Der wissenschaftliche Dienst des Bundestages hat dazu ein Gutachten erarbeitet. Hochschulen sind auch Behörden, stehen also vor derselben Problematik!
Auf die Frage:
Sind personenbezogene Daten in Cloud-Diensten vor dem Zugriff durch US-Behörden geschützt?
Gibt es die salomonische Antwort:
Im Prinzip ja, zumindest aus datenschutzrechtlicher Sicht und insbesondere, sofern keine US-(Tochter-)Firmen in die Verarbeitung involviert sind. Aber selbst bei denen kommen möglicherweise keine Herausgaben vor.
Und dass es auf den Einzelfall ankommt und ob (durch den Cloud-Anbieter) geeignete Maßnahmen umgesetzt werden, die das Risiko einer Herausgabe minimieren.
Nach dem Data Privacy Framework (DPF) dürfen derzeit wieder personenbezogene Daten in die USA übertragen werden, da für DPF-zertifizierte US-Unternehmen der Angemessenheitsbeschluss der Europäischen Kommission greift. Der Angemessenheitsbeschluss postuliert die Gleichwertigkeit des amerikanischen mit dem europäischen Datenschutzniveau.
Ungeachtet dessen gelten aber die Herausgabeverpflichtungen nach FISA, dem CLOUD-Act u.a. US-amerikanischen Regelungen und zwar unabhängig dessen, ob die Daten in der EU, der USA oder anderswo gespeichert sind (wobei ein Zugriff innerhalb der USA für die Behörden leichter ist).
Aus dem Zwischenfazit des Gutachtens:
„US-amerikanische Sicherheitsbehörden können US-amerikanische Unternehmen verpflichten, Daten und Informationen, auf die sie rechtlich und tatsächlich zugreifen können, unabhängig von ihrem Standort bzw. dem Standort des Servers, herauszugeben. Darüber hinaus wird zum Teil vertreten, dass hierzu auch Unternehmen verpflichtet werden können, die ihren Sitz nicht in den USA haben.“ (Abschnitt 2.3., S. 16f)
Wie steht es um Cloud-Dienste US-amerikanischer Firmen?
Im 3. Abschnitt des Gutachtens wird schließlich darauf eingegangen
„inwieweit es mit deutschem Recht vereinbar ist, wenn deutsche Behörden Cloud-Dienste nutzen, die auch Adressaten der US-amerikanischen Herausgabeverpflichtungen sein können“ (S.17)
Und kommt zu der nicht überraschenden Erkenntnis:
„Wenn der beauftragte Cloud-Diensteanbieter einen Sitz in der EU hat, die Daten auf einem Server innerhalb der EU speichert und insbesondere auch nicht in einen US-amerikanischen Konzern eingebunden ist, dürfte eine Herausgabeverpflichtung von US-amerikanischen Sicherheitsbehörden mangels eines hinreichenden Bezugs zur US-amerikanischen Gerichtsbarkeit ausgeschlossen sein.“ (S.23)
Aber auch für Cloud-Dienste von US-(Tochter-)Unternehmen wird ein rechtssicherer Betrieb als möglich erklärt, sofern die Empfehlungen der Datenschutzkonferenz (DSK) berücksichtigt werden, d.h. an
„eine Zuverlässigkeitsprüfung im Sinne von Art. 28 Abs. 1 DSGVO besonders hohe Anforderungen zu stellen“
und zu belegen
„ob der Auftragsverarbeiter dennoch hinreichend Garantien dafür bietet, dass es nicht zu Verarbeitungen kommt, die nach den Maßstäben der DSGVO bzw. des anwendbaren mitgliedstaatlichen Rechts unzulässig sind.“ (S.26)
In der Praxis wird eine solche Einzelfallprüfung erschwert durch fehlende Transparenz der in der Cloud stattfindenden Verarbeitungen. Letztlich bedeutet das wohl so etwas wie „Da können wir nichts machen, so ist die Welt“.
Das Gutachten endet recht abrupt mit dem Statement:
„ … Herausgabeverpflichtungen von US-amerikanischen Sicherheitsbehörden an US-amerikanische Unternehmen, die der DSGVO unterliegen, sind nach Art. 48 DSGVO unzulässig, wenn kein internationales Abkommen besteht und sich auch im Übrigen keine Rechtsgrundlage aus Art. 6 DSGVO und Art. 49 DSGVO ergibt. Entsprechend gelten auch in diesem Zusammenhang die Ausführungen zur Prüfung der Zuverlässigkeit des Auftragsverarbeiters nach Art. 28 DSGVO.“ (S.29)
Als abschließendes Fazit wünscht sich mensch mehr Klarheit. Ist die Antwort vielleicht doch eher
„im Prinzip ja, aber bei Diensten von US-Firmen ist der Nachweis der Datenschutzkonformität schwierig, da sie den Herausgabeverpflichtungen unterliegen?“
Weitere Informationen
- Deutscher Bundestag, WD 3 – 3000 – 105/23, Wissenschaftliche Dienste: