Neue Standardvertragsklauseln zwischen Google und der EU

Mit den neuen SVKs (Standardvertragsklauseln) kommt die mächtige Suchmaschine nun den europäischen Datenschützern einen großen Schritt entgegen.

Mit dem Satz sorgte Peter Fleischer, dem bei Google zuständigen Juristen für Datenschutz, für Aufsehen: „Google macht für Cloud-Services Standardvertragsklauseln verfügbar.“ Fleischer reagiert damit auf ein Urteil des Europäischen Gerichtshofs (EuGH) von 2020. Der EuGH hatte in aufsehenerregender Rechtsprechung dem transatlantischen Datenschutzschild „Privacy Shield“ eine Abfuhr erteilt („Schrems-II-Urteil“).

Der Europäische Gerichtshof setzte auf einen Schlag EU-Datenschutzrecht durch

Wie kommt es zur Aktivität der USA in Sachen Standardvertragsklauseln? Der „Privacy Shield“ regelte bis Sommer vergangenen Jahres den transatlantischen Datenverkehr. Nun existieren in den USA jedoch Gesetze, die gegen europäisches Datenschutzverständnis verstoßen, indem sie Ermittlungsbehörden sehr weitreichende Befugnisse für den Zugriff auf EU-Nutzerdaten gewähren. Mit anderen Worten: Trotz des nach Datensicherheit klingenden Namens wäre mit „Privacy Shield“ US-Geheimdiensten, wie CIA, NSA oder FBI, Tür und Tor geöffnet worden. Nutzer von großen Internetdiensten mit Sitz in den USA mussten also damit rechnen, dass ihre personenbezogenen Daten widerrechtlich in den Besitz amerikanischer Aufsichtsbehörden gelangten.

Die europäischen Richter bekräftigten in ihrem Urteil die Bestimmungen der DSGVO, nach denen Daten nur in ein Drittland transferiert werden dürfen, wenn sie dort angemessenen Schutz genießen. Darüber dürfe die EU-Kommission entscheiden. Bleibt dieser Beschluss aus, müssten Datenexporteure aus dem EU-Raum „geeignete Garantien“ vorweisen. Genau das führte zum Dauerstreit zwischen den Europa-Niederlassungen der großen US-Digitalkonzerne und den europäischen Datenschutzbehörden.

Google gibt dem Drängen der Europäer nach

Im Juni 2021 wurden die SVK durch die EU-Kommission an die Maßgaben des Europäischen Gerichtshofs angeglichen. Dadurch stellte die Kommission eine DSGVO-konforme Rechtslage her. Damit einher ging beispielsweise, dass die US-Datenimporteure dazu aufgefordert worden sind, künftig Anfragen von EU-Bürgern, die deren personenbezogene Daten betreffen, verpflichtend zu beantworten. Diese SVK-Regeln hat Google nun akzeptiert. Dazu Peter Fleischer diplomatisch: „Wir nutzen die verfügbaren Instrumente, um das Beste aus der bestehenden Rechtsunsicherheit zu machen.“ Ein erster Schritt für einen Datenaustausch mit dem US-Konzern auf einem akzeptablen Schutzniveau.

EU-Bürger erhalten Schutz-Garantie

Da Google in großem Stil Daten von europäischen Nutzern verarbeitet, soll dies ab sofort im Einklang mit den Datenschutzbestimmungen geschehen, die von der EU gefordert werden. Offen ist noch, wie auf „verbindliche Ersuche“ einschlägiger US-Behörden reagiert werden soll. In diesem Fall steht Google nun in der Informationspflicht. Sollten Regierungsbehörden eine Information untersagen, will der Megakonzern „nach besten Kräften“ eine Aufhebung dieses Verbots bewirken und dafür alle verfügbaren Rechtsmittel ausschöpfen. In diesem Punkt sind die ersten tatsächlichen Anfragen an US-Behörden mit Spannung zu erwarten.

Darüber hinaus ist Google die Verpflichtung eingegangen, die Standardvertragsklauseln der EU-Kommission zu übernehmen sowie fortan nur noch verschlüsselte Daten zu übertragen. Mittelfristig sollen Daten außerdem nur noch für den Kunden selbst lesbar sein, also nicht mehr für die Datenplattform Google. Der Datenschutzanwalt stellte den Europäern auch in Aussicht, dass Google fortan fortschrittliche Datenschutztechnologien wie „Federated Learning“ und „Differential Privacy“ anzuwenden bereit ist. Für Überraschung hat sicher auch die Bekanntgabe gesorgt, der Internetriese entwickle gerade mit der Deutschen Telekom eine unabhängige Cloud für optimale Datensicherheit. Dies wäre ein weiterer Schritt, der das angekratzte Vertrauensverhältnis zwischen EU-Datenschützern und Google nachhaltig verbessern könnte.