Die DSGVO und der Cloud-Act

Der Cloud-Act der amerikanischen Regierung geht klar gegen die DSGVO. US-Provider müssen auf Verlangen Daten herausgeben, auch wenn diese auf Servern in der EU gespeichert sind. Dies gilt sogar für Drittländer, die mit den USA ein bilaterales Abkommen schließen. Ein richterliches Okay ist nicht nötig. Unternehmen müssen sorgsam prüfen, welche Daten in die Cloud transferiert werden, denn sie sind der Verantwortliche!

*** Gastkommentar von Sabine Noack, externe Datenschutzbeauftragte ***

Sabine Noack, Externe DatenschutzbeauftragteSpeichert Ihr Unternehmen Daten in der Cloud eines amerikanischen Unternehmens? Dann dürfen die USA und Länder mit denen diese unter dem seit März geltenden Cloud Act ein entsprechendes Abkommen geschlossen haben, nun unter dem Vorwand von Ermittlungen auf Ihre Daten zugreifen. Klingt bekannt, gilt aber auch, wenn die Cloud-Server in der EU stehen. Egal ob es sich um Apple, Amazon, Adobe, Dropbox, Google, Microsoft oder WeTransfer handelt, die Provider sind dann quasi verpflichtet Einsicht zu gewähren.

Damit haben Sie das Problem, dass Sie wissentlich einen Cloud-Anbieter beauftragt haben, der Ihre Daten an die USA nach amerikanischem Recht weitergeben muss. Dies gilt auch für Drittländer, die mit der USA ein bilaterales Abkommen abgeschlossen haben, auch wenn diese laut DSGVO als unsicheres Drittland deklariert sind. Dabei ist es unerheblich, ob mit dem Cloud-Anbieter ein AV-Vertrag abgeschlossen wurde und sich dieser auch im Privacy-Shield befindet.

Da Sie bzw. Ihr Unternehmen einen AV-Vertrag mit dem Cloud-Anbieter Ihrer Wahl abgeschlossen haben, seid Ihr verantwortlich und benötigt konsequenter Weise auch eine explizite Einwilligung der betroffenen Personen. Andernfalls drohen hier womöglich tatsächlich hohe Strafen!

Wer ist betroffen? Zum Beispiel:

• Alle die Office 365 nicht in der speziellen DSGVO-konformen Deutschland-Version zur nicht rein-privaten Verarbeitung personenbezogener Daten nutzen.
• Alle die nicht private Fotos und E-Mails beispielsweise in der Apple Cloud speichern oder auf Google Drive oder OneDrive.
• Alle, die Kunden Termine über den Google-Kalender vereinbaren.
• Alle, die große Datenmengen mit personenbezogenen Daten über Dropbox oder WeTransfer austauschen.
• Alle die Fotoportfolios mit Menschenbildern bei WIX oder Square Space haben.

Schließt beispielsweise die Türkei ein entsprechendes Abkommen mit den USA, dann darf sie unter Bezug auf Ermittlungen wie gegen Fethulla Gülen von amerikanischen Cloud-Anbietern Daten von Deutschen auf einem Server in der EU anfordern. Dafür benötigen diese Drittländer nicht einmal einen gerichtlichen Beschluss.

»Selbstverständlich« haben die USA den Cloud-Act »nur« ins Leben gerufen, um behördliche Ermittlungen zu vereinfachen. Unterschiedliche Regelungen würden diese länderübergreifend erschweren. Zwar steht im Cloud-Act auch etwas vom Schutz der Privatsphäre und Bürgerrechten, letztendlich setzt er sich aber über die DSGVO hinweg.

Das heißt nicht, dass man nun nicht mehr mit amerikanischen Cloud-Providern zusammenarbeiten sollte. Aber: Unternehmen stehen nun in der Pflicht und sollten sich gut überlegen, ob sie Services in die Cloud auslagern, die mit personenbezogenen Daten zu tun haben. Datenschutzbeauftragte sollten hier wachsam sein und ihre Bedenken klar formulieren, auch wenn die Chefetage diese nicht gerne hören. Dies gilt auch für die IT-Abteilung. Sorgen Sie dafür, dass man Ihnen nicht den »schwarzen Peter« zuschieben kann, weil angeblich keiner etwas gewusst hat. Sich darauf zu berufen, »unsere Daten sind verschlüsselt« bzw. noch einfacher »AWS nutzt doch jeder, was soll da schon sein…«, ist unter Umständen nicht zielführend. Fordern Sie, dass im Zweifel ein Rechtsberater hinzugezogen wird.

Hinweis der Redaktion:
Dieser Beitrag ersetzt keine Rechtsberatung.
Namentlich gekennzeichnete Beiträge geben nicht zwangsläufig die Meinung der Redaktion wieder.