Datenschutzkonforme Nutzung von Cloud-Lösungen aus unsicheren Drittländern durch Trennung von Service und Inhalten - Wissenschaftliches ...

Die Seite wird erstellt Kuno Fleischer
 
WEITER LESEN
Datenschutzkonforme Nutzung von Cloud-Lösungen aus unsicheren Drittländern durch Trennung von Service und Inhalten - Wissenschaftliches ...
Univ.-Professor Dr. Dirk Heckmann

    Datenschutzkonforme Nutzung von Cloud-Lösungen
              aus unsicheren Drittländern
        durch Trennung von Service und Inhalten

                    Wissenschaftliches Rechtsgutachten
                            vom 27. Mai 2021
Inhaltsverzeichnis

Management Summary
Vorbemerkung: Das Cloud-Risiko wächst
I. Cloud-Dienste: unverzichtbar
1. Cloud-Dienste als Bestandteil der Digitalisierung in Staat, Wirtschaft und Gesellschaft
2. Cloud Computing im Lichte deutscher und europäischer Datenstrategien
3. US-amerikanische Dienstleister: Angebot und Nachfrage in Unternehmen und Behörden
II. Cloud-Beziehungen: es ist kompliziert
1. Allgemeine Grundsätze der Datenübermittlung in Drittländer
2. Mögliche Erlaubnisgründe für die Übermittlung in Drittländer
  a) Angemessenheitsbeschluss, Art. 45 DSGVO
  b) Garantien, Art. 46 DSGVO
  c) Ausnahmeregelungen, Art. 49 DSGVO
3. Bisherige Rechtsgrundlagen für den Datentransfer in die USA
  a) Safe-Harbor-Abkommen
  b) EU-US-Privacy-Shield
4. Künftige Lösungen/Lösungsversuche
  a) Lösung über Standarddatenschutzklauseln?
  b) Weitere Lösungsversuche?
  c) Reaktionen aus der Praxis
5. Zwischenfazit
III. „R&S®Trusted Gate“, Cloud Computing und DSGVO
1. Datenzentrische Sicherheit: virtualisieren – verschlüsseln – fragmentieren – verteilen
2. Die Innovation: Trennung von Cloud Service (Geschäftsebene) und inhaltlicher Datennut-
   zung (Verschlüsselungsebene)
3. Vertrauenswürdigkeit durch Datenherrschaft
4. R&S®Trusted Gate als datenschutzkonformes Mehrebenensystem
  a) Datenverarbeitung auf der Verschlüsselungsebene des Unternehmens/der Behörde
  b) Datenverarbeitung auf der Geschäftsebene der Cloud-Dienste im „unsicheren Drittland“
5. Exkurs: Übertragbarkeit des Schutzniveaus auf Restriktionen der Exportkontrolle (AWG)
IV. Ausblick und Disclaimer

                                                                                             2
Management Summary
1. In zunehmend digitalisierten, vernetzten und automatisierten Arbeitsumgebungen spielt Cloud Com-
puting eine zentrale Rolle. Erst dieses ermöglicht verteiltes Rechnen und gemeinsames – auch grenz-
überschreitendes – Arbeiten. Die Bedeutung von Cloud Computing wird auch in den Daten- und Digital-
strategien auf deutscher und europäischer Ebene betont.
2. Unternehmen und Behörden nutzen für ihren Bedarf an Cloud Computing seit vielen Jahren überwie-
gend Anwendungen, Dienste und Services von US-amerikanischen Anbietern wie Microsoft, Google oder
Amazon. Dies wird insbesondere mit deren hoher Funktionalität und Skalierbarkeit sowie wirtschaftli-
chen Erwägungen begründet.
3. Unterdessen wird der Einsatz solcher Cloud-Dienste datenschutzrechtlich sehr kritisch gesehen, wes-
halb die Datenschutzkonferenz in Deutschland mit einer Task Force prüft, ob auf einen Wechsel des
Anbieters oder eine Aussetzung der Übermittlung hinzuwirken ist, oder gar Sanktionen angezeigt sind.
Weil es sich bei den USA um ein sog. „unsicheres Drittland“ handelt, bedarf die mit der Cloud-Nutzung
einhergehende Übermittlung personenbezogener Daten einer besonderen Rechtfertigung gem. Art. 44
ff. DSGVO. Das danach erforderliche gleichwertige Datenschutzniveau kann – nachdem der Europäische
Gerichtshof in seinem Urteil „Schrems II“ das Abkommen EU-US-Privacy-Shield für ungültig erklärt hat
– nach überwiegender Auffassung auch nicht durch sog. Standarddatenschutzklauseln gewährleistet
werden.
4. Das gilt besonders für solche Anbieter, die für ihre Dienstleistung die Übermittlung von unverschlüs-
selten Klardaten benötigen. Nach Auffassung des Europäischen Datenschutzausschusses (EDSA) be-
steht in dieser Variante des Cloud Computing derzeit kein zulässiger Weg für die Datenübermittlung in
die USA. Der EDSA schließt aber nicht aus, „dass durch künftige technische Entwicklungen Maßnahmen
möglich werden könnten, die die beabsichtigten Geschäftszwecke erfüllen, ohne dass Zugang zu den
unverschlüsselten Daten benötigt würde“.
5. Eine solche technische Innovation bietet mittlerweile das Unternehmen Rohde & Schwarz Cyber-
security mit seiner Lösung „R&S®Trusted Gate“. Die Besonderheit dieser Lösung liegt in der sicheren
Gestaltung eines Mehrebenensystems: Danach werden die (personenbezogenen) Inhalte der sog. Ver-
schlüsselungsebene von den Cloud-Diensten auf der sog. Geschäftsebene getrennt. Auf diese Weise kön-
nen die Vorteile der externen Cloud-Dienste genutzt werden, ohne dass personenbezogene Daten in ein
„unsicheres Drittland“ übermittelt werden. Die Unternehmen und Behörden behalten die Datenherr-
schaft und vermögen die Anforderungen der DSGVO in ihrer eigenen IT-Umgebung zu erfüllen. Dafür
tragen sie auch die Verantwortung. Dass diese Trennung auf technisch sichere Weise gelingt, garantiert
der Hersteller Rohde & Schwarz Cybersecurity – glaubhaft* - gegenüber seinen Kunden.
6. Lässt sich die technische Umsetzung nach Herstellerangaben bewerkstelligen – was in diesem Rechts-
gutachten aufgrund der Beschränkung auf eine (datenschutz-) rechtliche Prüfung nur unterstellt wer-
den kann – dann werden auch die aktuell geäußerten Zweifel der Datenschutzaufsichtsbehörden im
Hinblick auf die Nutzung der inkriminierten Cloud-Dienste beseitigt: Mangels Übermittlung personen-
bezogener Daten in ein Drittland sind die strengen Vorgaben der Art. 44 ff. DSGVO nicht relevant. Es
bedarf keines weiteren Nachweises eines gleichwertigen Datenschutzniveaus.
7. In gleicher Weise werden durch diese Lösung auch außenwirtschaftsrechtliche Bedenken im Hinblick
auf eine Exportkontrolle beseitigt, weil die Daten quasi das Land nicht „verlassen“.
* Rohde & Schwarz ist ein geheimschutzbetreutes Unternehmen und darf damit Informationen, die auf amtliche
Veranlassung geheim gehalten werden müssen (Verschlusssachen), bearbeiten. Die Aufsichtsbehörde in diesem Zu-
sammenhang ist das BMWi.

