EUGH Entscheidung und DSK Meinung zu USA Datentransfer

Privacy Shield

Cloud Act Standard

Contract Clauses

Um was geht es?

Viele Unternehmen setzen heutzutage selbstverständlich, bewusst oder auch unbewusst amerikanische Dienstleister ein. Sei es WhatsApp, Facebook, Microsoft Azure, Apple ICloud, Zoom, Google GSuite, SurveyMonkey, MailChimp, etc.

Dies war bis dato auch relativ unproblematisch möglich, da der Transfer personenbezogener Daten in die USA durch das Privacy Shield Abkommen zwischen der EU und den USA gedeckt war.

Nun hat jedoch der EuGH am 16.07.2020 das Privacy Shield Abkommen für ungültig erklärt. Die USA mutieren damit zum unsicheren Drittland. Nicht ganz zu Unrecht, wie wir noch sehen werden.

Nunmehr veröffentlichte die Datenschutzkonferenz der Länder (DSK) auch noch eine Bewertung seines Arbeitskreises Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365 vom 15. Juli 2020. Demnach ist der Einsatz von Microsoft Office 365 nicht mehr legitim möglich.

Damit wird der Einsatz von US-amerikanischen Datendienstleistern deutlich schwieriger, bzw. unmöglich.

Was ist der Privacy Shield?

Der Privacy Shield, als Nachfolger des Safe Harbour Abkommens, war eine bilaterale Übereinkunft zwischen den USA und der EU zum Thema Datenaustausch. Damit sollten Grundlagen für ein gemeinsames Verständnis und Regularien für die transatlantische Datenhaltung konzipiert werden. Das Problem an der Sache: Bereits das Safe Harbour Abkommen entsprach nicht den europäischen Vorstellungen von Datenschutz. Auch Safe Harbour wurde bereits durch den Netzaktivisten Max Schrems zu Fall gebracht. Die Datenhaltung und Verarbeitung in US-amerikanischen Unternehmen entspricht nicht dem Standard der EU. Das liegt u.a. daran, dass Datenschutz in den USA als Verbraucherrecht eingestuft wird, in der EU Datenschutz jedoch als Grundrecht gilt, was am Ende viel bedeutender und umfassender ist.

Was sind Standard Contract Clauses (SCC) und/oder Binding Corporate Rules (BCR)

Um diesem ganzen Dilemma zu entgehen gibt es eine Lösung. Um ein gleichwertiges Datenschutzniveau im ausländischen Unternehmen zu erreichen kann das Nicht EU-Unternehmen auf freiwilliger Basis sog.

Standard Vertragsklauseln (EU- Standard Contract Clauses) und
Bindende Unternehmensrichtlinien (Binding Corporate Rules)

aufsetzen. Die SCC sind von der EU vorgegeben Mustertexte und Formulierungen. Bei den BCR handelt es sich um eigene verbindliche Datenschutzregeln für das Unternehmen.

Google, Facebook und Microsoft setzen beispielweise auf diese Lösungen. Dabei verpflichtet sich das nicht europäische Unternehmen zur Einhaltung europäischer Datenschutzbestimmungen. Wie gesagt, auf freiwilliger Basis. Das Problem ist, ein amerikanisches Unternehmen muss sich zwischen Pest und Cholera entscheiden. Folgte es einer Auskunftsanordnung einer amerikanischen Behörde und verstößt somit gegen die DSGVO u.a., oder widersetzt es sich der Anordnung und wird somit mit Sanktionen bedroht. Der letzte mir bekannte Fall war Microsoft, die versucht haben diesem Dilemma zu entkommen, indem Sie die Daten in treuhänderischen Rechenzentren der Telekom in Deutschland aufbewahrten und somit gegenüber den US- Behörden argumentierten, dass sie nicht Datenhalter im eigentliche Sinne seien. Leider wurde dieses Projekt 2018 eingestellt.

Was ist der Cloud Act?

Clarifying Lawful Overseas Use of Data Act

Wesentlicher Punkt beim Streit zwischen USA und EU ist der Cloud Act der US-Regierung, der es amerikanischen Behörden ermöglicht, ohne richterlichen Beschluss auf sämtliche Daten von amerikanischen Unternehmen und deren weltweiten Tochterfirmen jederzeit zuzugreifen. Dabei spielt die Herkunft der Daten und deren Ursprung keine Rolle. Daten, die Sie im Rahmen der Nutzung von US-amerikanischen Anbietern erheben und verarbeiten, sind also direkt und unmittelbar für CIA, NSA, FBI, etc. einsehbar. Und um es nochmal zu betonen, dabei geht es um sämtliche Daten, also auch um Ihre internen, vertraulichen Geschäftsdaten wie Verträge, Berechnungen etc. Zwar haben US-amerikanische Unternehmen ein Widerspruchsrecht, wenn es sich bei der Herkunft der Daten um nicht US-Personen handelt. Dies gilt allerdings nur dann, wenn mit den jeweiligen Ländern ein sog. Executive Agreement abgeschlossen wurde. Dies ist derzeit nur mit Großbritannien der Fall. Damit sollen die für Behörden zeitraubenden und bürokratischen MLAT-Verfahren ausgehebelt werden. Zudem ist auch nicht geregelt, dass die betroffene Person, oder Unternehmen überhaupt über eine Behördenanfrage informiert werden muss.

