Hiervon betroffen sind nicht nur Verkehrsdaten, sondern auch Inhaltsdaten. Übrigens: Kommt es zur Herausgabe von Daten, sind die Cloudanbieter nicht dazu verpflichtet, die Betroffenen darüber zu unterrichten!
Der CLOUD Act steht in direktem Widerspruch zur DSGVO. Diese besagt nämlich, dass personenbezogene Daten nur auf Grundlage eines Gerichtsurteils oder einer internationalen Übereinkunft in ein Drittland übermittelt werden dürfen. Im Falle einer Anfrage nach Daten, die in Europa gespeichert sind, stehen Unternehmen somit vor der Problematik, gegen eines der beiden Gesetze verstoßen zu müssen. Innerhalb des CLOUD Acts gibt es zwar die Einschränkung, dass Daten nur dann herausgegeben werden dürfen, wenn dafür gegen keine nationalen Gesetze verstoßen wird. Doch in der Praxis ist es fraglich, inwiefern Unternehmen sich darauf berufen können. Zwar gibt es zwischen den USA und der EU bereits Verhandlungen über ein bilaterales Abkommen hierzu, doch stehen diese noch am Anfang. Die rechtliche Lage ist unsicher.
Ein Schritt in Richtung DSGVO
Bisher konnten Unternehmen, Behörden und Organisationen den Transfer persönlicher Daten in die USA mit dem Privacy Shield begründen. Dabei handelt es sich um ein Abkommen der EU-Kommission mit den USA, in dem sich US-Unternehmen verpflichten, den europäischen Mindest-Datenschutzstandard nach der DSGVO einzuhalten.
In seinem Urteil vom 16. Juli hat der EuGH eben diesen Privacy Shield für ungültig erklärt und die Position der DSGVO gestärkt. Das Urteil fiel im Rahmen des Rechtstreits zwischen dem österreichischen Datenschutzaktivisten Max Schrems und der irischen Datenschutzbehörde. Gegenstand des Verfahrens war die Datenübermittlungen von Facebook in die USA, die Schrems untersagen lassen wollte. Mit dem "Schrems II-Urteil" lehnt der EuGH den EU-US-Privacy-Shield nun ab. Konkret bedeutet dies, dass sich Unternehmen ab sofort nicht mehr auf den Privacy-Shield berufen dürfen, um Daten zu übertragen, da diese nicht wirkungsvoll vor dem Zugriff von US-Geheimdiensten geschützt werden.
Der BfDI sieht im EuGH-Urteil einen klar geschaffenen Rahmen für den internationalen Datenverkehr. Unternehmen, Behörden und Aufsichtsbehörden stehen nun vor der komplexen Aufgabe, das Urteil praktisch anzuwenden. Wie der BfDI in einer Pressemitteilung erklärte, werde man in besonders relevanten Fällen auf eine schnelle Umsetzung drängen.
Ihre Daten in sicheren Händen
Sie möchten auf "Nummer sicher" gehen? Dann vertrauen Sie Ihre Daten einem deutschen bzw. europäischen Cloud-Anbieter an, der weder Tochterunternehmen eines US-Unternehmens ist, noch Niederlassungen in den USA hat. Mit der BADEN CLOUD®, Ihrem regionalen Rechenzentrum, können Sie sicher sein, dass Ihre Daten vor einem Fremdzugriff geschützt sind.