                                                                                                                3
Vorbemerkung: Das Cloud-Risiko wächst
„Die Cloud wird zum Risiko“. So titelte das Handelsblatt in seiner Ausgabe vom 11. Februar
20211 und verweist darauf, dass Europas Firmen trotz wackeliger Rechtsgrundlage massenhaft
Daten auf Server von US-Techkonzernen verlagern. Und die Autoren Dieter Fockenbrock, Diet-
mar Neuerer, Yasmin Osman, Stephan Scheuer und Frank Specht führen weiter aus:

„Es gibt kaum noch Unternehmen in Deutschland, die ohne die Dienste der US-Techkonzerne
auskommen. Die Deutsche Bahn schaltet die eigenen Server weitgehend ab und setzt auf Ama-
zon und Microsoft. Die Deutsche Bank verlagert ihre IT-Systeme in die Google-Cloud. Seit Be-
ginn der Pandemie hat sich die Abhängigkeit noch verstärkt. Schließlich bieten die US-Giganten
auch leistungsstarke Home-Office-Lösungen. Für die Firmen könnte dieser massenhafte Daten-
transfer zum teuren Problem werden, denn die Aufsichtsbehörden bringen sich in Stellung. Da-
tenschützer in Hamburg und Baden-Württemberg haben entsprechende Verfahren eingeleitet.
Auslöser waren Beschwerden, dass die Daten in der Cloud nicht ausreichend geschützt seien.
"Wir gehen dem nach und beteiligen uns auch an länderübergreifenden Prüfmaßnahmen", sagt
Stefan Brink, Datenschutzbeauftragter von Baden-Württemberg. Die Zusammenarbeit mit US-
Cloud-Diensten ist heikel, da die Geheimdienste der Vereinigten Staaten weitgehenden Zugriff
auf die bei US-Unternehmen gespeicherten Daten haben. Spätestens seitdem der Europäische
Gerichtshof im Juli die Rechtsgrundlagen für den Transfer personenbezogener Daten europäi-
scher Bürger in die USA ("Privacy Shield") wegen ungenügenden Datenschutzes kassiert hat,
verstoßen viele US-Produkte gegen europäischen Datenschutz. Gegen deutsche Firmen, die die
Dienste dennoch einsetzen, sind Bußgelder von bis zu 20 Millionen Euro möglich. Die Industrie
ist alarmiert. Brüssel müsse unbedingt ein Nachfolgeabkommen aushandeln, sagte Iris Plöger
vom Industrieverband BDI, "um die dringend benötigte Rechtssicherheit im unverzichtbaren
transatlantischen Daten- und Wirtschaftsverkehr wiederherzustellen". […]
Die EU-Kommission sollte "umgehend mit der neuen US-Administration in Verhandlungen
über eine wirksame Nachfolgeregelung zum Privacy Shield eintreten", sagte der Präsident des
Außenhandelsverbands BGA, Anton Börner. Doch niemand kann sagen, wie lange die Verhand-
lungen dauern werden und ob am Ende überhaupt ein neues Abkommen mit den USA zustande
kommen wird.
Derweil binden sich viele Unternehmen noch stärker an die US-Anbieter, anstatt sich von ihnen
zu lösen. Das Handelsblatt erfuhr von etlichen Firmen in Deutschland, die aufgrund der Pande-
mie kurzfristig Videokonferenzsysteme aufbauen mussten, um auch in Zeiten der Kontaktbe-
schränkungen mit Mitarbeitern im Homeoffice im Kontakt zu bleiben. Trotz zahlreicher kleine-
rer Anbieter aus Europa konnten sich meist die beiden US-Dienste Teams von Microsoft und
der US-Videoanbieter Zoom durchsetzen. […]
Alleine Daten in Europa zu speichern reicht in vielen Fällen nicht aus, betont Baden-Württem-
bergs Datenschutzbeauftragter Stefan Brink: "Im Prinzip ist das der richtige Ansatz. Allerdings

1https://www.handelsblatt.com/technik/it-internet/datenschutz-die-cloud-wird-zum-risiko-deutschen-kon-
zernen-drohen-millionenschwere-strafen/26894742.html?ticket=ST-3363272-PyeIf9dtzdSUivWjhCdv-ap2.
                                                                                                         4
hilft das nur wenig bei US-Dienstleistern, welche dem US-Cloud-Act unterliegen und auch Da-
ten, welche ausschließlich in der EU verarbeitet werden, ihren US-Geheimdiensten auf Anfor-
derung ausliefern müssen."
Der CLOUD Act verpflichtet US-amerikanische Unternehmen, gespeicherte Kundendaten an
Strafverfolgungsbehörden in den USA weiterzugeben - etwa im Fall eines Terrorverdachts. "Be-
troffen sind praktisch alle US-Produkte", sagte Brink. […]
Ob die Konzerne sich mit der Entscheidung juristisch angreifbar machen, mit dieser Frage müs-
sen sich nun die Datenschutzbeauftragten beschäftigen. Johannes Caspar, der hamburgische
Beauftragte für Datenschutz, ist auch Co-Vorsitzender einer speziellen Taskforce zur Cloud-
Problematik. Die Gruppe soll Wege finden, wie die deutschen Aufsichtsbehörden gemeinsam
erreichen können, dass das EuGH-Urteil zur Datenübermittlung über den Atlantik auch umge-
setzt wird.
Die Taskforce frage bei deutschen Unternehmen den Einsatz von Diensten von US-Unterneh-
men ab, erklärt Caspar. "Unternehmen, die US-Anbieter einsetzen, um etwa Analyse- und Tra-
ckingdienste zu betreiben, werden dann begründen müssen, auf welcher Grundlage die Daten-
übermittlung erfolgt", sagt der Datenschützer. "Kann keine zufriedenstellende Antwort gege-
ben werden, werden die Behörden auf einen Wechsel des Anbieters oder eine Aussetzung der
Übermittlung hinwirken und auch prüfen, ob Sanktionen angezeigt sind."
Caspars Kollege Brink sieht deutsche Firmen, die personenbezogene Daten in die USA übermit-
teln, einem erheblichen rechtlichen Risiko ausgesetzt. Die europäischen Unternehmen seien
aktuell "mit einer massiven Bußgeldgefahr konfrontiert und benötigen rasche Lösungen", so
Brink. Unternehmen könnten die Problematik eines Datentransfers zwar durch eine "wirksame
Verschlüsselung" in den Griff bekommen. "Allerdings erfordern viele Datenverarbeitungen in
der Cloud eine vorherige Entschlüsselung der Daten, sodass die Transferproblematik in diesen
Fällen wieder auflebt." […]

In einem Artikel vom 14. April 20212 legen Christoph Herwartz und Dietmar Neuerer im Han-
delsblatt unter der Überschrift „Deutsche Firmen in der Datenschutzfalle – Behörden intensi-
vieren Ermittlungen wegen US-Cloud-Nutzung“ nach:
„Die Datenschutz-Aufsichtsbehörden in Deutschland wollen Unternehmen jetzt bundesweit
wegen der Nutzung von US-Cloud-Diensten wie Amazon, Microsoft, Google ins Visier nehmen.
Grundlage sollen mehrere Fragenkataloge sein, die aktuell von einer „Taskforce“ der Daten-
schutzkonferenz (DSK) der Länder und des Bundes erarbeitet werden. „Ziel der Aktion ist die
proaktive Ansprache von Unternehmen im Rahmen einer Stichprobe“, sagte der Hamburger
Datenschützer Johannes Caspar dem Handelsblatt. Diese solle unabhängig von Beschwerden zu
der Thematik erfolgen. Angesichts der „klaren Rechtslage“ müssten die Aufsichtsbehörden
nicht einschlägige Beschwerden abwarten, sagte auch Baden-Württembergs Datenschützer
Stefan Brink dem Handelsblatt. […]

