Kein Urteil über die zulässige Nutzung von US-Cloud-Diensten

Das belgische Gericht habe jedoch keine abschließende Entscheidung darüber getroffen, ob die Nutzung von AWS-Clouds immer oder nie gegen Schrems II verstoße, sagt Alexander Roßnagel, der das deutsche Datenschutzrecht mitentwickelt hat und heute in Hessen der Landesdatenschutzbeauftragte ist. Er erklärt: "Das Urteil könnte in Deutschland ähnlich getroffen werden."

Es sei nämlich viel stärker von prozessualen und beweisrechtlichen Fragen geprägt als von dem eigentlichen sachlichen Problem. Die klagende Firma hätte "nachweisen müssen, dass die Behörde den falschen Zuschlag erteilt hat, weil es unter allen Umständen unmöglich ist, dass die Schrems-II-Regeln eingehalten werden können." Weil sie dies nicht habe nachweisen können, habe sie den Prozess verloren.

Güte der Verschlüsselung war nicht auf dem Prüfstand

Nach Ansicht der Datenschutzexpertin Kirsten Bock geht aus dem Urteil nicht klar hervor, wie das Gericht die Güte der Verschlüsselung geprüft hat, um mit Blick auf den EU-US-Datentransfer einen ausreichenden Schutz zu gewährleisten. Es sei "nämlich nicht so, wie das Gericht offenbar annimmt, dass schon jede Maßnahme im Sinne des Artikels 32 der DSGVO dafür ausreicht", sagt Bock, die die Aufsichtsbehörden der Länder in Arbeitsgruppen des EDSA im Bereich Internationales vertritt.

Der Europäische Datenschutzausschuss habe deutlich gemacht, "dass es sich um 'zusätzliche' Maßnahmen handeln muss, durch die Zugriffsmöglichkeiten der US-Behörden verhindert und die fehlenden Rechtsschutzmöglichkeiten kompensiert werden." Die Datenschutzexpertin sagt: "Auch eine Ende-zu-Ende-Verschlüsselung reicht nicht, wenn die Behörden des Drittstaats direkt auf den Empfänger zugreifen können und ihn zur Herausgabe zwingen können." Es bleibe unklar, ob das Gericht die Transparenz des Verschlüsselungsverfahrens geprüft habe. Dem Gericht zufolge sind die Anforderungen des Europäischen Datenschutzausschusses erfüllt, wenn die Verantwortlichen den alleinigen Zugriff haben.

Bock weist jedoch darauf hin: "Eine wesentliche Frage ist neben der Stärke der Verschlüsselung immer die Frage, wo der Schlüssel liegt und wer darauf zugreifen kann und ob dem Verschlüsselungsverfahren vertraut werden kann." Der Cloud-Provider darf demnach keinen Schlüssel haben, der für die Datenverarbeitung Verantwortliche müsse aber die volle Souveränität über den Schlüssel besitzen. "Das hat er nur, wenn er die Hoheit über seinen Rechner hat. Letzteres ist beispielsweise bei Microsoft 365 nicht der Fall, denn dort ist in den allermeisten Fällen alles Cloud und der Schlüssel nicht vor einem Zugriff durch Microsoft geschützt", sagte Bock. Grundsätzlich sollten reine EU-Clouds europäischer Anbieter gewählt werden.

Cloud-Anbieter werden ihr Angebot umgestalten

Sebastian Kraska, der als externer Datenschutzbeauftragte zahlreiche Unternehmen berät, sagt mit Blick auf die geforderte zusätzliche Verschlüsselung: "In der Praxis ist der Einsatz solcher technischen Zusatzmaßnahmen häufig nicht möglich." Viele Unternehmen würden daher im Rahmen einer Risikoabwägung untersuchen, ob ein Zugriff auf die konkret übermittelten Daten tatsächlich wahrscheinlich erscheint oder nicht. Doch diese Strategie dürfte nicht die Zustimmung der Datenschutz-Aufsichtsbehörden erhalten.

Als vorläufige Zwischenlösung bis zum Abschluss eines politischen Kompromisses zeichnet sich nach Ansicht von Kraska ab, dass die US-amerikanischen Cloud-Anbieter ihr Angebot umgestalten: So würden sie eine Datenschutz-Vereinbarung mit der europäischen Tochtergesellschaft des Cloud-Anbieters abschließen und ein lokales Hosting der Daten anbieten. Der Datenschutzexperte sagt: "Ich denke, dass man sich mittelfristig hier auf ein vermittelndes Modell mit lokaler Datenhaltung und technischen Zusatzmaßnahmen einigen wird, die einen Zugriff der US-Behörden in letzter Instanz nur erschweren, nicht aber verhindern." Schrems II sei ein politisches Urteil gewesen, das eine politische Lösung brauche.