Seit der Europäische Gerichtshof die bilateralen Absprachen zur transatlantischen Datenübertragung (Safe Harbor und später Privacy Shield) auf Betreiben des österreichischen Datenschutzaktivsten Max Schrems für ungültig erklärt hat, greifen mehr und mehr US-Cloud-Anbieter notgedrungen auf sogenannte Standardvertragsklauseln (engl. Standard Contractual Clauses, kurz SCC) zurück. Auch in unseren Kundenprojekten erreichen uns immer wieder Fragen, was davon zu halten sei. Hinzu kommen Unsicherheiten durch Gesetze wie den US CLOUD Act. Dieser regelt für amerikanische Anbieter die Datenherausgabe an Behörden – selbst dann, wenn diese Daten nicht in den USA, sondern etwa auf Servern in Europa liegen.
Schrems: Skepsis auch gegenüber aktualisierten Standardvertragsklauseln
Ein Blogbeitrag kann und soll natürlich keine Rechtsberatung ersetzen. Dennoch wollen wir an dieser Stelle noch einmal auf unseren virtuellen Fire Side Chat mit eben jenem Max Schrems im vergangenen Jahr verweisen. Seinerzeit ging Schrems auch ganz explizit auf die „Umgehung“ mittels SCC ein. Dabei hatte er insbesondere die aktualisierten Fassungen seit Juni 2021 im Blick, die allerdings deutlich komplizierter anzuwenden seien, weil im Prinzip jedes Mal eine Einzelfallbewertung vorzunehmen ist.
Europäische Rechenzentren von US-Anbietern nicht vor Behördenzugriff sicher
Nicht immer ganz einfach zu beurteilen sei die Lage vor allem bei US-Anbietern mit geografisch verteilter Datenverarbeitung, wie im Bereich E-Mail, Security oder Content Delivery üblich. Klar ist aber laut Max Schrems: Selbst wenn US-Cloud-Anbieter eigene Data Center in Europa betreiben, schützt das die dort gespeicherten Daten nicht vor Zugriffen via Foreign Intelligence Surveillance Act (FISA), denn dieses Gesetz hat keinerlei geografische Beschränkung.
Keine Information an Betroffene durch Stillschweigeauflagen
Problematisch werden hier insbesondere Stillschweigeauflagen im Rahmen der National Security Letters (NSL) und FISA angesehen, die es Anbietern mitunter ausdrücklich untersagen, Betroffene über Datenanfragen zu informieren (sehr zum Missfallen großer US-Provider wie beispielsweise Microsoft).
Schrems rät: Anbieter direkt befragen und auf den Prüfstand stellen
Doch zurück zur Eingangsfrage dieses Beitrags. Was rät Max Schrems verunsicherten Unternehmen nun nach dem Aus für den Privacy Shield? Im Fire Side Chat wurde er auch hier sehr deutlich: Anstatt ihr Geld zur juristischen Beratungsindustrie zu tragen, sollten diese ihre Dienstleister lieber direkt selbst befragen und diesbezüglich auf den Prüfstand stellen. Welche wesentlichen Aspekte hierbei zu beachten sind, haben wir auf unserer Website zusammengestellt. Dort finden Sie auch einen Fragebogen, den Sie an Ihre IT-Dienstleister weiterleiten können.