12.07.2019

Krieg der Daten: Episode I - Die Drittländer-Cloud-Bedrohung

Portrait von Dennis G. Jansen, LL.M. (Berkeley)
Dennis G. Jansen, LL.M. (Berkeley) Rechtsanwalt (J-Law.de), General Counsel (CoachHub.io), und Gründer | Datenschutz, Software, IP, IT und IT-Beweismittel

Die Verarbeitung personenbezogener Daten in der Cloud von US-Anbietern könnte auch dann zum Problem werden, wenn Daten und Server in der EU verbleiben. Immer größere Datenmengen werden in der Cloud gelagert und verarbeitet. Soweit personenbezogene Daten betroffen sind, stellt die DSGVO ein Bündel von Anforderungen an eine Nutzung der Cloud. Besondere Anforderungen stellt die DSGVO in Kapitel V bei Datenverarbeitungen, an denen Länder beteiligt sind, in denen die DSGVO nicht gilt (“Drittländer”).

 

Die DSGVO-widrige Drittländer-Exposition

Im Falle von Cloud-Anbietern aus Drittländern wie aus den USA, die Unternehmen unter Umständen unabhängig von der Vereinbarkeit mit der DSGVO zur Datenherausgabe verpflichten, entstehen nun möglicherweise besondere Probleme: Die hessische Argumentation konsequent fortgeführt untersagt die DSGVO in einigen Fällen, Daten von einem Drittländer-Unternehmen verarbeiten zu lassen. Eine Verarbeitung wäre möglicherweise bereits rechtswidrig, wenn das Unternehmen von einem Drittland verpflichtet werden kann, gegen die DSGVO zu verstoßen. Auf den Standort der Verarbeitung kommt es dann nicht an. Maßgeblich wäre, dass das Unternehmen eine ausreichende Exposition gegenüber einem problematischen Drittland wie den USA hat.

 

Die “Deutschland-Cloud” als Datentreuhänder-Modell-Lösung

Um das Problem zu lösen hatten Microsoft und die Deutsche Telekom ein Datentreuhänder-Modell (“Deutschland-Cloud”) entwickelt (dazu Schwartz/Peifer, Datentreuhändermodelle – Sicherheit vor Herausgabeverlangen US-amerikanischer Behörden und Gerichte?, CR 2017, 165-174): Bei der “Deutschland-Cloud” stellte die Deutsche Telekom die technische Infrastruktur als “Daten-Treuhänder” bereit:

Microsoft könnte sich dann immer noch in der Pflicht sehen, den Forderungen amerikanischer Behörden auf Datenherausgabe zu folgen, wäre dazu aber aus technischen Gründen gar nicht in der Lage.” (heise online, Auslaufmodell: Microsoft Cloud Deutschland)

Von rechtmäßiger “Deutschland-Cloud” zu rechtswidriger “EU-Cloud”

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hatte bereits mit “Deutschland-Cloud”-Modell den Einsatz von Microsoft Office 365 geprüft. Vor Einführung der DSGVO kam die Behörde zum Schluss, dass die “Deutschland-Cloud” mit der richtigen Konfiguration rechtmäßig genutzt werden konnte. Inzwischen hat Microsoft die “Deutschland-Cloud” eingestellt und es verbleibt nur die “EU-Cloud” ohne Datentreuhänder-Modell. Auf die EU-Cloud von Microsoft haben US-Behörden nach Auffassung der Behörde offenbar ein DSGVO-widriges Maß an Zugriff. Diesen Dienstag hat die Behörde verkündet, dass die Verwendung von Microsoft 365 in der EU-Cloud für hessische Schulen illegal sei.

 

Kernfragen zur Tragweite

Die Auswirkungen dieser Feststellung für den allgemeinen Einsatz von Cloud-Dienstleistungen von US-Anbietern sind noch weitgehend unklar. Im Folgenden wird untersucht, in welchen Fällen, wenn überhaupt, deutsche Aufsichtsbehörden gemäß DSGVO durchsetzen können, dass deutsche personenbezogene Daten nur von deutschen Anbietern verarbeitet werden. Anschließend geht es allgemeiner um die Frage der Übertragbarkeit: Auf welche Fälle könnte sich die Problematik des Zugriffs von Drittländer-Behörden datenschutzrechtlich noch auswirken?

 

Deutschland-Cloud nach DSGVO?

“Öffentliche Einrichtungen in Deutschland haben eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten. Auch muss die digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein.” (Pressemitteilung vom 9. Juli 2019, Hervorhebungen hinzugefügt)

 

Nationaler Bezug regelmäßig unzulässig

Problematisch ist zunächst, inwieweit eine deutschlandbezogene Argumentation mit der DSGVO vereinbar ist. Ein wichtiger Anlass für die DSGVO und eines ihrer zentralen Ziele ist, “die Hemmnisse für den Verkehr personenbezogener Daten in der Union zu beseitigen”, indem das “Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten gleichwertig” wird (ErwGr 10). “Das reibungslose Funktionieren des Binnenmarkts erfordert, dass der freie Verkehr personenbezogener Daten in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird” (ErwGr 13). Ob Ausnahmen wie die nationale Sicherheit (ErwGr 16), Strafverfolgung oder öffentliche Sicherheit und Ordnung (ErwGr 19) auf Schulen in dieser Art anwendbar sind, ist fraglich. Dies gilt umso mehr, als sich die Behörde selbst - wenn auch nur für die Frage der Einwilligung - ausdrücklich auf die DSGVO beruft.

