemessenheitsentscheidung der EU-Kommission gibt, findet man hier, wo auch Privacy Shield gelistet ist.

Man findet in der Liste der EU-Kommission zwar so manches Zielland, aber bei weitem nicht alle, die für das Cloud Computing wichtig sind. Selbstverständlich steht dort auch nicht Großbritannien, da UK bisher zum EU-Raum gehört. Mit dem Brexit aber müssen neue rechtliche Grundlagen für die Datenübermittlung in eine UK-Cloud gefunden werden, sobald der EU-Austritt vollzogen ist.

Deshalb kann man auch sagen: Die Diskussion um Privacy Shield und die nach dem Brexit erforderlichen rechtlichen Grundlagen für eine Datenübermittlung in einen Drittstaat folgen beide aus dem Grundprinzip, dass eine Datenübermittlung nur dann zulässig ist, wenn alle rechtlichen Voraussetzungen erfüllt sind, also insbesondere auch die Prüfung oder Feststellung, dass ein angemessenes Datenschutzniveau im Zielland herrscht. Ist das Zielland weder ein EU/EWR-Staat noch ein Staat, für den die EU-Kommission eine Angemessenheitsentscheidung getroffen hat, muss das Unternehmen grundsätzlich selbst das Datenschutzniveau des Staates überprüfen.

Das gilt im Übrigen auch für internationale Konzerne, worauf die Bundesdatenschutzbeauftragte im Internet hinweist. Dort findet man das folgende Beispiel, das sich lohnt, einmal genauer anzusehen: „Wenn die Gehaltsabrechnung für die Mitarbeiter einer deutschen Niederlassung in Singapur erstellt wird, die Arbeitnehmerdaten auf einem Computer in Indien gespeichert werden oder der E-Mail Server der Firma in San Francisco betrieben wird, ist der Datenschutz schwierig zu realisieren“.

Cloud Computing ist und bleibt deshalb ein Thema für Datenschutz-Prüfungen.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44187198 / Risk Management)