Hohe Bußgelder drohen bei Datenaustausch mit Clouds in den USA

Für die Nutzung von US-Clouds scheint es weder für große noch für kleine Unternehmen eine Alternative zu geben: Auch die ganz großen Konzerne sind Speicherkunden von Amazon, Google oder Microsoft.

Während in Deutschland die Server vom Netz gehen, findet ein gigantischer transatlantischer Datentransfer statt. Corona hat der Datenverlagerung in die USA einen zusätzlichen Schub gegeben, punkten die US-Anbieter doch mit Homeoffice-Angeboten, an denen für viele IT-Entscheider in Deutschland kein Weg vorbeiführt. Schon länger weisen Datenschützer in Deutschland auf Sicherheitsrisiken hin. Jetzt soll sanktioniert werden, von Strafen in Millionenhöhe ist die Rede.

Max Schrems ebnete den Weg

Die Sache nahm ihren Lauf, als der österreichische Datenschutzaktivist Max Schrems sich mit Facebook anlegte. In der EU herrschte unter Datenschützern obendrein ein Misstrauen gegenüber amerikanischen Geheimdiensten und anderen staatlichen Behörden, denen die US-Gesetzgebung ein Zugriffsrecht auf personenbezogene Daten in Clouds einräumt. Als der Europäische Gerichtshof (EuGH) 2020 mit seiner als Schrems-II-Urteil bekanntgewordenen Entscheidung das bis dato zwischen den USA und der EU geltende Datenschutzabkommen Privacy Shield gekippt hatte, waren Rechtsunsicherheiten die natürliche Folge. Fraglich war also, wie nach Wegfall des Privacy Shields mit persönlichen Daten verfahren wird, die zu Speicherzwecken über den Atlantik transportiert werden.

Seit geraumer Zeit ist eine Datenschutz-Sondereinheit unterwegs, um verdächtige Unternehmen genauer unter die Lupe zu nehmen. Der Hamburger Datenschutzbeauftragte Johannes Caspar lässt zudem durchblicken, dass konkrete Beschwerden gegen einzelne Firmen vorlägen, die nun Prüfverfahren nach sich ziehen würden. Nun werden also augenscheinlich Verfahren eingeleitet, um den rechtunsicheren Datentransfer genauer zu untersuchen.

Horrende Strafen drohen

Nach Ansicht von Datenschützern sind die derzeit praktizierten Standardvertrags- oder Standarddatenschutzklauseln nicht ausreichend, um Datenschutz zu gewährleisten. Freilich ist derzeit an einer gesamteuropäischen Durchsetzung des Urteils nicht zu denken. Alles, was auf den obersten Entscheider-Ebenen bislang geschah, war die Veröffentlichung eines Leitfadens des Europäischen Datenschutzausschuss (EDSA). Er beschreibt, wie künftig EU-Unternehmen hier gewonnene Personendaten nach Amerika datenschutzkonform übermitteln können. Stefan Brink, oberster Datenschützer in Baden-Württemberg, spricht offiziell davon, dass europäische Unternehmen nun schnell an Lösungen arbeiten sollten. Andernfalls könnte es zu Bußgeldern kommen, die bis über 20 Millionen Euro betragen können.

Höchste Zeit für ein neues Abkommen mit den USA

Es gibt bereits Lösungsansätze, die praktikabel klingen. Beispielsweise durch Verschlüsselung der Daten. Allerdings erschwert dies die Datenverarbeitung in den betroffenen Clouds, diese müssten nämlich in einem zweiten Schritt wieder entschlüsseln. Seitens der Großunternehmen, wie beispielsweise der deutschen Bahn, ist zu hören, man sei beinahe gezwungen, die Dienste der US-Clouds in Anspruch zu nehmen, da die europäischen Alternativ-Anbieter in Service und Flexibilität um Längen hinterherhinkten.

Im Innenministerium heißt es dazu, dass in den kommenden Monaten eine Zweitauflage des Privacy Shield mit den Vertretern der USA verhandelt würde. Bleibt zu hoffen, dass der neue US-Präsident mit seiner neuerlichen Hinwendung zu den alten Partnern in Europa auch in Sachen Datenschutz Wege ebnet.