2https://www.handelsblatt.com/politik/deutschland/amazon-microsoft-google-deutsche-firmen-in-der-daten-
schutzfalle-behoerden-intensivieren-ermittlungen-wegen-us-cloud-nutzung/27089768.html.
                                                                                                      5
Die Behörden gehen derzeit bereits Beschwerden über Webseiten-Betreiber nach, die Tra-
cking-Tools einsetzen und Daten in die USA übermitteln. Weitere Beschwerden betreffen Un-
ternehmen, die Software nutzen, die in den USA gehostet wird. Dabei handelt es sich unter an-
derem um Office-Software, Videokonferenzdienste und Umfragetools zur Mitarbeiterzufrie-
denheit. […]
Der Datenschützer Brink sprach von einer „extremen“ Herausforderung für „sehr viele“ Unter-
nehmen, der Rechtslage gerecht zu werden. „Das gilt insbesondere für jene Bereiche, bei denen
US-Anbieter eine Monopolstellung haben oder marktbeherrschend sind“, sagte er. […] Ob eine
Lösung aus dem gegenwärtigen Dilemma gefunden wird, ist indes ungewiss. […] Was dies kon-
kret bedeutet, bringt Datenschützer Caspar auf den Punkt. „Klar ist, am Ende kann das Kern-
problem ausufernder staatlicher Massenüberwachung in einzelnen Drittstaaten nicht durch die
datenexportierenden Unternehmen gelöst werden“ […] Gleichzeitig, mahnte Caspar, müssten
Bedingungen innerhalb Europas geschaffen werden, um heimische IT-Lösungen zu entwickeln,
die mit denen von Dienstleistern in Übersee konkurrenzfähig seien. „Insoweit bietet die Ent-
scheidung des EuGH letztlich eine Chance auch für die Idee der digitalen Souveränität in Eu-
ropa.“

In dem vorliegenden Rechtsgutachten wird das Dilemma einer datenschutzkonformen Cloud-
Nutzung von Diensten dargestellt, deren Anbieter ihre Hauptniederlassung in einem „unsiche-
ren Drittstaat“ wie den USA haben. Vor diesem Hintergrund wird wiederum untersucht, ob eine
technische Lösung wie jene des Unternehmens Rohde & Schwarz Cybersecurity mit „R&S®Trus-
ted Gate“ den gordischen Knoten durchschlagen kann, den der Europäische Gerichtshof mit sei-
nen Entscheidungen zu Safe Harbor und Privacy Shield festgeknüpft hat. Damit könnte zugleich
den von Datenschutzaufsichtsbehörden geäußerten Bedenken Rechnung getragen werden,
dass eine bloße Verschlüsselung der Daten nicht weiterhilft, soweit diese innerhalb der Cloud-
Nutzung im Klartext bearbeitet werden müssen (was etwa bei Microsoft 365 der Fall ist).
Gleichzeitig wird die Frage aufgeworfen, ob es wirklich unvermeidbar ist, heimische IT-Lösun-
gen zu entwickeln, „die mit denen von Dienstleistern in Übersee konkurrenzfähig seien“. Wäre
der bessere Weg nicht, durch technische Innovationen etablierte Lösungen auch unter (daten-
schutz-) rechtlichen Bedingungen in Deutschland einsetzbar zu gestalten?

                                                                                            6
I. Cloud-Dienste: unverzichtbar
1. Cloud-Dienste als Bestandteil der Digitalisierung in Staat, Wirtschaft und Gesellschaft
Die Covid-19-Pandemie hat nicht nur gezeigt, wie fundamental wichtig die Digitalisierung ist;
hierzu gehört etwa der Aufbau digitaler Infrastrukturen mit einer flächendeckenden und
durchgehenden Implementierung digitaler Geschäfts- und Verwaltungsprozesse sowie die Be-
fähigung aller Akteure, Zugang zu solchen Diensten zu erhalten, um diese zur Erfüllung ihrer
Aufgaben oder Wahrung ihrer Interessen nutzen zu können.3 Es ist auch deutlich geworden,
dass ein Großteil dieser Dienste in digitalen Infrastrukturen nur funktionieren kann, wenn die
Daten und die zu ihrer Verarbeitung notwendigen Anwendungen auf zentralen Servern vorge-
halten werden. Anderenfalls wäre für viele Unternehmen weder das Angebot zur Arbeit im
„Home-Office“ noch der Online-Vertrieb ihrer Produkte möglich. Auch die öffentliche Verwal-
tung, beispielweise in den Gesundheitsbehörden oder der inneren Verwaltung, ließe sich ande-
renfalls nicht in dem notwendigen Maße vernetzen. Tatsächlich zählt Cloud Computing zu den
wesentlichen Systemelementen der digitalen Infrastrukturen in Staat, Wirtschaft und Zivilge-
sellschaft. Wie selbstverständlich wird zur Überwindung der unvermeidbaren sozialen Distan-
zierung4 unter den Bedingungen der Pandemiebewältigung auf Home-Office, Home-Schooling
oder Online-Registrierung bei den Impfzentren abgestellt, was genau jene Zentralisierung und
Vernetzung voraussetzt, die erst Cloud Computing bietet5. Cloud-Dienste erscheinen derzeit
mehr denn je unverzichtbar.
2. Cloud Computing im Lichte deutscher und europäischer IT-Strategien
Die zentrale Bedeutung von Cloud Computing ist auch seit Jahren in der Politik anerkannt. Es
gibt praktisch keine politische Strategie, kein Wahlprogramm, keinen Koalitionsvertrag6 und
kein Positionspapier, das nicht die „Cloud“ adressiert (sei es als Bildungscloud, als mCloud für
offene Mobilitäts-, Geo- oder Wetterdaten oder zur grenzüberschreitenden Verknüpfung rele-
vanter Informationen in Datenräumen).
So nannte auch die IT-Strategie der Bundesverwaltung vom 19.2.2017 die Errichtung einer
Bundescloud7. Die Deutsche Verwaltungscloud-Strategie des IT-Planungsrates vom 17.11.2020
legt wiederum Standards für die föderale Nutzung von Cloud-Lösungen fest.8

3 Zum Digitalisierungsschub durch Corona vgl. Heckmann/Rachut, Kontrolle ist gut, Vertrauen ist besser, COVuR
2021, 194.
4 Hierzu Heckmann/Paschke, Datenbasierte Pandemiefolgenbewältigung, in: Thun/Heinemann/Aulenkamp,

Frauen in der digitalen Zukunft der Medizin und Gesundheitswirtschaft; 2021 (im Erscheinen); Heckmann, Die
Wohnung als Hörsaal: Hochschulen im Home-Office, in: Nachtweih/Sureth, Zukunft der Arbeit, 2020, S. 149 ff.
5 Heckmann, Cloud Computing im Zeitgeist, in: FS Würtenberger, 2013, S. 17 ff.; Heckmann/Scheurer, in. Heck-

mann/Paschke, juris Praxiskommentar Internetrecht, 7. Aufl. 2021, Kap. 9 Rn. 744 ff.
6 Vgl. https://www.bundesregierung.de/re-

source/blob/975226/847984/5b8bc23590d4cb2892b31c987ad672b7/2018-03-14-koalitionsvertrag-
data.pdf?download=1.
7   https://www.cio.bund.de/SharedDocs/Publikationen/DE/Strategische-Themen/it_strategie_der_bundesver-
waltung_download.pdf?__blob=publicationFile.
8     https://www.it-planungsrat.de/SharedDocs/Downloads/DE/Entscheidungen/33_Sitzung/TOP15_AL_Deut-
sche_Verwaltungscloud_Strategie.pdf?__blob=publicationFile&v=2
                                                                                                           7
Die Datenstrategie der Bundesregierung vom 27.1.2021 stellt wiederum die Vernetzung de-
zentraler Infrastrukturdienste zu einem nutzerfreundlichen System in den Mittelpunkt. Das
Ziel ist die Schaffung eines vertrauensvollen, offenen und transparenten Ökosystems, in dem
Daten und Dienste verfügbar gemacht, zusammengeführt und vertrauensvoll geteilt werden
können. Hierzu dient insbesondere das Projekt GAIA-X:
      „Vor dem Hintergrund der Rechtsprechung des EuGHs zum Privacy Shield müssen sich internationale
      Cloud-Anbieter in Europa neu aufstellen. Zur Stärkung der Datensouveränität europäischer Ver-
      braucherinnen und Verbraucher sowie Unternehmen werden wir technische, rechtliche und institu-
      tionelle Lösungen suchen, um den in der Praxis aufwendigen Wechsel von Cloud-Dienstleistern zu
      erleichtern und Lock-In-Effekte zu verringern. Wir wollen ein vertrauensvolles Ökosystem schaffen,
      in dem Wirtschaft, Wissenschaft und Gesellschaft ihre Daten zur kontrollierten (Nach-)Nutzung tei-
      len können. Hierzu wird das europäische Vorhaben GAIA-X- Lösungen anbieten können. Es setzt auf
      europäische Werte, Open-Source-Anwendungen und interoperable Standards.“9

