Herr Meyer. zum Auftakt frage ich mal plakativ: Muss ich jetzt Bußgeldzahlungen befürchten, wenn ich als Unternehmen Google Analytics, Instagram, Paypal, Dropbox, Zoom oder gar amerikanische CRM-Software in der Cloud nutze?
Bußgeldrisiken bestehen selbstverständlich auf dem Papier immer dann, wenn Sie keine Rechtsgrundlage haben für einen Datentransfer in die USA. Aber soweit mir bekannt, gibt es im Moment – zumindest in Deutschland – keine gezielten Aktivitäten der Aufsichtsbehörden in diese Richtung. Damit rechne ich im Moment auch nicht. Denn auch die Aufsichtsbehörden, das lassen die ersten Stellungnahmen erkennen, sehen durchaus die Schwierigkeiten, die für die europäischen Unternehmen durch das EuGH-Urteil entstanden sind.
Kann man sagen, dass die Enthüllungen von Edward Snowden über die flächendeckende Massenüberwachung des Internets durch US-Geheimdienste den Ausgangspunkt der gegenwärtigen Debatte bilden?
Das ist mit Sicherheit richtig. Das wurde jetzt auch vom EuGH im aktuellen Urteil herausgehoben. Das Kernproblem besteht darin, dass wir in den USA eine Rechtslage haben, die deutlich abweicht von der in Europa. Die Befugnisse der Sicherheitsbehörden, zum Beispiel der NSA, in den USA gehen sehr weit. Die Enthüllungen von Herrn Snowden haben beispielsweise gezeigt, dass es eine massenweise Überwachung, zum Beispiel von Social-Media-Kanälen, gibt. Daraus folgert der Europäische Gerichtshof, dass es sich in den USA eben kein angemessenes Datenschutzniveau - vergleichbar mit dem in Europa - gibt.
Nun nehmen ja auch deutsche Politiker seit einiger Zeit das Wort von der „digitalen Souveränität“ in den Mund und man spricht über eine EU-Cloud GAIA, die in manchen Bereichen vielleicht Abhilfe schaffen könnte. Aber es ist - Stand heute - eher schwierig, für alle Angebote etwa der GAFAM, also der großen Plattformanbieter Google, Apple, Facebook, Amazon und Microsoft europäische Pendants zu finden. Wenn gleichzeitig keine Übergangsfristen des Urteils vorgesehen sind, so ist das ein Dilemma, vor dem ich stehe.
Ja, das ist so. Wenn man sich jetzt die Veröffentlichungen anschaut, wie man mit dem Urteil umzugehen habe, sei es jetzt durch die Aufsichtsbehörden oder auch durch Kollegen, die etwa in Form von Checklisten Handlungsanweisungen geben, dann steht natürlich die Prüfung von alternativen Anbietern, die ihren Sitz und ihre Rechenzentren innerhalb Europas haben, ganz oben auf der Agenda. Wenn ich mir aber anschaue, was meine Mandanten mir an dieser Stelle berichten, ist es schon so, dass sie Probleme haben, in bestimmten Bereichen Alternativen zu finden. Für Videoplattformen wie YouTube gibt es halt keine adäquate Alternative innerhalb der EU. Wir sind ein paar Jahre hinterher. Das aufzuholen wird nicht leicht sein. In vielen Bereichen ist man eben darauf angewiesen, die Amazons, Microsofts oder Googles zu nehmen, weil die technologisch einfach einen Schritt weiter vorne sind. Selbst wenn ich einen alternativen Anbieter mit Sitz in der EU finde, ist es ja trotzdem häufig so, dass solche Anbieter als Subunternehmer wiederum einen US-amerikanischen Cloud-Dienst nutzen. Dann habe ich mein Problem natürlich auch noch nicht gelöst.
Da sprechen Sie in der Tat einen wunden Punkt an. Die amerikanischen Hyperscaler sind natürlich diejenigen, welche die Cloud-Rechenzentren betreiben, in denen viele Lösungen gehostet werden. Bevor wir auf diesen Punkt zurückkommen, möchte ich aber einige alternative Lösungen zumindest erwähnen, ohne jetzt spezielle Empfehlungen aussprechen zu können. Aber es gibt zum Beispiel die Lösung Matomo als Google Analytics-Ersatz oder für kleinere Videokonferenzen Lösungen wie Jitsi oder Big Blue Button oder auch den deutschen Newsletter-Dienstleister Clever Elements oder Messenger-Dienste wie Threema und Wire. Es gibt sicherlich noch viel mehr. Aber in einigen Bereichen gibt es tatsächlich keine Alternative. Video ist dafür sicherlich ein gutes Beispiel.