Der Cloud Act, der übrigens fast zeitgleich mit der DSGVO verabschiedet wurde, verhält sich also diametral zur DSGVO, Geschäftsgeheimnisgesetz und anderen Bestimmungen. In Europa braucht es immer einen richterlichen Beschluss um an die Daten zu kommen.

Beispiel: Sie haben vertrauliche Patent- Unterlagen bei AWS (Amazon Cloud) gespeichert. Damit verstoßen Sie gegen das Geschäftsgeheimnisgesetz, wonach Sie vertrauliche Unterlagen auch vertraulich behandeln müssen. Sie könnten also in diesem Fall keine Haftungsansprüche geltend machen.

Kann ich weiterhin Microsoft Office 365

analog Google G-Suite, Apple ICloud u.a einsetzen?

Die Fragestellung ist nunmehr, wie investitionssicher eine Anschaffung von Microsoft 365 oder anderen Cloud-Diensten ist und ob es weiterhin genutzt werden kann. Nachfolgend ein kleiner Abriss am Beispiel Microsoft (Office) 365, im Rahmen einer Pro/Contra Betrachtung.

Pro Nutzung:

Microsoft Office 365 ist derzeit relativ alternativlos, was das Gesamtpaket angeht. Für einzelne Anwendungen gibt es Alternativen.
Die Aussagen der DSK zu MS 365 haben keine rechtlich bindende Wirkung, sondern nur Empfehlungscharakter.
Die DSK hat alte Dokumente und Verträge (Stand 01/20) bewertet, mittlerweile gibt es neuere Versionen (DPA 21.07.20, OST 01.10.20).
Die Microsoft-Server befinden sich in Deutschland/ Europa.
Microsoft hat selbst sog. Standard Contract Clauses aufgesetzt. Demnach ist die Nutzung von Microsoft 365 nach dem EuGH Urteil weiterhin möglich

https://news.microsoft.com/de-de/stellungnahme-zum-urteil-des-eugh-was-wir-unseren-kunden-zum-grenzueberschreitenden-datentransfer-bestaetigen-koennen/

Contra Nutzung:

Microsoft, bzw. der Mutterkonzern ist ein US-amerikanisches Unternehmen und unterliegt

somit den nationalen Bestimmungen des Cloud Act (s.o.). Demnach muss ein US-amerikanisches Unternehmen den US-Behörden auch dann Daten zur Verfügung stellen, wenn die Daten im Ausland gespeichert werden, auch wenn es sich dabei um Daten von Nicht US-Bürgern handelt.

„…..Damit sind jene schützenswerten persönlichen Daten von EU-Bürgern ebenso wenig sicher, wie Telemetriedaten oder auch Unternehmensdaten – von wirtschaftlichen Informationen über Geschäftsgeheimnisse bis hin zu geistigem Eigentum. Damit kollidiert der CLOUD Act mit Gesetzen in Deutschland, etwa dem Gesetz zum unlauteren Wettbewerb und der Europäischen Union, allen voran der Datenschutzgrundverordnung (DSGVO)….“

Quelle: White Paper Auswirkungen auf Datenschutz und Datensicherheit in Deutschland und Europa Streitfrage CLOUD Act IONOS RESMEDIA

Sie als Unternehmen können nicht kontrollieren, was und wo etwas mit den Daten geschieht.

Somit ist ein effektiver Datenschutz nach europäischen Maßstäben nicht gewährleistet. Problematische Klausel:

„….. Unter Berücksichtigung solcher Sicherheitsmaßnahmen beauftragt der Kunde Microsoft, Kundendaten und personenbezogenen Daten in die Vereinigten Staaten von Amerika oder in jedes andere Land zu übermitteln, in dem Microsoft oder ihre Unterauftragsverarbeiter tätig sind, und Kundendaten und personenbezogenen Daten zur Bereitstellung der Onlinedienste zu speichern und zu verarbeiten, ausgenommen wie an anderer Stelle in den DPA-Bestimmungen beschrieben….“

Quelle: Microsoft- Onlinedienste Nachtrag zum Datenschutz Punkt Datenübermittlungen und Speicherstelle Seite 10 MicrosoftOnlineServicesDPA(WW)(German)(July21,2020)(CR)

Demnach würde der Kunde Microsoft sogar beauftragen, Daten in die USA, oder an jeden anderen beliebigen Standort hin zu übermitteln. Dies entzieht sich der tatsächlichen Regulierbarkeit auf Kundenseite und kann zu Haftungsansprüchen führen.