Europas Digitale Dekade, die die digitalen Ziele der EU für 2030 setzt, wurde am 9.3.2021 vor-
gestellt.10 Auch hierbei spielen Edge- und Cloud-Computing eine große Rolle. Danach sollen ei-
nerseits 10.000 klimaneutrale Rechenzentren in Europa entstehen und die Datenverarbeitung
auch durch Cloud-Anbieter in Europa fördern. Gleichzeitig sollen über 90 % der KMU in Europa
zumindest ein Basisniveau an digitaler Intensität erreichen und 75 % der EU-Unternehmen
Cloud/KI/Big Data nutzen.11 Auch dies wird zu einer weiteren Nachfrage bereits etablierter US-
amerikanischer Cloud-Anbieter führen. Die marktführenden Anbieter der etablierten Stan-
dardlösungen wie Microsoft 365 oder Google Data Analytics werden Systeme wie GAIA-X vor-
wiegend auf infrastruktureller Ebene nutzen und nicht dadurch ersetzbar werden.

9 Datenstrategie der Bundesregierung, 2021, S. 25.
10 https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/europes-digital-decade-digi-
tal-targets-2030_de.
11 2030 Digital Compass: the European way for the Digital Decade, COM(2021) 118 final.

                                                                                                             8
3. US-amerikanische Dienstleister:
   Angebot und Nachfrage in Unternehmen und Behörden
Es gibt zwar politische Bemühungen, „deutsche“ bzw. „europäische“ Cloud-Dienste zu entwi-
ckeln, allerdings sieht die Realität der Cloud-Nutzung 2020/2021 in der Praxis anders aus. Nach
wie vor sind es die US-amerikanischen Cloud-Anbieter Microsoft, Amazon, Google u.a.m., die
den Markt der Cloud-Dienste beherrschen. Das liegt nicht nur an den an ihre Rechenzentren
angeschlossenen Cloud-Infrastrukturen, sondern auch an den Cloud-Diensten, über die diese
Unternehmen ihre Vormachtstellung für Office-Anwendungen, im Online-Handel oder bei wei-
teren smarten Anwendungen „in die Cloud“ gebracht haben. Dies sieht man etwa bei „Microsoft
365“ (früher: „Office 365“) in Verbindung mit dem Betriebssystem Windows 10, das in seinen
„lokalen“ Versionen seit Jahren und Jahrzehnten auf den Rechnern deutscher Behörden und
Unternehmen läuft und dessen monopolartige Ausbreitung von den Nutzern nicht schon des-
halb in Frage gestellt wird, nur weil es nunmehr „in der Cloud“ läuft. Insgesamt profitieren die
großen Cloud-Anbieter auch davon, dass ihre Dienste und Anwendungen in Unternehmens-
und Behördenumgebungen unverzichtbar erscheinen und es – zumindest partiell und tempo-
rär – auch sind.

II. Cloud-Beziehungen: es ist kompliziert
Um das „Cloud-Dilemma“ besser zu verstehen, gilt es, die Rechtsgrundlagen für die mit der
Cloud-Nutzung verbundene Übermittlung personenbezogener Daten in Drittländer näher an-
zuschauen.
1. Allgemeine Grundsätze der Datenübermittlung in Drittländer
In Kapitel 5 der DSGVO (Art. 44-50) werden die Anforderungen an die Übermittlung personen-
bezogener Daten an Drittländer im Anwendungsbereich der DSGVO (Art. 3 DSGVO)12 bestimmt.
Drittländer sind alle Länder, in denen die DSGVO keine unmittelbare Anwendung findet, also
zunächst alle Länder, die nicht Mitglied der EU sind.13 Weil durch die fehlende Anwendbarkeit
der DSGVO in solchen Ländern nicht gewährleistet werden kann, dass personenbezogene Da-
ten einem ähnlichen Schutzniveau unterliegen, stellen die Art. 44 ff. DSGVO zusätzliche Anfor-
derungen für die Übermittlung personenbezogener Daten in Drittländer oder an internationale
Organisationen auf.14 Diese sollen einerseits sicherstellen, dass ein angemessenes Schutzni-
veau erhalten bleibt, andererseits aber durch Ausnahme- und Erlaubnistatbestände gewähr-
leisten, dass die globale internationale Kooperation nicht zu sehr beeinträchtigt wird.15 Nach-
dem Art. 44 S. 1 DSGVO regelt, dass Übermittlungen in Drittländer nur zulässig sind, wenn die
Bedingungen der folgenden Bestimmungen eingehalten werden, regeln die Art. 45 ff. DSGVO
Erlaubnisgründe, die „sicherstellen, dass das durch diese Verordnung gewährleistete

12 Gabel in: Taegel/Gabel, DSGVO BDSG, 3. Aufl. 2019, Art. 44 Rn. 2.
13 Pauly in: Paal/Pauly, DSGVO BDSG, 3. Aufl. 2021, Art. 44 DSGVO, Rn. 6.
14 Gabel in: Taegel/Gabel, DSGVO BDSG, 3. Aufl. 2019, Art. 44 Rn. 1.
15 Gabel in: Taegel/Gabel, DSGVO BDSG, 3. Aufl. 2019, Art. 44 Rn. 1.

                                                                                              9
Schutzniveau für natürliche Personen nicht untergraben wird“16 und die eine Übermittlung in
Drittländer grundsätzlich gewährleisten können. Hierfür gibt es mehrere Möglichkeiten.
2. Mögliche Erlaubnisgründe für die Übermittlung in Drittländer
a) Angemessenheitsbeschluss, Art. 45 DSGVO
Die einfachste Möglichkeit für eine zulässige Datenübermittlung in Drittländer ist ein soge-
nannter Angemessenheitsbeschluss nach Art. 45 DSGVO. Die Europäische Kommission kann
durch einen solchen Beschluss festlegen, dass ein Land oder ein Gebiet ein angemessenes
Schutzniveau bietet. Dieser Beschluss wirkt unmittelbar, sodass keine weiteren Genehmigun-
gen erforderlich sind, wenn der Transfer in ein solches Land erfolgen soll.17 Eine aktuelle Liste
der Länder mit entsprechendem Kommissionsbeschluss ist auf der Homepage der EU-Kommis-
sion abrufbar; darunter sind z.B. Länder wie Israel, Kanada, Argentinien, Japan oder die
Schweiz.18 Die USA zählen nicht hierzu. Sie verfehlen fast alle Kriterien, die zur Aufnahme in die
Whitelist erforderlich wären: Die überbetonten Befugnisse der Sicherheitsbehörden, beson-
ders der Geheimdienste, zum Datenzugriff (etwa durch den CLOUD Act, aber auch die ver-
schärfte Sicherheitsgesetzgebung seit 9/11), unzureichender Rechtsschutz für die Betroffenen,
unwirksame „Kontrollen“ behördlicher Zugriffe und fehlende Verfahrensvorkehrungen zur Ab-
sicherung des Datenschutzes machen es praktisch unmöglich, die USA als „sicheres Drittland“
einzustufen.
b) Garantien, Art. 46 DSGVO
Fehlt ein solcher Beschluss, so kommt es nach Art. 46 Abs. 1 DSGVO darauf an, ob der Verant-
wortliche19 oder der Auftragsverarbeiter20 geeignete „Garantien“ vorgesehen hat und den be-
troffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
In Art. 46 Abs. 2 DSGVO nennt die Verordnung mögliche Garantien, die für eine Datenübermitt-
lung eingesetzt werden können.
Bedeutende Garantien sind z.B. Standarddatenschutzklauseln (früher: Standardvertragsklau-
seln) oder besonders für Konzerne und große Unternehmen interne Datenschutzvorschriften
(Corporate Binding Rules).21 Dabei sind Standarddatenschutzklauseln keine allgemeinen Ver-
tragsbedingungen zwischen den Parteien, sondern von der EU-Kommission festgelegte offizi-
elle Vertragsklauseln, die von den Parteien im Wortlaut übernommen und an Verträge ange-
hängt werden können (hierzu genauer unten II.4 a).