Wenn Sie sich die Empfehlungen der Aufsichtsbehörden anschauen, die lauten dann an der Stelle sinngemäß: „Gucken Sie sich doch mal Jitsi an und betreiben Sie diese Lösung auf einem eigenen Server selbst!“ Das ist eine gute Idee. Juristisch ist man damit natürlich einen ganzen Schritt weiter vorne, aber welcher Mittelständler macht das, dass er eine Videokonferenzlösung auf einem eigenen Server betreibt? Aber Sie haben natürlich recht. Man sollte diese Alternativen, die es in bestimmten Bereichen gibt, prüfen und man sollte auch dokumentieren, dass man sich mit solchen Alternativen auseinandergesetzt hat.
Nun habe ich auch gelesen, dass US-Unternehmen mit europäischer Niederlassung und europäischem Rechenzentrum, als rechtlich weniger bedenklich gelten. Kann man das so sagen?
Ja, absolut. Wir sind damit zwar noch immer nicht im grünen Bereich, aber das ist im Datenschutzrecht sowieso sehr schwierig. Wenn Sie so vorgehen, dass Sie erstmal eine Bestandsaufnahme machen, um zu sehen, wo habe überhaupt Datentransfers in die USA stattfinden, und wenn Sie hierfür keinen gleich geeigneten europäischen Anbieter und kein gleichwertiges europäisches Produkt finden, macht es absolut Sinn, im nächsten Schritt zu schauen, ob Ihnen der ausgewählte US-Anbieter – wie bei Microsoft beispielsweise möglich – garantiert, dass Ihre Daten in einem Rechenzentrum von Microsoft innerhalb der EU bleiben. Zwar haben die US-Sicherheitsbehörden immer noch die Möglichkeit, auch auf solche Rechenzentren innerhalb der EU zuzugreifen. Nichtdestotrotz ist es auf jeden Fall empfehlenswert, diesen Schritt zu gehen.
Es gab doch ein Angebot von der Deutschen Telekom, Microsoft-Cloud-Lösungen als Treuhänder in einem deutschen Rechenzentrum zu hosten. Das Angebot ist wiedereingestellt worden, aber das wäre doch jetzt das richtige Produkt zur richtigen Zeit, oder?
Das wäre eigentlich perfekt, da dieses Treuhandmodell dazu führte, dass der Zugriff der US-Sicherheitsbehörden eingeschränkt war, da die Daten physisch in einem Rechenzentrum von – ich glaube – T-Systems lagen. Das war seinerzeit aus diesem Grund genauso aufgesetzt worden und es wäre sehr wünschenswert, wen man so etwas jetzt hätte, aber leider ist das Angebot inzwischen wiedereingestellt worden.
Vielleicht machen sie ja jetzt einen neuen Anlauf. Ich habe aber auch noch eine andere Frage: Im Urteil werden ja auch die sogenannten Standardvertragsklauseln sowie flankierende Maßnahmen als mögliche alternative Rechtsgrundlage für eine Datenverarbeitung genannt. Was muss ich mir darunter vorstellen? Außerdem will die Europäische Kommission diese Standardvertragsklauseln bis zum Jahresende überarbeiten, sagt jedenfalls EU-Justizkommissar Didier Reynders. Es ist also alles im Fluss?
Ja. Das macht es auch so schwer zu sagen, man muss nun dieses oder jenes tun. Die Lage ist sehr dynamisch. Man weiß nicht genau, was in drei Monaten passiert. Aber im Prinzip ist es so, dass der EuGH erstmal „nur“ das Privacy Shield für ungültig erklärt hat. Die zweite wichtige Möglichkeit, einen Datentransfer in die USA zu rechtfertigen, nämlich den Abschluss der Standardvertragsklauseln, die eine Art Mustervertrag der EU-Kommission bilden, diese Möglichkeit gibt es - formal jedenfalls – immer noch. Viele US-Anbieter, wie Amazon, Google, Microsoft, haben diese Standardvertragsklauseln auch schon in ihre Terms and Conditions integriert. Sie schließen als Kunde üblicherweise ein so genanntes DPA, Data Processing Agreement, ab – das ist so etwas wie ein Auftragsverarbeitungsvertrag und im Anhang befinden sich oft die Standardvertragsklauseln. Der EuGH sagt allerdings in seinem Urteil, dass auch der Abschluss diese Musterklauseln allein noch nicht ausreichend sei. Es brauche auch noch flankierende Maßnahmen, um sicher zu stellen, dass die Standardvertragsklauseln auch tatsächlich eingehalten werden. Zu diesen flankierenden Maßnahmen, zu denen z.B. auch der Einsatz von Verschlüsselungstechnologien zählen kann, besteht im Moment unter den Juristen der größte Diskussionsbedarf:
Teil 2 des Gesprächs lesen Sie hier!
Oliver Meyer-van Raay ist Fachanwalt für IT-Recht in Karlsruhe, wo er für die Kanzlei Vogel & Partner tätig ist. Außerdem arbeitet er auch als Datenschutzbeauftragter.