Nachdem bereits im März Datenschutzbeauftragte gefordert hatten, dass Behörden auf die Nutzung von Microsoft-Software verzichten sollen und das Bayerische Landesamt für Datenschutzaufsicht die Nutzung des US-Providers Mailchimp wegen der Übermittlung personenbezogener Daten in das „Drittland“ USA für unzulässig erklärte, weiten die Aufsichtsbehörden ihre Ermittlungen jetzt generell aus. Derzeit entwickelt eine Taskforce der Datenschutzkonferenz (DSK) Fragenkataloge, auf deren Basis die deutschen Datenschutzbehörden Unternehmen in Bezug auf eine Nutzung von US-amerikanischen Cloud-Services ins Visier nehmen wollen.
Stichproben bei Unternehmen
Ziel der Aktion sei die proaktive Ansprache von Unternehmen im Rahmen einer Stichprobe, sagte Datenschützer Johannes Caspar dem Handelsblatt. Demnach müssen betroffene Unternehmen gegenüber den Aufsichtsbehörden begründen, auf welcher Grundlage sie US-Anbieter wie Amazon, Google oder Microsoft einsetzen. Wer dazu nicht hinreichend in der Lage ist, könnte wohl verpflichtet werden, den Anbieter zu wechseln. Unternehmen, die dem nicht nachkommen, können mit Bußgeldern von bis zu 20 Millionen Euro belegt werden.
Grundlage dafür ist das „Schrems II“ genannte Urteil zum US Privacy Shield des EuGH vom Juli 2020. Nach dem Kippen der Datenschutzvereinbarung zwischen der EU und den USA verstoßen viele US -Cloud-Dienste gegen die europäische Datenschutz-Grundverordnung (DSGVO), weil die US-Geheimdienste weitgehenden Zugriff auf die bei US-Unternehmen gespeicherten Daten haben.
Tipps zur Cloud-Nutzung
Der Landesbeauftragte für den Datenschutz in Baden-Württemberg, Stefan Brink, gesteht ein, dass viele Unternehmen vor extremen Herausforderungen stehen, das geltende Recht einzuhalten. Wir haben Tipps zusammengestellt, die verraten, worauf Unternehmen achten müssen, um Klarheit über die Rechtssicherheit der von ihnen genutzten Services zu bekommen. Ebenso steht ein kostenloser Fragebogen (PDF) zur Verfügung, mit dem Cloud-Dienstleister auf eine DSGVO-konforme Datenverarbeitung überprüft werden können
DSGVO-konforme Datenverarbeitung
Übrigens: Die Services von Retarus – egal, ob Dienste der Secure Email Platform, der Communications Platform oder der Business Integration Platform – lassen sich DSGVO-konform betreiben, auch im Zusammenspiel mit Cloud Services anderer Anbieter. Alle Daten europäischer Kunden verarbeitet Retarus, sofern nicht anders vertraglich vereinbart, in selbst betriebenen Rechenzentren in Europa. Als einziger hundertprozentig europäischer Anbieter von Enterprise-Cloud-Services unterliegt Retarus nicht dem „CLOUD act“ (Clarifying Lawful Overseas Use of Data Act). Dieses US-amerikanische Gesetz verpflichtet amerikanische Provider, US-Behörden den Zugriff auf gespeicherte Daten zu gewähren, auch dann, wenn die Speicherung außerhalb der USA erfolgt.