16 Art. 44 S. 2 DSGVO.
17 Vgl. Art. 45 Abs. 1 S. 2; Beck in BeckOK Datenschutzrecht Wolff/Brink, 35. Edition, Art. 45 DSGVO Rn. 1.
18 https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/ade-

quacy-decisions_en.
19 „Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder Stelle, die (…) über die

Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (…)“, Art. 4 Nr. 7 DSGVO.
20 Auftragsverarbeiter ist „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die

personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“, Art. 4 Nr. 8 DSGVO.
21 Diese müssen vorher durch die Datenschutzaufsichtsbehörden freigegeben werden und sind daher noch stren-

ger.
                                                                                                                10
c) Ausnahmeregelungen, Art. 49 DSGVO
Zuletzt bietet Art. 49 DSGVO im Einzelfall Ausnahmeregelungen, falls weder ein Angemessen-
heitsbeschluss noch eine geeignete Garantie vorliegt. Unter den dort geregelten Ausnahmefäl-
len sind die Einwilligung22 und die Übermittlung zur Erfüllung eines Vertrages nach Abs. 1 lit.
a und b) hervorzuheben, wenngleich überwiegend bestritten wird, ob diese Ausnahmeregelun-
gen für die Nutzung US-amerikanischer Cloud-Dienste in der Praxis umsetzbar sind.

3. Bisherige Rechtsgrundlagen für den Datentransfer in die USA
Für das Verständnis des aktuellen Cloud-Dilemmas ist es sinnvoll, die bisherige Rechtsentwick-
lung hierzu überblicksartig zu skizzieren.
a) Safe-Harbor-Abkommen
Für Datenübertragungen in die USA bestand zwischen 2000 und 2015 das Safe-Harbor-Abkom-
men23 zwischen der EU und den USA, das entwickelt wurde, um einen Datentransfer zu ermög-
lichen. Schon nach der damaligen Datenschutzrichtlinie war eine Übermittlung in Drittländer
nur unter bestimmten Umständen erlaubt, wobei nach Art. 25 Abs. 6 der Richtlinie die Kom-
mission die Angemessenheit des Schutzniveaus in Drittländern feststellen konnte, wie es auf
Grundlage dieses Abkommens auch geschah, sodass der Datentransfer in der Folgezeit über die
Feststellung der Kommission erfolgte.24 In einem Verfahren des österreichischen Datenschutz-
aktivisten Max Schrems gegen Facebook wurde das Safe-Harbor-Abkommen zwischen der EU
und den USA für ungültig erklärt.25 Die Beschwerde bezog sich darauf, dass die irische Tochter-
gesellschaft von Facebook personenbezogene Daten europäischer Nutzer an Server der Face-
book Inc. in den USA übermittelt und verarbeitet hat.26 Dabei bieten das Recht und die Praxis
in den USA jedoch keinen ausreichenden Schutz der Daten vor unberechtigtem Zugriff durch
Sicherheitsbehörden und Geheimdienste, wie z.B. durch die Enthüllungen von Edward Snow-
den bekannt wurde.27 Nachdem die irische Datenschutzaufsicht die Beschwerde zurückgewie-
sen hatte, kam es im darauffolgenden Verfahren zum sogenannten Safe-Harbor-Urteil des EuGH
vom 06.10.2015 (C-362/14), in dem dieser feststellte, dass das Abkommen die notwendigen
Anforderungen zur Einhaltung eines angemessenen Schutzniveaus nicht erfüllen kann und es
für ungültig erklärte.28
b) EU-US-Privacy-Shield
Infolgedessen wurde das Safe-Harbor-Abkommen durch ein Nachfolgeabkommen, den sog. EU-
US-Privacy-Shield ersetzt, um einen Datenaustausch auf einfachem Wege weiter zu ermögli-
chen. In diesem Abkommen verpflichten sich die USA zu gewissen Schutzmaßnahmen, damit

22 Hierzu etwa Heckmann/Starnecker, jM 2016, 58 ff.
23 2000/520/EG, Amtsblatt Nr. L 215 v. 25.08.2000, S. 0007-0047.
24 https://www.datenschutz-wiki.de/Safe_Harbor.
25 EuGH, Urteil vom 06.10.2015 (C-362/14).
26 Henrich, MMR Aktuell 2020, 431928.
27 Henrich, MMR Aktuell 2020, 431928; zum Hintergrund: Die amerikanische Facebook Inc schließt mit Nutzern

außerhalb der USA und Kanada ihre Verträge nicht mit der Facebook Inc, sondern mit der Facebook Ireland Ltd.
mit Sitz in Irland.
28 Henrich, MMR Aktuell 2020, 431928.

                                                                                                          11
die EU im Gegenzug die Angemessenheit des Schutzniveaus im Sinne des Art. 45 DSGVO fest-
stellt. Darin waren Schutzvorkehrungen für den Austausch personenbezogener Daten zwischen
der EU und den USA festgelegt, die einen solchen ermöglichen.29
      „Wie sich aus … [der] Rechtsprechung ergibt, ist der DSS-Beschluss für die Aufsichtsbehörden inso-
      fern verbindlich, als darin festgestellt wird, dass die Vereinigten Staaten ein angemessenes Schutzni-
      veau gewährleisten, und damit Übermittlungen personenbezogener Daten, die im Rahmen des EU-
      US-Datenschutzschilds erfolgen, im Ergebnis genehmigt werden. Solange dieser Beschluss vom Ge-
      richtshof nicht für ungültig erklärt wurde, darf die zuständige Aufsichtsbehörde daher eine Über-
      mittlung personenbezogener Daten an eine Organisation, die in der Schutzschild-Liste aufgeführt ist,
      nicht mit der Begründung aussetzen oder verbieten, dass sie entgegen der Beurteilung durch die
      Kommission im DSS-Beschluss der Auffassung sei, dass die Rechtsvorschriften der Vereinigten Staa-
      ten, die den Zugang zu den im Rahmen dieses Schutzschilds übermittelten personenbezogenen Daten
      und ihre Verwendung durch die Behörden dieses Drittlands aus Gründen der nationalen Sicherheit,
      der Strafverfolgung oder des öffentlichen Interesses regelten, kein angemessenes Schutzniveau ge-
      währleisteten.“30

Im sog. Schrems-II-Urteil vom 16.7.2020 befasste sich der EuGH erneut mit der Datenübermitt-
lung in die USA, diesmal aber auf Grundlage des neuen EU-US-Privacy-Shields. Dabei stellte der
EuGH fest, dass bei einem Datentransfer in die USA aufgrund des Privacy Shields kein angemes-
senes Schutzniveau entsprechend der DSGVO gewährleistet werden kann.31 In den USA erge-
ben sich aus den dortigen Rechtsvorschriften zahlreiche mögliche Überwachungsmaßnahmen
und Auskunftsverlangen bezüglich der Daten, die nicht auf das zwingend erforderliche Maß
entsprechend der Grundsätze der DSGVO beschränkt sind, sodass kein gleichwertiger Schutz
gewährleistet werden kann.32 Hier haben insbesondere Geheimdienste und Behörden oftmals
weitreichende Zugriffs- oder Anforderungsrechte auf Daten (wobei man ergänzen muss, dass
hier nicht nur Sicherheits-, sondern auch Wirtschaftsinteressen eine große Rolle spielen – nach
allen was man von Überwachungsprogrammen wie Echolon oder Prism weiß, wonach die NSA
eben auch Wirtschaftsspionage zu ihren Aufgaben zählt33). Es fehle auch an Möglichkeiten zur
Rechtsdurchsetzung für die Betroffenen, wobei auch die Einrichtung einer sogenannten Om-
budsperson nicht ausreichend war, da diese nicht ausreichend unabhängig sei und ihr wichtige
Kompetenzen fehlen.34
      „… wurde die Ombudsperson des Datenschutzschilds zwar als „von den Nachrichtendiensten unab-
      hängig“ beschrieben, aber weiter heißt es dort, dass sie „unmittelbar dem Außenminister [unter-
      steht], der dafür Sorge trägt, dass [sie] ihre Aufgabe objektiv und frei von unzulässiger Einflussnahme
      erfüllt, die sich auf die zu erteilende Antwort auswirken kann“. Im Übrigen enthält der DSS-Beschluss,
      …, über die Feststellung der Kommission in seinem 116. Erwägungsgrund hinaus, dass die Ombuds-
      person vom Außenminister ernannt werde und einen Posten im Außenministerium der Vereinigten

