In diesem Artikel lesen Sie, 

• welche Hintergründe das EuGH-Urteil „Schrems II“ hat, 
• was die neuen Entwicklungen für Unternehmen, öffentliche Träger und IT-Dienstleister bedeuten, die auf US-Cloud-Dienste setzen,
• und wie die Wahl der richtigen Public Cloud hilft, den Datenschutz EU-konform zu meistern.

Ob beim Austausch von Auftragsinformationen mit internationalen Niederlassungen oder von Forschungsergebnissen in Hochschulkooperationen, ob bei der Informationsverarbeitung in Wirtschaftsunternehmen oder in der digitalen Verwaltung: Daten kennen keine Grenzen. Und Cloud Computing ist unverzichtbar für die Umsetzung vielfältiger Anforderungen. Daten dabei international zu verarbeiten, ist für viele Unternehmen und Behörden längst Alltag. Laut den Marktforschern von Capgemini tauschten 2020 73 Prozent aller Firmen aus Deutschland, Österreich und der Schweiz Daten mit Lieferanten, sechs von zehn mit Aufsichtsbehörden und drei von zehn mit kommerziellen Datenanbietern. Dabei müssen personenbezogene Informationen besonders geschützt werden. Die eigenen Daten, die in der Public Cloud liegen, nach einem Cyberangriff oder einem staatlichen Zugriff im Ausland in fremden Händen zu wissen? Ein Horror-Szenario.

Dem Schutz europäischer Daten im Ausland diente auch das Datenschutz-Abkommen „Privacy Shield“ zwischen den USA und der EU. In seiner Entscheidung Schrems II kippte der Europäische Gerichtshof (EuGH) im Juli 2020 das Privacy Shield jedoch – wie Jahre zuvor schon das Vorgängerabkommen „Safe Harbor“. Denn alle Datentransfers in Länder außerhalb der EU müssen nach der europäischen Datenschutzgrundverordnung (DSGVO) gewährleisten, dass das Datenschutzniveau im Zielland dem der EU entspricht. Das Privacy Shield konnte jedoch laut EuGH keinen angemessenen Schutz gewährleisten und wurde daher gekippt.

Ein anderer, datenschutzkonformer Ansatz für internationale Datentransfers sind die sogenannten Standardvertragsklauseln (engl. standard contractual clauses, SCC).  Bei diesen einigen sich der Datenexporteur und der ausländische Datenimporteur vertraglich über das Datenschutzniveau. Diese Verpflichtungen muss der Datenimporteur aber auch tatsächlich einhalten können. Die Standardvertragsklauseln behalten nach dem EuGH-Urteil weiterhin ihre Gütigkeit – auch für Übermittlungen in die USA. Allerdings sind stets eine Einzelfallprüfung und gegebenenfalls die Umsetzung weiterer Maßnahmen erforderlich. Zudem stammten die SCC noch aus der Zeit vor der DSGVO. Die Folge für viele Unternehmen und öffentliche Einrichtungen: untragbare Rechtsrisiken und Angst vor hohen Strafen auf der einen Seite, aufwändige und unwirtschaftliche Prozesse bei der Umsetzung in neuen Verträgen auf der anderen.

Was nun? Für langfristig sichere Geschäftsbeziehungen nah am digitalen Alltag bedeutete das Urteil eine enorme Hürde. Denn Unternehmen, Hochschulen oder auch Behörden stehen beim Datenaustausch nach Übersee vor großen Unsicherheiten, besonders bei der Frage, welche zusätzlichen Maßnahmen sie treffen müssen. Entsprechend stand die EU unter Druck, diese Unsicherheiten auszuräumen und den Markt wieder zukunftssicher international anzubinden. Daher hat die EU-Kommission im Juni 2021 neue Standardvertragsklauseln vorgestellt (PDF).

Die Neufassung der SCC soll für Unternehmen und Behörden „benutzerfreundliche Instrumente für den Transfer“ liefern. Das heißt: Tauschen Unternehmen noch auf Basis der alten Klauseln personenbezogene Daten mit Drittländern wie den USA aus, müssen sie bestehende Verträge prüfen und innerhalb von 18 Monaten auf die neuen SCC anpassen. Der Aufwand? Je nach Unternehmens- oder Behördengröße sowie internationaler Verzahnung der Prozesse nicht zu unterschätzen. Ein neues Abkommen ist bei der Kluft zwischen dem Anspruch der DSGVO und dem Selbstverständnis vieler Drittstaaten vorerst nicht in Sicht.

Offen bleibt, wie der EuGH bei einer Klage zu den neuen SCC oder gar einem potenziellen neuen Privacy Shield entscheiden würde. Die Erwartungen der EU-Kommission an die USA sind sehr hoch. Wäre eine solche neue Regelung mit EU-Recht vereinbar? Oder droht „Schrems III“? Auch wenn Nutzer von Microsoft Azure und Amazon Web Services durch die neuen Klauseln geschützter wären: Hundertprozentige Sicherheit gibt es nicht. Gewissheit bieten hingegen europäische Cloud-Umgebungen. Denn ohne Übermittlung an Drittländer benötigt man auch keine Zusatzbestimmungen. Das bedeutet für Unternehmen und Träger in Kommunen, Bund und Ländern: Datensouveränität auf Basis europäischer Lösungen ist das effektivste Mittel für langfristige Sicherheit bei allen Cloud-Anwendungen. Gegen Betriebsausfälle, unerlaubten Behördenzugriff und Datenlecks, die das Ansehen, personenbezogene Daten von Kunden und Bürgern, aber auch Forschungsergebnisse gefährden können. Ganz nach dem Motto: Wer nicht exportiert, ist von überraschenden Änderungen und verschärften Anforderungen auch nicht betroffen.