Fazit: Egal wie wir es drehen und wenden: Microsoft Produkte sind ein Sicherheitsrisiko. Die Frage ist, wann und wie sich Microsoft positioniert. Wie erwähnt, trifft diese Unsicherheit auch auf Apples ICloud und sämtliche Google Produkte, sowie Amazon AWS, u.a. zu. Zwar wird argumentiert das die Server in Europa stehen, aber im Zweifelsfall gehen alle Daten zu US-amerikanischen Behörden. Großbritannien ist derzeit das einzige Land, das ein bilaterales Abkommen (Executive Agreement) mit den USA hat, wonach zuvor ein richterlicher Beschluss zur Datenherausgabe erforderlich ist.

Jedes Unternehmen sollte sich also überlegen, welche Daten in der US- Cloud „gelagert“ werden und ob es zu Problemen kommen könnte, wenn diese Daten kompromittiert werden.

In dieser Grafik sehen Sie die Behördenanfragen an Microsoft aus dem Jahr 2019. Demnach gab es im gesamten Jahr 19.377 Behördenanfragen an Microsoft, nur alleine für den Bereich Deutschland.

Auf Grund der unsicheren Rechtslage ist derzeit zwar nicht mit Bußgeldern seitens der Aufsichtsbehörde zu rechnen. Allerdings ist das EuGH Urteil und die Entscheidung der DSK ein Indiz dafür, das sich zukünftig etwas ändern muss. D.h. der Einsatz von Microsoft Produkten kann zukünftig nicht einfach mehr damit begründet werden, dass es keine Alternativen gibt. Es muss zudem begründet werden, dass es wirtschaftlich nicht vertretbar ist andere Produkte einzusetzen (Interessenabwägung). Inwieweit Microsoft das Dilemma Cloud-Act vs DSGVO und EuGH Entscheidung in den Griff bekommt kann momentan nicht beurteilt werden. Langfristig wird das jedoch ein Wettbewerbsthema werden.

Empfehlung:

Kontaktaufnahme mit Microsoft oder dem Vertriebspartner. Aufnahme einer Klausel in die Verträge, damit MS365 Verträge bei drohender Nichtanwendbarkeit der Produkte (Verweis auf EuGH Urteil) rückabgewickelt werden können.
Einforderung zusätzlicher Garantien von Microsoft zur Handhabung Cloud Act (Binding Corporate Rules).
Suche nach europäischen Alternativen, z.B. Ecosero als Teams/Zoom Ersatz. - Lokale Office Installationen als Alternative zur Cloud Lösung- Somit zumindest Eindämmung des Datentransfers.
Prüfung ob eine eigene, deutsche/ europäische Unternehmens-Cloud aufgesetzt werden kann (z.B. IONOS Cloud).
Bei Nutzung von MS 365, Überlegungen durch Nutzung zusätzlicher Features das Sicherheitsniveau zu erhöhen (Verschlüsselung, z.B. Eperi, HYOK).
Erstellung einer Datenschutzfolgeabschätzung zur Dokumentation und Risikobewertung.

Muss ich die Datenschutzerklärung auf der Webseite anpassen?

Sofern Sie die Daten, die Sie bei der Datenerhebung und Verarbeitung US-amerikanischen Anbieter nutzen, ja.

Beispiele:

SurveyMonkey Umfragetool
Zendesk CRM
ManyChat Chatbot

Denn neben der Verpflichtung zur Einholung von Einwilligungen, gibt es noch die Informationspflicht. Die Datenschutzerklärung soll zum Einsatz verwendeter Technologien und Prozessen und Verarbeitern informieren und zudem die Wahrung von Betroffenenrechten ermöglichen (Recht auf Auskunft, Löschung, etc.). Zudem ist die Erklärung von Begrifflichkeiten (z.B. Content Delivery Network, etc.) erforderlich.

Lösungsansätze

Wer schreibt der bleibt. Das ist in etwa die Quintessenz im Datenschutz. Dokumentation ist alles. Auch bei der Bewertung, ob die Produkte und Dienstleistungen von US-amerikanischen Unternehmen eingesetzt werden, zählt zukünftig die dokumentierte Interessenabwägung.

Suchen Sie nach europäischen Alternativen
Führen Sie eine dokumentierte Interessenabwägungen durch (wirtschaftliches Interesse vs. Betroffenenrechte)

Warum benötige ich genau diesen Dienst, dieses Feature?
Gibt es Alternativen (s.o.)?
Wie schwer würde eine etwaige Datenschutzverletzung wiegen?
Welche Daten speichere ich in der Cloud?

Die Datenschutzerklärung auf der Webseite sollte, ggf. überarbeitet werden.
Informationspflichten an Betroffene sollten, ggf. überarbeitet werden.