29 Hoeren, EuGH: EU-US-Datenschutzschild ungültig – Schrems II, MMR 2020, 597.
30 EuGH v. 16.07.2020 – C-311/18, GRUR-RS 2020, 16082, Rn. 155.
31 Henrich, MMR Aktuell 2020, 431928.
32 Henrich, MMR Aktuell 2020, 431928.
33 Dass hier sogar Geheimdienste wie der BND mit der NSA kooperieren, ändert nichts an der Schutzlosigkeit von

Datentransfers in die USA.
34 Hoeren, EuGH: EU-US-Datenschutzschild ungültig – Schrems II, MMR 2020, 597; zur Ombudsperson: Die Om-

budsperson ist eine im Rahmen des Privacy Shields zusätzlich geschaffene Rechtsschutzmöglichkeit für alle Be-
troffenen in der EU.
                                                                                                           12
Staaten bekleide, keinen Hinweis darauf, dass die Abberufung der Ombudsperson oder der Widerruf
      ihrer Ernennung mit besonderen Garantien versehen wäre, was Zweifel daran weckt, ob sie von der
      Exekutive unabhängig ist …
      Desgleichen wird zwar im 120. Erwägungsgrund des DSS-Beschlusses festgestellt, dass sich die ame-
      rikanische Regierung dazu verpflichtet habe, dass der betroffene Teil der Nachrichtendienste jeden
      von der Ombudsperson des Datenschutzschilds festgestellten Verstoß gegen die geltenden Bestim-
      mungen abstellen müsse, doch enthält er, …, keinen Hinweis darauf, dass die Ombudsperson ermäch-
      tigt wäre, gegenüber den Nachrichtendiensten verbindliche Entscheidungen zu treffen. Zudem wer-
      den in diesem Beschluss keine gesetzlichen Garantien angeführt, die mit dieser Verpflichtung einher-
      gingen und auf die sich die betroffenen Personen berufen könnten.
      Demnach eröffnet der im DSS-Beschluss genannte Ombudsmechanismus keinen Rechtsweg zu einem
      Organ, das den Personen, deren Daten in die Vereinigten Staaten übermittelt werden, Garantien
      böte, die den nach Art. 47 der Charta erforderlichen Garantien der Sache nach gleichwertig wären.“35
      “Daher hat die Kommission bei ihrer Feststellung in Art. 1 Abs. 1 des DSS-Beschlusses, dass die Ver-
      einigten Staaten für personenbezogene Daten, die im Rahmen des EU-US-Datenschutzschilds aus der
      Union an Organisationen in diesem Drittland übermittelt würden, ein angemessenes Schutzniveau
      gewährleisteten, die Anforderungen verkannt, die sich aus Art. 45 Abs. 1 der DSGVO im Licht der Art.
      7, 8 und 47 der Charta ergeben. Daraus folgt, dass Art. 1 des DSS-Beschlusses mit Art. 45 Abs. 1 der
      DSGVO, ausgelegt im Licht der Art. 7, 8 und 47 der Charta, unvereinbar und somit ungültig ist.“36

Durch die Unwirksamkeitserklärung des Privacy Shields ist also der nächste zentrale Erlaub-
nistatbestand für die Übermittlung von personenbezogenen Daten in die USA entfallen. Solange
kein neues Abkommen ausgehandelt ist und ein Angemessenheitsbeschluss der Kommission
nach Art. 45 DSGVO vorliegt, verbleiben für eine zulässige Datenübermittlung in die USA nur
die oben dargestellten Möglichkeiten geeigneter Garantien nach Art. 46 DSGVO oder nach den
Ausnahmetatbeständen in Art. 49 DSGVO.

4. Künftige Lösungen/Lösungsversuche
a) Lösung über Standarddatenschutzklauseln?
Für die Praxis könnte derzeit insbesondere eine Garantie über Standarddatenschutzklauseln
nach Art. 46 Abs. 1 lit. c) DSGVO in Betracht kommen.37 Standarddatenschutzklauseln sind von
der Kommission ausgearbeitete oder nach Abs. 1 lit. d) genehmigte Mustervertragswerke38, die
unverändert von Unternehmen übernommen werden und so ein gewisses Schutzniveau garan-
tieren.39 So verweist etwa Google Analytics auf die Standarddatenschutzklauseln40, die sich

35 EuGH v. 16.07.2020 – C-311/18, GRUR-RS 2020, 16082, Rn. 195-197.
36 EuGH v. 16.07.2020 – C-311/18, GRUR-RS 2020, 16082, Rn. 198, 199.
37 Klug in: Gola, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 46 Rn. 7.
38 V. Towfigh/Ulrich in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 46 DSGVO Rn. 8.
39 V. Towfigh/Ulrich in: Sydow, Europäische Datenschutzgrundverordnung, 2. Aufl. 2018, Art. 46 DSGVO Rn. 8.
40 https://support.google.com/analytics/answer/6004245?hl=en&ref_topic=2919631#zippy=%2Cdata-privacy-

and-security%2Cadvertising-personalization%2Cdata-controls-for-retention-deletion-and-portabil-
ity%2Cgoogle-analytics-under-the-general-data-protection-regulation-gdpr%2Cinternational-transfers: “The
GDPR requires companies to meet certain conditions before transferring personal data outside the EEA, Switzer-
land and the UK. To comply with this requirement, Google relies on Standard Contractual Clauses for relevant
data transfers in our Ads and measurement products“.(GDPR steht international für DSGVO).
                                                                                                           13
derzeit auch in Überarbeitung41 befinden. Ob und wie dies wiederum das Datenschutzniveau
heben sollte, ist damit noch nicht erwiesen.
In der Schrems-II-Entscheidung befasste sich der EuGH nicht nur mit der Vorlagefrage, ob eine
Datenübermittlung auf Grundlage des Privacy Shields zulässig ist, sondern auch mit der Frage,
ob Standarddatenschutzklauseln eine geeignete Garantie für die Übermittlung in die USA dar-
stellen können. Dabei stellte der EuGH fest, dass die in Art. 46 Abs. 2 DSGVO genannten Garan-
tien, insbesondere auch die Standarddatenschutzklauseln grundsätzlich geeignete Instrumente
sind, ihre alleinige Implementierung aber nicht ausreiche, um eine geeignete Garantie herzu-
stellen.42 Denn Art. 46 Abs. 2 DSGVO gibt zwar Möglichkeiten vor, wie solche Garantien „formal“
umgesetzt werden können, gibt aber letztlich keinen Aufschluss darüber, ob die Verpflichtun-
gen im Drittland auch eingehalten werden können.43
Und hier lohnt es sich, einmal genauer aus der Entscheidung des EuGH zu zitieren:
      “In Bezug auf das erforderliche Schutzniveau ergibt sich aus einer Gesamtbetrachtung der genann-
      ten Vorschriften, dass ein Verantwortlicher oder ein Auftragsverarbeiter, falls kein gemäß Art.
      45 Abs. 3 der DSGVO ergangener Angemessenheitsbeschluss vorliegt, personenbezogene Daten nur
      dann in ein Drittland übermitteln darf, wenn er „geeignete Garantien“ vorgesehen hat und den be-
      troffenen Personen „durchsetzbare Rechte und wirksame Rechtsbehelfe“ zur Verfügung stehen, wo-
      bei die geeigneten Garantien u. a. in von der Kommission erlassenen Standarddatenschutzklauseln
      bestehen können. […]
      „Art. 45 Abs. 1 Satz 1 der DSGVO sieht vor, dass eine Übermittlung personenbezogener Daten in ein
      Drittland aufgrund eines Beschlusses der Kommission zulässig sein kann, dem zufolge dieses Dritt-
      land, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Land ein angemessenes Schutz-
      niveau bieten. …, so zu verstehen, dass verlangt wird, dass das Drittland aufgrund seiner innerstaat-
      lichen Rechtsvorschriften oder seiner internationalen Verpflichtungen tatsächlich ein Schutzniveau
      der Freiheiten und Grundrechte gewährleistet, das dem in der Union durch die DSGVO im Licht der
      Charta garantierten Niveau der Sache nach gleichwertig ist. […]
      In diesem Zusammenhang besagt der 107. Erwägungsgrund der DSGVO, dass, wenn „ein Drittland,
      ein Gebiet oder ein bestimmter Sektor eines Drittlands … kein angemessenes Datenschutzniveau
      mehr bietet …, [d]ie Übermittlung personenbezogener Daten an dieses Drittland … verboten werden
      [sollte], es sei denn, die Anforderungen dieser Verordnung in Bezug auf die Datenübermittlung vor-
      behaltlich geeigneter Garantien … werden erfüllt“. … Demnach müssen … die geeigneten Garantien
      so beschaffen sein, dass sie für Personen, deren personenbezogene Daten auf der Grundlage von Stan-
      darddatenschutzklauseln in ein Drittland übermittelt werden - wie im Rahmen einer auf einen An-
      gemessenheitsbeschluss gestützten Übermittlung - ein Schutzniveau gewährleisten, das dem in der
      Union garantierten Schutzniveau der Sache nach gleichwertig ist.“44 […]