 

Notwendiger freier Verkehr personenbezogener Daten

Wie wichtig der DSGVO der freie Verkehr personenbezogener Daten ist, zeigt auch ErwGr 53:

“Den Mitgliedstaaten sollte gestattet werden, weitere Bedingungen - einschließlich Beschränkungen - in Bezug auf die Verarbeitung von genetischen Daten, biometrischen Daten oder Gesundheitsdaten beizubehalten oder einzuführen. Dies sollte jedoch den freien Verkehr personenbezogener Daten innerhalb der Union nicht beeinträchtigen, falls die betreffenden Bedingungen für die grenzüberschreitende Verarbeitung solcher Daten gelten.” (Hervorhebung hinzugefügt)

 

“Deutschland-Cloud” oder “DSGVO-Cloud”?

Ob der grundsätzliche Ausschluss einer EU-Cloud für deutsche Behörden zulässig ist, darf daher bezweifelt werden. Allerdings darf auch bezweifelt werden, dass die Behörde das ausdrücken wollte. Viel wahrscheinlicher ist, dass die Behörde sich speziell auf die Produktkategorien “Deutschland-Cloud” und “EU-Cloud” von Microsoft bezieht (zu Datentreuhändermodellen im Allgemeinen und der EU-Cloud von Microsoft im Besonderen ausführlich Schwartz/Peifer, Datentreuhändermodelle – Sicherheit vor Herausgabeverlangen US-amerikanischer Behörden und Gerichte?, CR 2017, 165-174). Gemein ist also vermutlich eine DSGVO-konforme Cloud, eine “DSGVO-Cloud” wie das Produkt “Deutschland-Cloud”, nicht notwendigerweise eine Cloud von einem Anbieter aus Deutschland.

 

Übertragbarkeit auf Privatwirtschaft

Problematisch ist auch, inwiefern die Argumentation auf andere staatliche und nichtstaatliche Akteure übertragbar ist.

“Seit Jahren befinden sich die Aufsichtsbehörden mit Microsoft in der Diskussion. Dabei ist der entscheidende Aspekt, ob die Schule als öffentliche Einrichtung personenbezogene Daten (von Kindern) in einer (europäischen) Cloud speichern kann, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist.” (Pressemitteilung vom 9. Juli 2019)

 

Kriterium:  Zugriffsbefugnisse von Behörden aus Drittländern

Entscheidender Faktor ist bereits nach der Argumentation der Behörde, wie die Zugriffsbefugnisse von Behörden aus Drittländern ausgestaltet sind. Dass eine deutsche Behörde die Zugriffsbefugnisse anderer DSGVO-Staaten als Rechtfertigung für die Rechtswidrigkeit von Datentransfers innerhalb des Anwendungsbereichs der DSGVO anführen würde, erschiene nicht nur im Sinne des Ziels der DSGVO, Datentransfers in ihrem Anwendungsbereich zu erleichtern, als problematisch. 

 

Einheitliche Standards, Zusammenarbeit und Kohärenz

Auch im Übrigen ist es gerade Zweck der DSGVO, einheitliche Standards bereitzustellen, die die DSGVO als Grundlage für Datentransfers als ausreichend ansieht (Art. 44 DSGVO e contrario, ErwGr 101). Für Zweifel innerhalb ihres Anwendungsbereiches sieht die DSGVO zwischen den Behörden verschiedener Länder Maßnahmen der Zusammenarbeit und Kohärenz nach Kapitel VII vor. Die Behörde führt auch nur den tatsächlich problematischen US-Zugriff (vgl. dazu “Krieg der Daten – Kollision von EU DSGVO und US CLOUD Act”) an.

 

Fazit: Rechtswidriger Drittländer-Zugriff kann zu rechtswidriger Cloud führen

Daher ist die Pressemitteilung voraussichtlich vielmehr dahingehend zu verstehen, dass die Verarbeitung durch Anbieter, die DSGVO-widrigen Zugriffen aus Drittländern z. B. aus den USA ausgesetzt sind, als datenschutzwidrig erachtet wird. Die Rechtswidrigkeit richtet sich also nicht danach, woher der Anbieter kommt oder woher die personenbezogenen Daten kommen. Die Rechtswidrigkeit folgt vielmehr aus der Möglichkeit eines DSGVO-widrigen Zugriffs aus Drittländern.

Nur in Ausnahmefällen dürfte es zulässig sein, dass ein DSGVO-Staat auf die nationale Verarbeitung personenbezogener Daten besteht. Nicht nur im vorliegenden Fall von staatlichen Schulen für Kinder könnte es schwierig sein, das Problem durch eine Einwilligung zu lösen.

 

Ausblick: Weitreichende gravierende Auswirkungen möglich

Die Rechtswidrigkeit könnte sich nicht nur auf deutsche Schulen oder Behörden als Kunden, sondern auch auf den privaten Sektor in allen DSGVO-Ländern und zumindest auf alle US-Cloud-Anbieter erstrecken. Dies Konsequenzen wären ebenso gravierend wie weitreichend, denn US-Anbieter erbringen über die Hälfte der Cloud-Dienstleistungen und zwei von drei deutschen Unternehmen nutzen Cloud-Dienstleistungen. Denkbar wäre auch, dass sich die Rechtswidrigkeit auf Bereiche außerhalb der Cloud erstreckt. Daher wird wichtig sein, in welchen Fällen auch für den privaten Sektor bereits die abstrakte Zugriffsmöglichkeit aus Drittländern DSGVO-widrig ist und wann eine konkrete Zugriffsmöglichkeit oder ein tatsächlicher Zugriff erforderlich ist und mit welchen Sanktionen zu rechnen ist. Möglicherweise wird sich der EuGH im aktuellen Fall Schrems II mit diesen Fragen beschäftigen und einige Fragen beantworten.

Zurück