Datentransfer in US-Clouds: Jetzt drohen EU-Konzernen hohe Bußgelder

Die Großen machen’s, die Kleinen erst recht: Konzerne, wie die Deutsche Bank oder die Deutsche Bahn, lagern zunehmend ihre Daten in den Clouds von Google, Amazon und Microsoft. Während in Deutschland die Server vom Netz gehen, findet ein gigantischer transatlantischer Datentransfer statt.

Corona hat der Datenverlagerung in die USA einen zusätzlichen Schub gegeben, punkten die US-Anbieter doch mit Homeoffice-Angeboten, an denen für viele IT-Entscheider in Deutschland kein Weg vorbeiführt. Doch hat es bereits Beschwerden wegen fragwürdiger Datensicherheit gegeben, was Deutschlands Datenschützer auf den Plan rief. Vielen Unternehmen drohen nun Millionenstrafen.

Das Schrems-II-Urteil

Es begann mit dem unter Datenschützern gern als David gegen Goliath verherrlichten Kampf eines Datenschutzaktivisten aus Österreich namens Max Schrems gegen den Social-Media-Giganten Facebook. In der EU herrschte unter Datenschützern obendrein ein Misstrauen gegenüber amerikanischen Geheimdiensten und anderen staatlichen Behörden, denen die US-Gesetzgebung ein Zugriffsrecht auf personenbezogene Daten in Clouds einräumt.

Als der Europäische Gerichtshof (EuGH) 2020 mit seiner als Schrems-II-Urteil bekanntgewordenen Entscheidung das bis dato zwischen den USA und der EU geltende Datenschutzabkommen Privacy Shield gekippt hatte, waren Rechtsunsicherheiten die natürliche Folge. Wie sollten sich künftig personenbezogene Daten über den Atlantik transferieren lassen, ohne mit dem Gesetz in Konflikt zu geraten?

Deutschlands Datenschutzbehörden haben eine Task Force ins Leben gerufen, die seit einiger Zeit dabei ist, Unternehmen stichprobenartig zu kontaktieren, von denen angenommen wird, diese würden personenbezogene Daten an Nicht-EU-Unternehmen transferieren. Der Hamburger Datenschutzbeauftragte Johannes Caspar lässt zudem durchblicken, dass konkrete Beschwerden gegen einzelne Firmen vorlägen, die nun Prüfverfahren nach sich ziehen würden.

„Massive Bußgeldgefahr“

Der Hauptpunkt im Cloud-Streit: Derzeit wird zwischen EU-Gremien und Datenschützern um die Zulässigkeit von Standardvertrags- oder Standarddatenschutzklauseln gerungen, die nach Ansicht vieler Datenschutzrechtler in Bezug auf die USA in der jetzigen Form noch nicht ausreichend seien. Freilich ist derzeit an einer gesamteuropäischen Durchsetzung des Urteils nicht zu denken. Alles, was auf den obersten Entscheiderebenen bislang geschah, war die Veröffentlichung eines Leitfadens des Europäischen Datenschutzausschuss (EDSA). Er beschreibt, wie künftig EU-Unternehmen hier gewonnene Personendaten nach Amerika datenschutzkonform übermitteln können. Der baden-württembergische Datenschutzbeauftragte Stefan Brink warnt europäische Firmen indes in der Presse vor einer „massiven Bußgeldgefahr“ und fordert „rasche Lösungen“. Die angedrohten Strafzahlungen können bis zu 20 Millionen Euro betragen.

Neues transatlantisches Abkommen geplant

Wie könnten diese Lösungen aussehen? Brink selbst spricht die Möglichkeit an, den Datentransfer wirksam zu verschlüsseln. Das Problem dabei: Cloud-Datenverarbeitungen müssten einkommende Daten zuvor entschlüsseln, was abermals einen ungesicherten Weitertransfer nach sich ziehen könnte. Betroffene Unternehmen, wie die Deutsche Bahn, rechtfertigen sich übrigens mit dem Hinweis, kein europäischer Cloudanbieter könne so viel Flexibilität und hochwertige Services anbieten wie die US-Konzerne.

Derweil verlautet aus Kreisen des für den Datenschutz zuständigen Bundesinnenministeriums, dass die Aufnahme neuer Verhandlungen zwischen EU-Bevollmächtigten und Amerikanern für ein neues, verbessertes Privacy Shield forciert wird. Der Zeitpunkt nach dem Präsidentenwechsel in Washington scheint dafür günstig.