41 Die Feedbackperiode vom 12.11.2020-10.12.2020 ist bereits abgelaufen, abrufbar: https://ec.eu-

ropa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-
standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countries; Pytel, ITRB 2021, 43-47:
Google Analytics unter Druck: Der gemeinsame Beschluss der DSK und Schrems II.
42 Heinzke, Schrems II: Neue Anforderungen an den Transfer personenbezogener Daten in Drittländer, GRUR-

Prax 2020, 436.
43 Heinzke, Schrems II: Neue Anforderungen an den Transfer personenbezogener Daten in Drittländer, GRUR-

Prax 2020, 436.
44 EuGH v. 16.07.2020 – C-311/18, GRUR-RS 2020, 16082, Rn. 93-96.

                                                                                                         14
“Folglich ist auf die Fragen 2, 3 und 6 zu antworten, dass Art. 46 Abs. 1 und Art. 46 Abs. 2 Buchst. c
      der DSGVO dahin auszulegen sind, dass die nach diesen Vorschriften erforderlichen geeigneten Ga-
      rantien, durchsetzbaren Rechte und wirksamen Rechtsbehelfe gewährleisten müssen, dass die
      Rechte der Personen, deren personenbezogene Daten auf der Grundlage von Standarddatenschutz-
      klauseln in ein Drittland übermittelt werden, ein Schutzniveau genießen, das dem in der Union durch
      die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist. Bei der insoweit
      im Zusammenhang mit einer solchen Übermittlung vorzunehmenden Beurteilung sind insbesondere
      die vertraglichen Regelungen zu berücksichtigen, die zwischen dem in der Union ansässigen Verant-
      wortlichen bzw. seinem dort ansässigen Auftragsverarbeiter und dem im betreffenden Drittland an-
      sässigen Empfänger der Übermittlung vereinbart wurden, sowie, was einen etwaigen Zugriff der Be-
      hörden dieses Drittlands auf die übermittelten personenbezogenen Daten betrifft, die maßgeblichen
      Elemente der Rechtsordnung dieses Landes, insbesondere die in Art. 45 Abs. 2 der DSGVO genannten
      Elemente.“45 […]
      „Da Standarddatenschutzklauseln … aufgrund ihres Vertragscharakters naturgemäß keine dritt-
      staatlichen Behörden binden können … aber verlangen, dass das durch die DSGVO verbürgte Schutz-
      niveau für natürliche Personen nicht beeinträchtigt wird, kann es sich als notwendig erweisen, die in
      den Standarddatenschutzklauseln enthaltenen Garantien zu ergänzen.“46 […]
      „Demzufolge sind der in der Union ansässige Verantwortliche und der Empfänger der Übermittlung
      personenbezogener Daten verpflichtet, vorab zu prüfen, ob im betreffenden Drittland das vom Uni-
      onsrecht verlangte Schutzniveau eingehalten wird. Der Empfänger der Übermittlung ist nach Klau-
      sel 5 Buchst. b des Anhangs des SDK-Beschlusses gegebenenfalls verpflichtet, dem Verantwortlichen
      mitzuteilen, dass er die Klauseln nicht einhalten kann, woraufhin der Verantwortliche die Daten-
      übermittlung aussetzen und/oder vom Vertrag zurücktreten muss.“47

So muss der Datenexporteur (also jede Stelle, die personenbezogene Daten in den Machtbe-
reich des Drittlandes übermittelt – dazu zählt auch der Datentransfer der in Europa ansässigen
Tochtergesellschaft zum US-amerikanischen Mutterkonzern) künftig zuerst prüfen, ob die Ver-
pflichtungen im Drittland eingehalten werden können und ein angemessenes Schutzniveau ge-
währleistet ist. Sollte dies – wie in den USA insbesondere durch den Anwendungsbereich von
Section 702 FISA und E.O. 12333 und die Zugriffsberechtigungen der Sicherheitsbehörden –
nicht der Fall sein, müssen konkrete kompensatorische Maßnahmen ergriffen werden, die si-
cherstellen, dass das Schutzniveau wirklich eingehalten wird.48
      „Im Übrigen ist sowohl hinsichtlich der auf Section 702 des FISA gestützten als auch hinsichtlich der
      auf die E.O. 12333 gestützten … festgestellt worden, dass weder die PPD-28 noch die E.O. 12333 den
      betroffenen Personen Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich
      durchgesetzt werden können, so dass diese Personen nicht über einen wirksamen Rechtsbehelf ver-
      fügen.“49
      „Demzufolge lässt Section 702 des FISA in keiner Weise erkennen, dass für die darin enthaltene Er-
      mächtigung zur Durchführung von Überwachungsprogrammen zum Zweck der Auslandsaufklärung
      Einschränkungen bestehen; genauso wenig ist erkennbar, dass für potenziell von diesen

45 EuGH v. 16.07.2020 – C-311/18, GRUR-RS 2020, 16082, Rn. 105.
46 EuGH v. 16.07.2020 – C-311/18, GRUR-RS 2020, 16082, Rn. 132.
47 EuGH v. 16.07.2020 – C-311/18, GRUR-RS 2020, 16082, Rn. 142.
48 Heinzke, Schrems II: Neue Anforderungen an den Transfer personenbezogener Daten in Drittländer, GRUR-

Prax 2020, 436.
49 EuGH v. 16.07.2020 – C-311/18, GRUR-RS 2020, 16082, Rn. 192.

