Teil I Rechtslage
In der Presse ist im Moment wieder davon zu lesen, dass man Rechenzentren von US Cloudanbietern auch dann nicht beauftragen darf, wenn diese ihren Sitz in Deutschland haben; dass man zum Beispiel Microsoft 365 nicht einsetzen darf; welche Schwierigkeiten für Unternehmen mit Sitz in Deutschland bestehen, deren Gesellschaftsanteile sich in der Hand von US Unternehmen befinden.
Rechtslage
Personenbezogene Daten dürfen nur dann aus der EU beziehungsweise sicheren Drittländern in nicht sichere Drittländer exportiert werden, wenn eine Analyse durchgeführt wurde, ob die faktischen Gegebenheiten in dem betroffenen Drittland die Annahme erlauben, dass die personenbezogenen Daten in dem betroffenen Drittland gemäß den Vorschriften der DSGVO verarbeitet werden.
Datenexporte auf der Basis der Standardvertragsklauseln müssten – wenn man zu dem Ergebnis kommt, dass die Verarbeitung der personenbezogenen Daten in dem betroffenen Drittland nicht den Vorschriften der DSGVO genügt – durch technische und organisatorische Maßnahmen ergänzt werden. Sind solche Maßnahmen unmöglich durchzusetzen, ist die Übermittlung der personenbezogenen Daten in das betroffene Drittland unzulässig.
Im Jahre 2020 hat der EUGH (Urteil vom 16.7.2020 / C-311/18) in seiner Entscheidung Schremps II den Angemessenheitsbeschluss der EU Kommission zu Datenexporten in die USA auf der Grundlage des Privacy Shield für ungültig erklärt. Die amerikanischen Sicherheitsbehörden könnten aufgrund der Vorschriften der FISA 702 (Foreign Intelligence Surveillance Act) und der E.O. 12333 unverhältnismäßig in die Rechte der betroffenen Personen eingreifen. Die betroffenen Personen verfügten überdies über keine wirksamen Rechtsbehelfe.
Damit bestand und besteht keine wirksame Grundlage für eine Übermittlung in die USA.
Artikel 44 DSGVO Ist eine Zugriffsmöglichkeit eine Übermittlung?
Eine Übermittlung personenbezogener Daten liegt nun bestimmt dann vor, wenn man Daten übermittelt. Also zum Beispiel der US-Konzernmutter mit Sitz in den SUA die Daten per Datei zur Verfügung stellt.
Aber warum sollte die Entscheidung Schremps II gegen die Beauftragung eines in Deutschland belegenen Rechenzentrums eines US Unternehmens sprechen? Schließlich werden die personenbezogenen Daten ja nicht aus Deutschland heraus transportiert.
Antwort: Weil der EuGH schon das Bestehen der Zugriffsmöglichkeit als Übermittlung qualifiziert.
Der EUGH geht von einem denkbar weiten und umstrittenen Begriff der Übermittlung nach Artikel 44 DSGVO aus. Schon in der abstrakten Zugänglichmachung oder der Möglichkeit, Daten aus den USA abzurufen, soll eine Übermittlung im Sinne des Artikel 44 DSGVO vorliegen.
Eine Übermittlung soll in jedem Fall dann vorliegen, wenn der US Behörde Zugriffsrechte eingeräumt werden, da die US Behörde in diesem Fall jederzeit Zugriff nehmen könne und dann Daten verarbeitet werden können.
In diesem Kontext ist die Regelung der FISA 702 zu beachten, weil durch die Anwendung dieser Regelung jeder Service Provider zur Herausgabe von Daten und zur Einräumung von Zugriffsrechten verpflichtet ist. Verpflichtet sind eben nicht nur Anbieter von Kommunikations-Dienstleistungen, sondern auch Rechenzentrumsdienstleister, Anbieter von SAAS Services (also auch Microsoft 365) etc. Die Tochtergesellschaften gelten dabei als Vertreter der in den USA beheimateten Muttergesellschaft. Das bedeutet, dass ein in den USA beheimatetes Unternehmen gezwungen werden kann, seine in Deutschland belegende Tochtergesellschaft dazu zu zwingen, Zugriff auf personenbezogene Daten zu nehmen.
In der Konsequenz bedeutete die Entscheidung Schremps II des EuGH zu Ende gedacht, dass die Anbieter von Cloud Services nicht aus den USA stammen dürfen.
Teil II Praktische Hinweise
Im Teil II gebe ich praktische Hinweise darüber, wie mit dieser Rechtslage derzeit umgegangen werden sollte. Immer unter dem Verdikt, dass eine Änderung der Rechtslage im März 2023 möglich ist, wenn die EU Kommission die Vorschläge zur Überwindung geprüft und inhaltlich anerkannt hat.