Auswirkungen des Schrems II-Urteils auf Cloud-Provider
Im Juli 2020 führte das Schrems II-Urteil durch den Europäischen Gerichtshof (EuGH) und die damit verbundene Aufhebung des Privacy Shields zu einer unklaren Rechtslage für viele Unternehmen. In Folge ist die Übermittlung personenbezogener Daten durch EU-Unternehmen an die USA, im Rahmen des Privacy Shields, ungültig. Für Unternehmen bedeutet das, dass sie ihre genutzten Services, besonders mit Datentransfer in die USA, überprüfen und unter Umständen ändern müssen. Das Urteil betrifft auch jegliche genutzten Cloud-Services in Verbindung mit der Verarbeitung personenbezogener Daten bei US-Cloud-Providern.
Welche Auswirkungen das Urteil auf europäische Unternehmen hat, warum US-Cloud-Provider betroffen sind und welche datenschutzkonformen Alternativen verfügbar sind, zeigen wir im folgenden Beitrag.
Datenübermittlung in Drittländer
Bei der Übermittlung personenbezogener Daten in Drittländer, das sind Länder außerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR), müssen Unternehmen den Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) entsprechen. Dabei ist sicherzustellen, dass für die übermittelten Daten in ein Drittland ein angemessenes Schutzniveau gewährleistet wird. Bei der Übermittlung von Daten in die USA konnte dieses Schutzniveau bisher mittels des Privacy Shields gewährleistet werden.
Das Privacy Shield war ein Abkommen zwischen der EU und den USA, welches die Übermittlung personenbezogener Daten zwischen diesen Regionen regelte. Es ist der Nachfolger des Safe Harbor Abkommens, welches 2015, im Rahmen des Schrems I-Urteils vom EuGH, für ungültig erklärt wurde. Abseits des Privacy Shields können Standardvertragsklauseln eingesetzt werden, mittels derer sich ein Unternehmen im Drittland vertraglich zur Einhaltung des EU-Datenschutzstandards verpflichtet.
Schrems II-Urteil kurz erklärt
Das Schrems II-Urteil hebt nun die Rechtmäßigkeit des bisher gültigen Privacy Shields für die USA auf und erklärt es für ungültig. Aufgrund eines potenziell möglichen Zugriffs von US-Behörden auf personenbezogene Daten von EU-Bürgern, stellt das Privacy Shield einen Verstoß gegen das geltende EU-Datenschutzrecht dar.
Die Standardvertragsklauseln andererseits behalten ihre Gültigkeit. Unternehmen als „Verantwortliche“ der Datenverarbeitungen gemäß DSGVO müssen jedoch im Einzelfall prüfen, ob die Klauseln aufgrund der nationalen Gesetzgebung im Drittland eingehalten werden können und ein angemessenes Schutzniveau für Daten gewährleistet ist. Ist das nicht möglich, muss der Datentransfer gestoppt werden. Die Unterlassung der Datenübermittlung gilt laut aktueller Rechtslage auch für den Datentransfer im Rahmen des Privacy Shields.
Das EuGH-Urteil gilt unmittelbar seit 16. Juli 2020. Eine Übergangsfrist gibt es nicht.
Was bedeutet das für die Nutzung von Cloud-Diensten in den USA?
Betroffen von dem Urteil ist auch der Datentransfer in und aus der Cloud, sowie die dortige Datenspeicherung und -verarbeitung. Unternehmen haben in den letzten Jahren vermehrt auf Cloud-Dienste gesetzt. Dieser Trend wird sich auch in Zukunft weiterhin verstärken, da Cloud-Dienste zahlreiche Vorteile für Unternehmen bieten. Cloud-Dienste werden häufig von bekannten Anbietern aus den USA bezogen. Die Server für diese Dienste stehen teilweise in den USA, teilweise in Europa.
Genau an diesem Punkt wird es für Unternehmen kompliziert. Selbst wenn die Server in der EU stehen, kann die US-Behörde auf die gespeicherten Daten zugreifen. Dieser Zugriff wird durch den FISA (Foreign Intelligence Surveillance Act) 702 und die EO (Executive Order) 12.333 geregelt und gilt für alle „Electronic Communication Service Provider“ mit Sitz in den USA (auch bekannte Marken sind damit Teil dieser Regelungen).
US-Behörden können dank dieser Regelungen auf Server in der EU zugreifen. Der europäische Datenschutz ist damit nicht gewährleistet. Unternehmen, die explizit einen Server-Standort in der EU wählen (um vermeintlich die Daten zu schützen) verletzen damit unter Umständen die EU-Datenschutzgrundverordnung, wenn dieser Server im Besitz eines US-Cloud-Providers ist.
Zusammengefasst: Der Server-Standort ist irrelevant, wenn der Cloud-Provider in den USA ansässig ist. Die Lösung: europäische Cloud-Provider.
Europäische Cloud-Provider
Neben den bekannten US-Marken von Cloud-Diensten haben sich in den letzten Jahren auch einige europäische Alternativen am Markt durchgesetzt. Aufgrund des Sitzes innerhalb der EU und den damit verbundenen Auflagen hinsichtlich Datenschutz, ist für den Kunden sichergestellt, dass personenbezogene Daten innerhalb der EU verbleiben und keinem Zugriff durch Behörden ausgesetzt sind. Unternehmen können bei europäischen Providern sicherstellen, dass ihre Daten DSGVO-konform verarbeitet werden, ohne sich um Standardvertragsklauseln oder andere Verträge kümmern zu müssen. Besonders wenn Unternehmen „sensible Daten“ wie ethnische Zugehörigkeit, Religion oder Gesundheitsdaten verarbeiten, sollte mit besonderer Sorgfalt gehandelt werden.
Anexia als europäische Cloud-Provider-Alternative
Anexia ist ein österreichischer Cloud-Service-Provider mit Sitz in Klagenfurt. Mit mehr als 25 Rechenzentrumsstandorten im EU/EWR-Raum, aber auch zahlreichen internationalen Standorten, kann Anexia einen einzigartigen Vorteil hinsichtlich der Rechenzentrumsstandorte und Infrastruktur aufweisen. Dank unserer langjährigen Erfahrung und unseren vielfältigen und individuellen Cloud-Services sind wir eine verlässliche Alternative – EU-konformer Datenschutz inklusive.
Da besonders der Migrationsprozess einer bestehenden Serverinfrastruktur auf neue Server eine kritische Angelegenheit ist, legen wir hier besonderen Augenmerk auf einen störungsfreien und kundenorientierten Ablauf. Wir unterstützen Unternehmen im gesamten Prozess mit unserem Know-How und unserer Erfahrung aus zahlreichen großen wie auch kleineren Projekten.
Wir stehen für höchste Qualitäts-, Verfügbarkeits-, Sicherheits- und Datenschutzansprüche. Neben den ISO-Zertifizierungen 9001 und 27001 sind wir zudem Mitglied der Cloud Security Alliance (CSA) und haben ein nachhaltiges Datenschutzmanagementsystem etabliert.
Kontaktieren Sie uns! Gerne zeigen wir Ihnen die Möglichkeiten unserer europäischen Cloud im Detail.