                                                                                                           15
Programmen erfasste Nicht-US-Personen Garantien existieren. Unter diesen Umständen ist diese
      Vorschrift, … nicht geeignet, ein Schutzniveau zu gewährleisten, das dem durch die Charta … garan-
      tierten Niveau der Sache nach gleichwertig ist.“50 […]
      “Folglich ist davon auszugehen, dass weder Section 702 des FISA noch die E.O. 12333 in Verbindung
      mit der PPD-28 den im Unionsrecht nach dem Grundsatz der Verhältnismäßigkeit bestehenden Min-
      destanforderungen genügen, so dass nicht angenommen werden kann, dass die auf diese Vorschrif-
      ten gestützten Überwachungsprogramme auf das zwingend erforderliche Maß beschränkt sind.“51
      „Unter diesen Umständen sind die von der Kommission im DSS-Beschluss bewerteten Einschränkun-
      gen des Schutzes personenbezogener Daten, die sich daraus ergeben, dass die amerikanischen Be-
      hörden nach dem Recht der Vereinigten Staaten auf solche Daten, die aus der Union in die Vereinig-
      ten Staaten übermittelt werden, zugreifen und sie verwenden dürfen, nicht dergestalt geregelt, dass
      damit Anforderungen erfüllt würden, die den im Unionsrecht nach Art. 52 Abs. 1 Satz 2 der Charta
      bestehenden Anforderungen der Sache nach gleichwertig wären.“52
      „Da diese Standarddatenschutzklauseln naturgemäß keine Garantien bieten können, die über die
      vertragliche Verpflichtung hinausgehen, für die Einhaltung des unionsrechtlich verlangten Schutz-
      niveaus zu sorgen, kann es je nach der in einem bestimmten Drittland gegebenen Lage erforderlich
      sein, dass der Verantwortliche zusätzliche Maßnahmen ergreift, um die Einhaltung dieses Schutzni-
      veaus zu gewährleisten.“53

In der rechtswissenschaftlichen Literatur wird teils bezweifelt, ob Maßnahmen, die die aufge-
worfenen Schutzlücken schließen können, praktisch überhaupt existieren, sodass bis zum
Nachfolgeabkommen des Privacy Shields eventuell auf europäische Server ausgewichen wer-
den müsste.54 Bei der Verlagerung der Server nach Europa als alleinige Maßnahme besteht aber
das Problem, dass sich hier eine Verpflichtung, die Daten nicht an US-Behörden herauszugeben,
auch nur schwer durchsetzen lässt, da amerikanische Unternehmen nach dem CLOUD Act auch
bei Daten auf europäischen Servern zur Herausgabe verpflichtet werden können.55 Bei vertrag-
lichen Verpflichtungen, die Daten nicht an US-Behörden herauszugeben, besteht das Problem,
dass diese nur zwischen den Parteien wirken und so keinen Einfluss auf den Herausgabean-
spruch der US-Behörden gegen das Unternehmen haben.56
      „Während diese Klauseln für den in der Union ansässigen Verantwortlichen und den in einem Dritt-
      land ansässigen Empfänger der Übermittlung personenbezogener Daten verbindlich sind, sofern sie
      einen Vertrag unter Bezugnahme auf diese Klauseln geschlossen haben, steht allerdings außer Frage,
      dass sie die Behörden dieses Drittlands nicht binden können, da diese nicht Vertragspartei sind.“57

50 EuGH v. 16.07.2020 – C-311/18, GRUR-RS 2020, 16082, Rn. 180.
51 EuGH v. 16.07.2020 – C-311/18, GRUR-RS 2020, 16082, Rn. 184.
52 EuGH v. 16.07.2020 – C-311/18, GRUR-RS 2020, 16082, Rn. 185.
53 EuGH v. 16.07.2020 – C-311/18, GRUR-RS 2020, 16082, Rn. 133.
54 Schröder in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 46 DS-GVO Rn. 18; Lange/Filip in: BeckOK Da-

tenschutzrecht Wolff/Brink, 35. Edition, Art. 46 Rn. 2c-f.
55 Paal/Kumkar, Datenübermittlungen nach dem Unwirksamwerden des EU-US Shield, MMR 2020, 733.
56 Kirschhöfer, Auswirkungen des „Schrems II“ – Urteils des EuGH auf den internationalen Vertrieb, ZVertriebsR

2020, 366.
57 EuGH v. 16.07.2020 – C-311/18, GRUR-RS 2020, 16082, Rn. 125.

                                                                                                           16
Viele sehen neben dem Wechsel der Server, der Anbieter oder gar dem Verzicht auf Cloud Ser-
vices58 daher vor allem technische und organisatorische Maßnahmen als geeignet an, um die
Lücke zum angemessenen Schutzbedarf schließen zu können.59 Darunter können z.B. die Ano-
nymisierung oder Pseudonymisierung der Daten sowie Verschlüsselungstechnologien fallen,
wenn sichergestellt ist, dass US-Behörden keinen Zugriff auf die Schlüssel erhalten.60 Auch Da-
tentreuhänder, wie sie bereits von Microsoft in der Vergangenheit eingeführt wurden, können
in Betracht kommen.61 Verschlüsselungen können allerdings keine Option sein, wenn mit ori-
ginalen Datensätzen und Klardaten gearbeitet werden muss, sodass der Zweck der Verarbei-
tung nicht mehr zu erreichen ist.62
Auch der europäische Datenschutzausschuss geht diesen Weg und gibt in seinen Leitlinien ver-
schiedene Anwendungsbeispiele an, wie technische und organisatorische Maßnahmen zur Er-
haltung einer zulässigen Übermittlung eingesetzt werden können, wobei die Use Cases 1-5 vor-
wiegend auf starke Verschlüsselungen und Anonymisierung sowie Pseudonymisierung setzen.
Gleichwohl gibt der Ausschuss in Use Case 6 an, dass für solche Anbieter, die für ihre Dienst-
leistung die Übermittlung von unverschlüsselten Klardaten benötigen, derzeit kein zulässiger
Weg für die Übermittlung in die USA besteht.63
      „Die nachstehend beschriebenen Maßnahmen böten in bestimmten Situationen keine wirksame Ge-
      währleistung eines im Wesentlichen gleichwertigen Schutzniveaus für die in das Drittland übermit-
      telten Daten. Sie kämen daher nicht als zusätzliche Maßnahmen in Betracht.
      Anwendungsfall 6: Übermittlung an Cloud-Service-Anbieter oder andere Verarbeiter, die Zugang zu
      unverschlüsselten Daten benötigen
      Ein Datenexporteur beauftragt einen Cloud-Service-Anbieter oder anderen Auftragsverarbeiter mit
      der Verarbeitung von personenbezogenen Daten, die im Drittland nach den Anweisungen des Daten-
      exporteurs erfolgt.
      Wenn
           1.   ein Verantwortlicher Daten an einen Cloud-Service-Anbieter oder sonstigen Auftragsverar-
                beiter übermittelt;
           2.   der Cloud-Service-Anbieter oder sonstige Auftragsverarbeiter Zugang zu den unverschlüs-
                selten Daten benötigt, um die ihm übertragene Aufgabe auszuführen, und

58 Kirschhöfer, Auswirkungen des „Schrems II“ – Urteils des EuGH auf den internationalen Vertrieb, ZVertriebsR

2020, 366.
59 Kirschhöfer, Auswirkungen des „Schrems II“ – Urteils des EuGH auf den internationalen Vertrieb, ZVertriebsR

2020, 366; Paal/Kumkar, Datenübermittlungen nach dem Unwirksamwerden des EU-US Shield, MMR 2020, 733;
Grasmück/Kollmar, IPRB 2020, 212-216.
60 Paal/Kumkar, Datenübermittlungen nach dem Unwirksamwerden des EU-US Shield, MMR 2020, 733.
61 Johnson/Brechtel, ITRB 2020, 285-290: Wie der Datentransfer in die USA doch noch möglich sein kann.
62 Paal/Kumkar, Datenübermittlungen nach dem Unwirksamwerden des EU-US Shield, MMR 2020, 733.
63 EDPB, Recommendations 01/2020, Use Case 6, Rn. 88, abrufbar: https://edpb.eu-

ropa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransfer-
stools_en.pdf, S. 26; 63 https://www.cmshs-bloggt.de/tmc/datenschutzrecht/schrems-ii-aufsichtsbehoerde-
standardvertragsklausel-scc/; https://www.lto.de/recht/hintergruende/h/eugh-eu-schrems-ii-internationaler-
daten-transfer-scc-standardvertragsklauseln/.
                                                                                                           17
Sie können auch lesen